High Tech

Microsoft ha rilasciato un'Anteprima di Windows Server Build 25075 Assembly

Microsoft ha rilasciato un'Anteprima di Windows Server Build 25075 Assembly

Cosa c'è di nuovo

Velocità di autenticazione NTLM SMB

SMB non è solo un file server che lavora su decine di milioni di computer con Windows Server, questo è un servizio diffuso su più di un miliardo di computer con Windows 10 e 11. Sebbene l'accesso remoto non sia possibile e, sebbene non tutti i computer siano assegnati I server file, -Ferl consente spesso l'accesso al server SMB per motivi organizzativi legittimi, come il trasferimento dei file. L'effetto collaterale di tale distribuzione onnipresente è che il SMB può essere un utile meccanismo di autenticazione per gli intrusi che stanno cercando di attaccare nel dizionario di forza grossolana. Dopo aver elencato o indovinare nomi di directory attivi o conti locali con altri mezzi, un utente malintenzionato può ad alta velocità - da dozzine a centinaia di tentativi al secondo - invia agli ingressi del computer al sistema NTLM, cercando di indovinare la password. Se l'organizzazione non ha software per rilevare l'intrusione o la soglia di blocco della password non è impostato, l'attaccante può indovinare la password dell'utente per diverse ore o meno.

A partire da Windows Insider Build 25069.1000.220302-1408 e successivo Windows 11 e Windows Server 2022, il servizio Server SMB ora implementa un ritardo predefinito di 2 secondi tra ciascuna autenticazione basata su NTLM non richiesta. Ciò significa che se in precedenza l'attaccante ha inviato 300 tentativi da BrutFors al secondo dal client per 5 minuti, lo stesso numero di tentativi impiegherà ora almeno 25 ore. Questo parametro è controllato dall'amministratore e può anche essere disconnesso. Forse il tempo e il comportamento predefinito possono cambiare dopo che Microsoft apprezzerà l'uso in Insider e ricevere recensioni; È anche possibile che alcune applicazioni di terze parti possano avere problemi con questa nuova funzionalità. Utilizzare l'hub di feedback per segnalare gli errori se si scopre che la disconnessione di questa funzione risolve il problema dell'applicazione.

Questa funzione è controllata dal cmdlet PowerShell:

Set-smbserverconfiguration -invalidauthentiationdelaytimeinms n

Il valore è indicato in millisecondi, deve essere più 100 e può essere da 0 a 10.000. Il valore 0 disabilita questa funzione.

Per vedere il valore corrente, iniziare:

Get-smbserverconfiguration.

Questo cambiamento nel comportamento non influisce sui Kerberos, che esegue l'autenticazione prima di collegare il protocollo dell'applicazione, come SMB. È progettato per diventare un altro livello della tua protezione nella pianificazione dettagliata. Ciò continua la nuova generazione di miglioramenti della sicurezza SMB e server file, iniziati per la prima volta con SMB su Quic in Windows 11 e Windows Server 2022. Microsoft annuncerà obsoleto e rimuoverà molti protocolli SMB obsoleti e pre-smB nei seguenti rilasci dei sistemi operativi nel Quadro della campagna di modernizzazione della sicurezza, rimozione simile di SMB1.

Per ulteriori informazioni sul limitatore di velocità di autenticazione NTLM SMB, vedere https://aka.ms/smbauthratelimiter. Per ulteriori informazioni sulla futura sicurezza SMB, vedere https://aka.ms/filecab.