Es scheint, dass der Anti-Brute-Force-Mechanismus, den Microsoft vor weniger als einem Monat in Windows 11 implementiert hat, funktioniert, da das Unternehmen beschlossen hat, ihn auf alle anderen unterstützten Versionen des Betriebssystems auszudehnen.
In einer Ankündigung erklärte Microsoft, dass IT-Administratoren ihre Systeme jetzt so konfigurieren können, dass diese Art von Angriffen gegen lokale Administratorkonten automatisch über eine Gruppenrichtlinie blockiert werden.
„Um weitere Brute-Force-Angriffe/-Versuche zu verhindern, implementieren wir Kontosperrungen für Administratorkonten“, sagte Microsoft. „Ab den kumulativen Windows-Updates vom 11. Oktober 2022 oder später wird eine lokale Richtlinie verfügbar sein, um die Sperrung lokaler Administratorkonten zu aktivieren.“
Testen der Funktionen mit Windows 11
Microsoft hat die Änderung erstmals Ende September mit dem Insider Preview Build 25206 eingeführt, indem der SMB-Authentifizierungsratenbegrenzer standardmäßig aktiviert wurde. Ein paar andere Einstellungen wurden angepasst, um diese Angriffe ebenfalls „weniger effektiv“ zu machen.
„Der SMB-Serverdienst verwendet jetzt standardmäßig einen 2-Sekunden-Standard zwischen jeder fehlgeschlagenen eingehenden NTLM-Authentifizierung“, sagte Ned Pyle, Principal Program Manager in der Microsoft Windows Server Engineering Group, damals.
„Das bedeutet, wenn ein Angreifer zuvor 5 Minuten lang 300 Brute-Force-Versuche pro Sekunde von einem Client gesendet hat (90.000 Passwörter (öffnet in neuem Tab)), würde die gleiche Anzahl von Versuchen jetzt mindestens 50 Stunden dauern.”
Mit anderen Worten, durch das Umschalten der Funktion gibt es eine Verzögerung zwischen jedem erfolglosen NTLM-Authentifizierungsversuch, wodurch der SMB-Serverdienst widerstandsfähiger gegen Brute-Force-Angriffe wird.
Um die Funktion zu aktivieren, sollten IT-Administratoren unter Lokale Computerrichtlinie\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kontosperrungsrichtlinien nach der Richtlinie „Sperrung von Administratorkonten zulassen“ suchen.
Zusammen mit dieser Änderung hat Microsoft auch geändert, wie alle lokalen Administratorkennwörter eingerichtet werden, sodass mindestens drei der vier grundlegenden Zeichentypen erforderlich sind – Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole.
Über Piepender Computer (öffnet in neuem Tab)