Tags: Windows 11, Windows Server 2022, Authentifizierung, Passwort
Die NTLM-Authentifizierung wird nach wie vor in vielen Umgebungen beim Zugriff auf SMB-Freigaben verwendet. Dieses veraltete Protokoll ist jedoch anfällig für alle möglichen Angriffe, darunter auch Brute-Force-Attacken mit Hilfe von Wörterbüchern. Ein neuer Schutzmechanismus soll solche automatisierten Angriffe ausbremsen.
In den meisten Netzwerken sind die File-Services auf vielen Rechnern aktiviert, um den Austausch von Dateien zu vereinfachen. Wenn es einem Hacker gelingt, einen Benutzernamen zu erraten oder aus dem Active Directory auszulesen, dann kann er NTLM-Anmeldeversuche in sehr kurzen Abständen an einen SMB-Server schicken.
Viele Anmeldeversuche in kurzer Zeit
Um Passwörter der verwendeten Konten zu knacken, kommen typischerweise Dictionaries oder Listen mit kompromittierten Kennwörtern zum Einsatz. Wenn sich in automatisierten Angriffen mehrere hundert Login-Versuche pro Sekunde absetzen lassen, dann bestehen gute Chancen für eine erfolgreiche Anmeldung nach kurzer Zeit.
Unternehmen können sich bisher dagegen schützen, indem sie Konten nach einer bestimmten Zahl an gescheiterten Anmeldeversuchen sperren. Dieses Feature lässt sich jedoch für Denial-of-Service-Attacken missbrauchen.
Intervalle zwischen den Logins
Mit dem Windows Insider Build 25069.1000.220302-1408 führte Microsoft einen alternativen Mechanismus zum Schutz gegen missbräuchliche SMB-NTLM-Authentifizierungen ein. Der so genannte SMB NTLM Authentication Rate Limiter erlaubt die Definition von Intervallen, die zwischen zwei Anmeldeversuchen vergehen müssen.
Dadurch werden automatisierte Angriffe ausgebremst und es würde um ein Vielfaches länger dauern, um ein Passwort zu knacken.
Verwaltung per PowerShell
Dieses Feature lässt sich über PowerShell verwalten. Um die aktuelle Einstellung abzufragen, verwendet man dieses Kommando:
Get-SmbServerConfiguration | select InvalidAuthenticationDelayTimeInMs
Um das Intervall zwischen zwei Anmeldeversuchen festzulegen, geht man folgendermaßen vor:
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Millisekunden>
Aktuell findet sich diese Sicherheitsfunktion nur in den neusten Insider Builds für Windows 11 und die nächste Version von Windows Server LTSC. Es soll dann im nächsten jährlichen Update von Windows Server Azure Edition enthalten sein.
Product Manager Ned Pyle zufolge erwägt Microsoft zudem, den SMB NTLM Authentication Rate Limiter zurück auf Server 2022 und möglicherweise auch auf Server 2019 zu portieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Windows 11 September-Update: Integration von KI, neue Win365- und Authentifizierungs-Funktionen
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
- Vergessenes Administrator-Passwort in Windows 11 und Server Core offline zurücksetzen
- Passwörter in PowerShell speichern
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
Weitere Links