Tags: Windows 11, Windows Server 2022, Authentifizierung, Passwort
Die NTLM-Authentifizierung wird nach wie vor in vielen Umgebungen beim Zugriff auf SMB-Freigaben verwendet. Dieses veraltete Protokoll ist jedoch anfällig für alle möglichen Angriffe, darunter auch Brute-Force-Attacken mit Hilfe von Wörterbüchern. Ein neuer Schutzmechanismus soll solche automatisierten Angriffe ausbremsen.
In den meisten Netzwerken sind die File-Services auf vielen Rechnern aktiviert, um den Austausch von Dateien zu vereinfachen. Wenn es einem Hacker gelingt, einen Benutzernamen zu erraten oder aus dem Active Directory auszulesen, dann kann er NTLM-Anmeldeversuche in sehr kurzen Abständen an einen SMB-Server schicken.
Viele Anmeldeversuche in kurzer Zeit
Um Passwörter der verwendeten Konten zu knacken, kommen typischerweise Dictionaries oder Listen mit kompromittierten Kennwörtern zum Einsatz. Wenn sich in automatisierten Angriffen mehrere hundert Login-Versuche pro Sekunde absetzen lassen, dann bestehen gute Chancen für eine erfolgreiche Anmeldung nach kurzer Zeit.
Unternehmen können sich bisher dagegen schützen, indem sie Konten nach einer bestimmten Zahl an gescheiterten Anmeldeversuchen sperren. Dieses Feature lässt sich jedoch für Denial-of-Service-Attacken missbrauchen.
Intervalle zwischen den Logins
Mit dem Windows Insider Build 25069.1000.220302-1408 führte Microsoft einen alternativen Mechanismus zum Schutz gegen missbräuchliche SMB-NTLM-Authentifizierungen ein. Der so genannte SMB NTLM Authentication Rate Limiter erlaubt die Definition von Intervallen, die zwischen zwei Anmeldeversuchen vergehen müssen.
Dadurch werden automatisierte Angriffe ausgebremst und es würde um ein Vielfaches länger dauern, um ein Passwort zu knacken.
Verwaltung per PowerShell
Dieses Feature lässt sich über PowerShell verwalten. Um die aktuelle Einstellung abzufragen, verwendet man dieses Kommando:
Get-SmbServerConfiguration | select InvalidAuthenticationDelayTimeInMs
Um das Intervall zwischen zwei Anmeldeversuchen festzulegen, geht man folgendermaßen vor:
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Millisekunden>
Aktuell findet sich diese Sicherheitsfunktion nur in den neusten Insider Builds für Windows 11 und die nächste Version von Windows Server LTSC. Es soll dann im nächsten jährlichen Update von Windows Server Azure Edition enthalten sein.
Product Manager Ned Pyle zufolge erwägt Microsoft zudem, den SMB NTLM Authentication Rate Limiter zurück auf Server 2022 und möglicherweise auch auf Server 2019 zu portieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Benutzer am Login-Bildschirm anzeigen oder ausblenden mit Gruppenrichtlinien
- LAPS in Windows 11: Verschlüsselung von Passwörtern, Management von DSRM-Konten
- Auch Windows 11 Pro erfordert künftig ein Microsoft-Konto
- Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)
- Passwörter in KeePass nach OneDrive, Google Drive oder Amazon S3 synchronisieren
Weitere Links