För att försvara sig mot brute force attacker, Microsoft lade till en autentiseringshastighetsbegränsare som standard till Windows SMB-servern i den senaste insiderförhandsversionen av Dev Channel.
Detta skulle nu öka klyftan mellan varje misslyckad NTLM-autentisering, vilket gör attacken långsam och oattraktiv för hackaren. Systemadministratörer måste köra ett PowerShell-kommando för att aktivera detta skydd.
Skyddar Windows 11 SMB
Servermeddelandeblocket (SMB) i Windows OS är ett av de många element som ofta riktas mot av hackare – eftersom det ger dem djup åtkomst till målets maskin. Så för att begränsa det, Microsoft har en autentiseringshastighetsbegränsare på plats – vilket begränsar antalet gånger en autentisering görs till systemet per sekund.
Detta skydd görs nu som standard i Windows 11 SMB-servrar, Azure-maskiner och betaversioner, med den senaste Insider Preview Build 25206 till Dev Channel. Skyddet är nu standard på två sekunder mellan varje misslyckad inkommande NTLM-autentisering, vilket ökar gapet mellan frekventa attacker – dvs brute force-försök.
Med detta på plats, en brute force attack med 300 försök per sekund (totalt 90 000 försök på 5 minuter) kommer nu att ta minst 50 timmar för detsamma! Med denna drastiska fördröjning av autentiseringen kommer SMB-servern förhoppningsvis att vara ett mindre attraktivt mål för hackaren.
Tja, detta måste aktiveras av systemadministratörerna initialt genom att utföra följande PowerShell-kommando (där n är fördröjningstiden mellan varje misslyckat NTLM-auth-försök);
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n
När vi pratar om detta, huvudprogramchefen för ingenjörsgruppen för Microsoft Windows Server, Ned Pyle, sa;
