Windows 11 的这项安全功能让你的电脑对密码黑客来说“非常没有吸引力”

微软引入了一种新的默认设置来保护 Windows 11 计算机免受密码攻击，这应该使它们成为试图窃取凭据的黑客的“非常没有吸引力的目标”。

Windows 11 的最新预览版默认启用 SMB 服务器身份验证速率限制器，这使得攻击者通过密码猜测攻击瞄准服务器变得更加耗时。   

“现在SMB服务器服务 默认为 每次失败的入站 NTLM 身份验证之间默认间隔 2 秒” 微软安全专家 Ned Pyle 解释道. 

“这意味着，如果攻击者之前从客户端每秒发送 300 次暴力尝试，持续 5 分钟（90,000 个密码），那么现在将需要相同次数的尝试 50小时 最低限度。这里的目标是使机器成为通过 SMB 攻击本地凭据的非常不有吸引力的目标。”

速率限制器是 今年三月预览 但现在是 Windows 11 上的默认设置。 

SMB 是指服务器消息块（SMB）网络文件共享协议。 Windows 和 Windows Server 附带启用了 SMB 服务器。 NTLM 是指 NT 局域网管理器 (NTLM) 用于客户端-服务器身份验证的协议，例如使用 Active Directory (AD) NTLM 登录。 

网络上的攻击者可以冒充“友好服务器”来拦截客户端和服务器之间传输的 NTLM 凭据。另一种选择是使用已知的用户名，然后通过多次登录尝试猜测密码。派尔指出，如果没有默认的速率限制器设置，攻击者可以在几天或几小时内猜出密码，而不会被发现。   

SMB 默认速率限制器设置位于 Windows 11 Insider Preview Build 25206 发布到开发频道。虽然 SMB 服务器默认在 Windows 中运行，但默认情况下不可访问。然而，SMB 服务器速率限制器将发挥作用，因为管理员在创建打开防火墙的客户 SMB 共享时通常会使其可访问。  

“从 Build 25206 开始，它默认开启并设置为 2000 毫秒（2 秒）。现在，在所有版本的 Windows Insiders 中，发送到 SMB 的任何错误用户名或密码现在都会默认导致 2 秒的延迟。当首次发布给 Windows 预览体验成员时，此保护机制默认处于关闭状态。此行为更改不是针对 Windows Server Insider 进行的，它仍然默认为 0，”Windows Insider 团队指出。 

新的默认设置应该有助于解决用户或管理员配置机器和网络而导致密码猜测攻击的情况。 

“如果您的组织没有入侵检测软件或没有设置密码锁定策略，攻击者可能会在几天或几小时内猜出用户的密码。关闭防火墙并将设备连接到不安全网络的消费者用户也会遇到类似的问题，”Pyle 解释道。   

微软正在逐步在 Windows 11 中推出更安全的默认设置。今年早些时候，它推出了默认帐户锁定策略，以减轻 RDP 和其他暴力密码攻击。

在 Windows 11 2022 更新中，微软添加了更多安全默认设置，例如智能应用程序控制仅允许安全 apps 运行，并默认阻止来自 Internet 的 PowerShell、LNK 文件和 Visual Basic 脚本。 

Pyle 还发布了 SMB 速率限制器的演示。