微软已发布新的 Windows Server 长期服务通道 (LTSC) 预览版。新版本 25075 加强了对暴力字典攻击的防御。微软已通过实施身份验证速率限制器来实现这一点,其中在每个失败的新技术 LAN 管理器 (NTLM) 或质询/响应身份验证之间默认延迟 2 秒。
据该公司称,这种简单的延迟大大增加了执行此类攻击所需的时间。在其示例中,微软表示 5 分钟长的 300 次尝试现在需要超过一整天(25 小时):
从 Windows Insider 内部版本 25069.1000.220302-1408 和更高版本的 Windows 11 和 Windows Server 2022 开始,SMB 服务器服务现在在每次失败的基于 NTLM 的身份验证之间实现默认的 2 秒延迟。这意味着,如果攻击者之前每秒从客户端发送 300 次暴力尝试,持续 5 分钟,那么相同数量的尝试现在至少需要 25 小时。
然而,微软还警告说,这样做可能会导致某些第三方应用程序出现问题,这就是为什么现在它只是一个 Insider 功能。如果出现问题,Microsoft已要求用户提交错误,以防在关闭该功能后问题消失。但是,如果问题仍然存在,则可能还有其他原因。该公司指出:
此设置可由管理员控制,也可以禁用。在我们评估 Insiders 的使用情况并获得反馈后,默认时间和行为可能会发生变化;某些第三方应用程序也可能对此新功能有问题 – 如果您发现禁用该功能可以解决您的应用程序问题,请使用反馈中心提交错误。
以下是新的 SMB NTLM 身份验证速率限制器的工作原理:
此功能由 PowerShell cmdlet 控制:
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n该值以毫秒为单位,必须是 100 的倍数,可以是 0-10000。设置为 0 将禁用该功能。
要查看当前值,请运行:
Get-SmbServerConfiguration
可用下载:
- Windows Server 长期服务通道预览,ISO 格式,18 种语言,VHDX 格式,仅英语。
- 微软服务器语言和可选功能预览
密钥仅对预览版本有效:
- 服务器标准:MFY9F-XBN2F-TYFMP-CCV49-RMYVH
- 数据中心:2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
您可以在此处找到官方发行说明。