Es scheint, dass der Anti-Brute-Force-Mechanismus, den Microsoft vor weniger als einem Monat in Windows 11 implementiert hat, funktioniert, da das Unternehmen beschlossen hat, ihn in allen anderen unterstützten Versionen des Betriebssystems zu implementieren.
In einer Ankündigung erklärte Microsoft, dass IT-Administratoren ihre Systeme jetzt so konfigurieren können, dass diese Art von Angriffen gegen lokale Administratorkonten automatisch über Gruppenrichtlinien blockiert werden.
„Um weitere Brute-Force-Angriffe/-Versuche zu verhindern, führen wir Kontosperrungen für Administratorkonten ein“, sagte Microsoft. „Ab den kumulativen Windows-Updates am 11. Oktober 2022 oder später wird eine lokale Richtlinie verfügbar sein, um das Blockieren lokaler Administratorkonten zu ermöglichen.“
Testfunktionen mit Windows 11
Microsoft führte die Änderung erstmals Ende September mit Insider Preview Build 25206 ein, das den SMB-Authentifizierungsratenbegrenzer standardmäßig aktiviert. Einige andere Einstellungen wurden ebenfalls geändert, um diese Angriffe „weniger effektiv“ zu machen.
„Der SMB-Serverdienst ist jetzt standardmäßig auf 2 Sekunden zwischen jedem eingehenden NTLM-Authentifizierungsfehler eingestellt“, sagte Ned Pyle, leitender Programmmanager in der Microsoft Windows Server-Engineering-Gruppe, damals.
„Das heißt, wenn ein Angreifer zuvor 300 Minuten lang 5 Brute-Force-Versuche pro Sekunde von einem Client gesendet hat (90,000 Passwörter (öffnet sich in neuem Tab)), würde die gleiche Anzahl von Versuchen jetzt mindestens 50 Stunden dauern.“
Mit anderen Worten, durch die Aktivierung der Funktion gibt es eine Verzögerung zwischen jedem fehlgeschlagenen NTLM-Authentifizierungsversuch, wodurch der SMB-Serverdienst widerstandsfähiger gegen Brute-Force-Angriffe wird.
Um die Funktion zu aktivieren, sollten IT-Administratoren nach „Lokale Computerrichtlinie“, „Computerkonfiguration“, „Windows-Einstellungen“, „Sicherheitseinstellungen“, „Kontorichtlinien“ und „Kontosperrungsrichtlinien“ nach der Richtlinie „Sperrung des Administratorkontos zulassen“ suchen.
Zusammen mit dieser Änderung hat Microsoft auch die Einstellungen für alle lokalen Administratorkennwörter geändert, die mindestens drei der vier grundlegenden Zeichentypen erfordern: Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole.
Über BleepingComputer (Wird in einem neuen Tab geöffnet)