Microsoft hat eine Windows-Server-Vorschau der Baugruppe 25075 veröffentlicht
Was gibt's Neues
SMB NTLM-Authentifizierungsgeschwindigkeit
SMB ist nicht nur ein Dateiserver, der an Zehn Millionen von Computern mit Windows Server arbeitet. Dies ist ein weit verbreiteter Dienst auf mehr als einem Milliarde Computer mit Windows 10 und 11. Obwohl der Fernzugriff nicht möglich ist, und obwohl nicht alle Computer zugeordnet sind Dateiserver, it -Ferl lässt den Zugriff auf den SMB-Server häufig aus legitimen organisatorischen Gründen, z. B. Dateiübertragung, Zugriff auf den SMB-Server. Der Nebeneffekt einer solchen allgegenwärtigen Verteilung besteht darin, dass die SMB ein nützlicher Authentifizierungsmechanismus für Eindringlinge sein kann, der versucht, in das Wörterbuch von grobweiter Kraft anzugreifen. Nach dem aufgeführten oder erratenen Active Directory-Namen oder lokalen Konten mit anderen Mitteln kann ein Angreifer mit hoher Geschwindigkeit - von Dutzenden bis zu Hunderten von Versuchen pro Sekunde - senden - an die Computereingänge an das NTLM-System senden und versuchen, Ihr Passwort zu erraten. Wenn die Organisation keine Software zur Erkennung von Intrusion oder der Kennwortsperrschwelle hat, kann der Angreifer das Benutzerkennwort mehrere Stunden lang erraten.
Beginnend mit dem Windows Insider Build 25069.1000.220302-1408 und höher Windows 11 und Windows Server 2022 implementiert der SMB-Server-Dienst jetzt eine 2-Sekunden-Standardverzögerung zwischen jeder unerwünschten NTLM-basierten Authentifizierung. Dies bedeutet, dass, wenn der Angreifer, wenn der Angreifer bereits 300 Versuche von Brutfors pro Sekunde vom Kunden für 5 Minuten gesendet hat, dieselbe Anzahl von Versuchen nun mindestens 25 Stunden dauert. Dieser Parameter wird vom Administrator gesteuert und kann auch getrennt werden. Vielleicht können sich die Standardzeit und das Verhalten möglicherweise ändern, nachdem Microsoft den Einsatz in Insider freuen und Bewertungen ergreift; Es ist auch möglich, dass einige Anwendungen von Drittanbietern Probleme mit dieser neuen Funktion haben können. Bitte verwenden Sie den Feedback-Hub, um Fehler zu melden, ob Sie feststellen, dass die Trennung dieser Funktion das Problem Ihrer Anwendung löst.
Diese Funktion wird vom PowerShell Cmdlet gesteuert:
Set-smbserverconfiguration -invalidAuthenticationDelayTimeInms n
Der Wert ist in Millisekunden angegeben, muss mehrere 100 sein und von 0 bis 10.000 liegen. Der Wert 0 deaktiviert diese Funktion.
Um den aktuellen Wert anzuzeigen, starten Sie:
Get-Smbserverconfiguration.
Diese Verhaltensänderung wirkt sich nicht auf Kerberos aus, der die Authentifizierung durchführt, bevor das Anwendungsprotokoll wie SMB angeschlossen wird. Es ist darauf ausgelegt, ein weiteres Maß an Ihrem Schutz in der detaillierten Planung zu werden. Dies setzt die neue Generation von SMB-Sicherheitsverbesserungen und -Dateiserver fort, die zuerst mit SMB über Quic in Windows 11 und Windows Server 2022 gestartet werden. Microsoft wird in den folgenden Veröffentlichungen von Betriebssystemen in den folgenden Releases von Betriebssystemen mit SMB über Quic in Windows 11 und Windows Server mit der SMB über Quic begonnen. Rahmen der Sicherheitsmodernisierungskampagne, ähnliche Entfernung von SMB1.
Weitere Informationen zum SMB NTLM-Authentifizierungsgeschwindigkeitsbegrenzer finden Sie unter https://aka.ms/smbautratelimiter. Weitere Informationen zur künftigen SMB-Sicherheit finden Sie unter https://aka.ms/filecab.