Microsoft: последняя сборка Windows Server 25075 делает хакерские атаки очень сложными
Microsoft выпустила новую предварительную сборку Windows Server Long-Term Servicing Channel (LTSC). В новой сборке 25075 усилена защита от атак методом перебора по словарю. Microsoft добилась этого, внедрив ограничитель скорости аутентификации, в котором по умолчанию установлена 2-секундная задержка между каждой неудачной аутентификацией New Technology LAN Manager (NTLM) или аутентификацией с запросом/ответом.
По словам компании, эта простая задержка увеличивает время, необходимое для выполнения таких атак, в безумно больших пропорциях. В своем примере Microsoft говорит, что 5-минутные 300 попыток теперь потребуют больше, чем полный день (25 часов):
Начиная со сборки Windows Insider 25069.1000.220302-1408 и более поздних версий в Windows 11 и Windows Server 2022, служба SMB Server теперь реализует 2-секундную задержку по умолчанию между каждой неудачной проверкой подлинности на основе NTLM. Это означает, что если ранее злоумышленник отправлял от клиента 300 попыток брутфорса в секунду в течение 5 минут, то такое же количество попыток теперь будет занимать как минимум 25 часов.
Однако Microsoft также предупредила, что это может вызвать проблемы с некоторыми сторонними приложениями, поэтому сейчас это только инсайдерская функция. Если возникнут проблемы, Microsoft попросила пользователей сообщать об ошибках на случай, если проблема исчезнет после отключения этой функции. Однако, если проблема не устранена, вероятно, дело в чем-то другом. Компания отмечает, что:
Этот параметр контролируется администратором, а также может быть отключен. Возможно, время по умолчанию и поведение могут измениться после того, как мы оценим использование в инсайдерах и получим отзывы; также возможно, что некоторые сторонние приложения могут иметь проблемы с этой новой функцией. Пожалуйста, используйте Центр отзывов, чтобы сообщить об ошибках, если вы обнаружите, что отключение этой функции решает проблему вашего приложения.
Вот как работает новый ограничитель скорости аутентификации SMB NTLM:
Эта функция управляется командлетом PowerShell:
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs nЗначение указывается в миллисекундах, должно быть кратно 100 и может принимать значения от 0 до 10000. Значение 0 отключает эту функцию.
Чтобы увидеть текущее значение, запустите:
Get-SmbServerConfigurationДоступные загрузки:
- Windows Server Long-Term Servicing Channel Preview в формате ISO на 18 языках и в формате VHDX только на английском языке.
- Microsoft Server Languages and Optional Features Preview и дополнительных функций.
Ключи действительны только для предварительных сборок:
- Server Standard: MFY9F-XBN2F-TYFMP-CCV49-RMYVH
- Datacenter: 2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
