Le service de serveur SMB de Microsoft sur Windows 11 a reçu une mise à jour visant à améliorer sa défense contre les attaques par force brute.
Dans la dernière mise à jour Windows 11 2022 du système d’exploitation, Insider Preview Build 25206, récemment poussée vers le Dev Channel, le limiteur de taux d’authentification SMB est activé par défaut.
De plus, quelques autres paramètres ont été modifiés pour rendre ces attaques « moins efficaces ».
Cible peu attrayante
« Avec la sortie de Windows 11 Insider Preview Build 25206 Dev Channel aujourd’hui, le service de serveur SMB utilise désormais par défaut une valeur par défaut de 2 secondes entre chaque échec d’authentification NTLM entrante », a déclaré Ned Pyle, responsable de programme principal du groupe d’ingénierie Microsoft Windows Server. dans un article de blog (s’ouvre dans un nouvel onglet) annonçant la nouvelle.
« Cela signifie que si un attaquant envoyait auparavant 300 tentatives de force brute par seconde depuis un client pendant 5 minutes (90 000 mots de passe), le même nombre de tentatives prendrait désormais 50 heures au minimum. »
En d’autres termes, en activant la fonctionnalité, il y a un délai entre chaque tentative d’authentification NTLM infructueuse, ce qui rend le service de serveur SMB plus résistant aux attaques par force brute.
« L’objectif ici est de faire d’un client Windows une cible peu attrayante, soit lorsqu’il se trouve dans un groupe de travail, soit pour ses comptes locaux lorsqu’il est joint à un domaine », ont ajouté Amanda Langowski et Brandon LeBlanc de Microsoft.
Le limiteur de taux d’authentification, qui n’est pas activé par défaut, a été introduit pour la première fois dans les versions Windows Server, Windows Server Azure Edition et Windows 11 Insider, il y a environ six mois. Le serveur SMB, en revanche, se lance automatiquement sur toutes les versions. Il doit cependant être exposé à Internet en ouvrant manuellement un pare-feu.
Les personnes intéressées à essayer la nouvelle fonctionnalité doivent exécuter cette commande PowerShell :
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n
« Ce changement de comportement n’a aucun effet sur Kerberos, qui s’authentifie avant qu’un protocole d’application comme SMB ne se connecte. Il est conçu pour être une autre couche de défense en profondeur, en particulier pour les appareils non liés à des domaines tels que les utilisateurs à domicile », a également déclaré Pyle.