Il semble que le mécanisme anti-force brute mis en place par Microsoft dans Windows 11 il y a moins d’un mois fonctionne, car la société a décidé de l’étendre à toutes les autres versions prises en charge du système d’exploitation.
Dans une annonce, Microsoft a expliqué que les administrateurs informatiques peuvent désormais configurer leurs systèmes pour bloquer automatiquement ces types d’attaques contre les comptes d’administrateurs locaux via une stratégie de groupe.
« Afin d’empêcher de nouvelles attaques/tentatives de force brute, nous mettons en place des verrouillages de compte pour les comptes administrateur », a déclaré Microsoft. « À partir des mises à jour cumulatives Windows du 11 octobre 2022 ou ultérieures, une politique locale sera disponible pour activer le verrouillage des comptes d’administrateurs locaux. »
Tester les fonctionnalités avec Windows 11
Microsoft a introduit le changement pour la première fois fin septembre, avec l’Insider Preview Build 25206, en rendant le limiteur de taux d’authentification SMB activé par défaut. Quelques autres paramètres ont également été modifiés pour rendre ces attaques « moins efficaces ».
« Le service de serveur SMB utilise désormais par défaut une valeur par défaut de 2 secondes entre chaque échec d’authentification NTLM entrante », a déclaré à l’époque Ned Pyle, responsable principal du programme dans le groupe d’ingénierie Microsoft Windows Server.
« Cela signifie que si un attaquant a précédemment envoyé 300 tentatives de force brute par seconde à partir d’un client pendant 5 minutes (90 000 mots de passe (s’ouvre dans un nouvel onglet)), le même nombre de tentatives prendrait désormais 50 heures au minimum. »
En d’autres termes, en activant la fonctionnalité, il y a un délai entre chaque tentative d’authentification NTLM infructueuse, ce qui rend le service de serveur SMB plus résistant aux attaques par force brute.
Pour activer la fonctionnalité, les administrateurs informatiques doivent rechercher Local Computer PolicyComputer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesAccount Lockout Policies pour la stratégie « Autoriser le verrouillage du compte administrateur ».
Parallèlement à ce changement, Microsoft a également modifié la configuration de tous les mots de passe d’administrateur local, nécessitant au moins trois des quatre types de caractères de base – minuscules, majuscules, chiffres et symboles.
Via BleepingComputer (s’ouvre dans un nouvel onglet)