微软宣布,通过向 Dev Channel 发布 Insider Preview Build 25206,Windows 11 SMB 服务器现在可以更好地抵御暴力攻击。
从最新的 Windows 11 Insider 开发版本开始,Redmond 默认启用了 SMB 身份验证速率限制器,并调整了一些设置以降低此类攻击的效率。
“随着今天 Windows 11 Insider Preview Build 25206 Dev Channel 的发布,SMB 服务器服务现在默认在每次失败的入站 NTLM 身份验证之间间隔 2 秒,” Microsoft Windows Server 工程组的主要项目经理 Ned Pyle
“这意味着,如果攻击者之前每秒从客户端发送 300 次暴力尝试,持续 5 分钟(90,000 个密码),那么相同数量的尝试现在至少需要 50 小时。”
启用后,此功能会在每次失败的 NTLM 身份验证之间添加延迟,作为 SMB 服务器服务的额外保护。
微软的 Amanda Langowski 和 Brandon LeBlanc补充说:“这里的目标是让 Windows 客户端成为一个没有吸引力的目标,无论是在工作组中还是在加入域时的本地帐户 。”
虽然 SMB 服务器将在所有 Windows 版本上自动启动,但只有在手动打开防火墙或创建客户 SMB 共享以打开它时,它才会暴露在 Internet 上。
如何在 Windows Server 上启用
SMB 身份验证速率限制器于 3 月首次 在 Windows Server、Windows Server Azure 版和 Windows 11 Insider 版本中引入,但默认情况下未启用。
为了利用对运行 Windows Server 的系统的强力攻击的增强保护,管理员必须使用以下 PowerShell 命令手动启用它(其中 n 是每次失败的 NTLM 身份验证尝试之间的延迟时间):
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n“这种行为变化对 Kerberos 没有影响,它 在 SMB 等应用程序协议连接之前 进行身份验证。它旨在成为另一层深度防御,特别是对于未加入域的设备,例如家庭用户,”Pyle 补充道。
今天的公告是在微软披露了近年来的其他几项 SMB 安全增强功能之后发布的,包括 在默认情况下切换已有 30 年历史的 SMBv1 文件共享协议 (对于某些用户)和 SMB over QUIC 在 Windows 11 和 Windows Server 2022 中实现普遍可用性。
“我们将在接下来的几个主要操作系统版本的安全现代化活动中强化、弃用或删除许多遗留的 SMB 和 pre-SMB 协议行为,类似于删除 SMB1,”Pyle 总结道。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Windows 11获得更好的针对SMB暴力攻击的保护
