Firma Microsoft wprowadza znaczące ulepszenia uwierzytelniania SMB w systemie Windows 11.

Microsoft stale ulepsza system Windows i podczas gdy zwykli użytkownicy oceniają te wysiłki na podstawie tego, co faktycznie widzą i wykorzystują, firma wprowadza wiele zmian w zapleczu, które dotyczą głównie administratorów IT, a bez nich korzyści są przekazywane konsumentom. wiesz… Microsoft ujawnił dziś jedno z takich kluczowych ulepszeń, które wprowadza do systemu Windows 11.

W poście na blogu technicznym Ned Pyle, starszy menedżer programu firmy Microsoft, szczegółowo opisał zmianę, jaką firma wprowadziła w uwierzytelnianiu Server Message Block (SMB) w systemie Windows 11.

W rzeczywistości w marcu Microsoft ogłosił funkcję o nazwie „Ogranicznik szybkości uwierzytelniania SMB” , która stała się dostępna dla niejawnych testerów korzystających z systemu Windows 11 i Windows Server. Pyle wyjaśnia, że ​​pracownicy IT często uzyskują dostęp do usługi SMB ze swojego komputera, aby wykonać szybkie czynności, takie jak kopiowanie dzienników.

Jeśli jednak atakujący dostanie w swoje ręce nazwę użytkownika pracownika IT, może on stale wysyłać próby logowania lokalnego lub usługi Active Directory NTLM do serwera SMB za pomocą narzędzia typu open source. Jeśli usługa bezpieczeństwa organizacji nie skonfigurowała żadnych reguł wykrywania włamań ani reguł zapory sieciowej dla tej konkretnej usługi, osoba atakująca może odgadnąć jego hasło i użyć go jako punktu wejścia do dalszej infiltracji systemu. To samo dotyczy konsumenta, który wyłącza ustawienia zapory i przechodzi do niezabezpieczonej sieci.

Ogranicznik szybkości uwierzytelniania SMB próbuje uczynić usługę SMB bardziej złożoną i, jak nazywa to Pyle, „nieatrakcyjnym” celem dla atakującego, wprowadzając 2-sekundowy limit czasu dla każdej nieudanej próby uwierzytelnienia NTLM. Tak więc, jeśli atakujący wysłałby 300 prób na sekundę przez 5 minut, ten sam wysiłek zająłby teraz 50 godzin.

Chociaż ogranicznik szybkości uwierzytelniania SMB był domyślnie wyłączony w wersjach Insider Edition systemu Windows 11 i Windows Server, firma Microsoft włączyła go domyślnie w najnowszej wersji Windows 11 Dev Channel Build 25206, która była dostępna wczoraj. Bardzo ważne jest, aby zrozumieć, że ta zmiana nie została wprowadzona w Windows Server vNext build 25206, który również stał się dostępny w tym samym czasie.

Możesz zobaczyć bieżącą konfigurację, uruchamiając następujące polecenie w PowerShell:

Get-SmbServerConfiguration

Możesz dostosować konfigurację limitu czasu zgodnie ze swoimi preferencjami za pomocą następującego polecenia PowerShell:

Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n

W powyższym poleceniu „n” jest definiowane w milisekundach i musi być wielokrotnością 100. Jeśli ustawisz ją na 0, oznacza to, że ogranicznik szybkości uwierzytelniania SMB jest wyłączony. Jeśli chcesz bardziej praktyczne demo, obejrzyj pomocny film Pyle poniżej:

Chociaż ta funkcja jest dostępna w podglądzie Insider zarówno w systemie Windows 11, jak i Windows Server, jest ona domyślnie włączona tylko w pierwszym – jeśli używasz kompilacji 25206, to znaczy. Powodem tego jest to, że firma Microsoft chce zebrać opinie i sprawdzić, czy są jakieś problemy z tym zachowaniem przed udostępnieniem go szerszej publiczności. W związku z tym firma Microsoft poprosiła użytkowników systemu Windows 11 o zgłaszanie wszelkich nietypowych zachowań w Centrum opinii. Podobnie jak w przypadku każdej funkcji w wersji zapoznawczej, nie ma gwarancji, że firma Microsoft udostępni ją wszystkim w najbliższej przyszłości.

Ta funkcja nie wpływa na mechanizmy uwierzytelniania Kerberos. Microsoft planuje wkrótce rozpocząć kampanię „uaktualnienia zabezpieczeń”, aby wyeliminować zachowanie SMB lub starszych SMB w wersjach Windows, bardziej szczegółowy plan działania zostanie wkrótce opublikowany.