Windows 11 und Server vNext erhalten NTLM-Schutz gegen Brute-Force-Angriffe


    Tags: , , ,

    Authentifizierung über Username und PasswortDie NTLM-Authenti­fizierung wird nach wie vor in vielen Umgebungen beim Zugriff auf SMB-Freigaben verwendet. Dieses ver­altete Proto­koll ist jedoch anfällig für alle mög­lichen Angriffe, darunter auch Brute-Force-Attacken mit Hilfe von Wörter­­büchern. Ein neuer Schut­z­mechanismus soll solche auto­mati­sierten Angriffe ausbremsen.

    In den meisten Netzwerken sind die File-Services auf vielen Rechnern aktiviert, um den Austausch von Dateien zu vereinfachen. Wenn es einem Hacker gelingt, einen Benutzer­namen zu erraten oder aus dem Active Directory auszulesen, dann kann er NTLM-Anmeldeversuche in sehr kurzen Abständen an einen SMB-Server schicken.

    Viele Anmeldeversuche in kurzer Zeit

    Um Passwörter der verwendeten Konten zu knacken, kommen typischerweise Dictionaries oder Listen mit kompromittierten Kennwörtern zum Einsatz. Wenn sich in automatisierten Angriffen mehrere hundert Login-Versuche pro Sekunde absetzen lassen, dann bestehen gute Chancen für eine erfolgreiche Anmeldung nach kurzer Zeit.

    Unternehmen können sich bisher dagegen schützen, indem sie Konten nach einer bestimmten Zahl an gescheiterten Anmelde­versuchen sperren. Dieses Feature lässt sich jedoch für Denial-of-Service-Attacken missbrauchen.

    Intervalle zwischen den Logins

    Mit dem Windows Insider Build 25069.1000.220302-1408 führte Microsoft einen alternativen Mechanismus zum Schutz gegen missbräuchliche SMB-NTLM-Authenti­fizierungen ein. Der so genannte SMB NTLM Authentication Rate Limiter erlaubt die Definition von Intervallen, die zwischen zwei Anmelde­versuchen vergehen müssen.

    Dadurch werden automatisierte Angriffe ausgebremst und es würde um ein Vielfaches länger dauern, um ein Passwort zu knacken.

    Verwaltung per PowerShell

    Dieses Feature lässt sich über PowerShell verwalten. Um die aktuelle Einstellung abzufragen, verwendet man dieses Kommando:

    Get-SmbServerConfiguration | select InvalidAuthenticationDelayTimeInMs

    Konfiguration des SMB NTLM Authentication Rate Limiter mittels PowerShell

    Um das Intervall zwischen zwei Anmelde­versuchen festzulegen, geht man folgendermaßen vor:

    Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Millisekunden>

    Aktuell findet sich diese Sicherheitsfunktion nur in den neusten Insider Builds für Windows 11 und die nächste Version von Windows Server LTSC. Es soll dann im nächsten jährlichen Update von Windows Server Azure Edition enthalten sein.

    Product Manager Ned Pyle zufolge erwägt Microsoft zudem, den SMB NTLM Authentication Rate Limiter zurück auf Server 2022 und möglicherweise auch auf Server 2019 zu portieren.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links