Microsoft выпустила сборку Windows Server Preview Build 25075

Компания Microsoft выпустила сборку Windows Server Preview Build 25075.

Что нового

Ограничитель скорости аутентификации SMB NTLM

SMB — это не просто файловый сервер, работающий на десятках миллионов компьютеров с Windows Server, это повсеместная служба на более чем миллиарде компьютеров с Windows 10 и 11. Хотя удаленный доступ по умолчанию невозможен, и, хотя не все компьютеры являются выделенными файловыми серверами, ИТ-персонал часто разрешает доступ к серверу SMB по законным организационным причинам, таким как передача файлов. Побочным эффектом такого повсеместного распространения является то, что SMB может быть полезным механизмом аутентификации для злоумышленников, пытающихся атаковать по словарю методом грубой силы. После перечисления или угадывания имен Active Directory или локальных учетных записей с помощью других средств злоумышленник может с высокой скоростью — от десятков до сотен попыток в секунду — отправлять на компьютер входы в систему NTLM, пытаясь угадать свой пароль. Если в организации нет программного обеспечения для обнаружения вторжений или не установлен порог блокировки пароля, злоумышленник может угадать пароль пользователя в течение нескольких часов или меньше.

Начиная со сборки Windows Insider Build 25069.1000.220302-1408 и более поздних версий Windows 11 и Windows Server 2022, служба SMB Server теперь реализует 2-секундную задержку по умолчанию между каждой неудачной аутентификацией на основе NTLM. Это означает, что если ранее злоумышленник отправлял от клиента 300 попыток брутфорса в секунду в течение 5 минут, то такое же количество попыток теперь будет занимать как минимум 25 часов. Этот параметр контролируется администратором, а также может быть отключен. Возможно, время по умолчанию и поведение могут измениться после того, как Microsoft оценит использование в инсайдерах и получит отзывы; также возможно, что некоторые сторонние приложения могут иметь проблемы с этой новой функцией. Пожалуйста, используйте Feedback Hub, чтобы сообщать об ошибках, если вы обнаружите, что отключение этой функции решает проблему вашего приложения.

Эта функция управляется с помощью командлета PowerShell:

Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n

Значение указывается в миллисекундах, должно быть кратно 100 и может быть от 0 до 10000. Значение 0 отключает эту функцию.

Чтобы увидеть текущее значение, запустите:

Get-SmbServerConfiguration

Это изменение поведения не влияет на Kerberos, который выполняет аутентификацию перед подключением протокола приложения, такого как SMB. Он разработан, чтобы стать еще одним уровнем вашей защиты при детальном планировании. Это продолжает новое поколение улучшений безопасности SMB и файловых серверов, впервые начатых с SMB over QUIC в Windows 11 и Windows Server 2022. Microsoft объявит устаревшие и удалит многие устаревшие протоколы SMB и pre-SMB в следующих релизах операционных систем в рамках кампании по модернизации безопасности, аналогичной удалению SMB1.

Дополнительные сведения об ограничителе скорости аутентификации SMB NTLM см. на странице https://aka.ms/smbauthratelimiter. Дополнительные сведения о будущем безопасности SMB см. на странице https://aka.ms/filecab.