Microsoft erschwert Brute-Force-Angriffe auf SMB unter Windows 11

Ab Werk erlaubt Windows 11 nur noch einen fehlgeschlagenen Anmeldeversuch bei SMB alle zwei Sekunden. Microsoft hofft, die Attraktivität von Windows für Brute-Force-Attacken zu reduzieren.

Microsoft hat eine neue Sicherheitsfunktion aktiviert, die die Erfolgsaussichten von Brute-Force-Angriffen auf SMB-Server unter Windows 11 deutlich reduzieren soll. Voreingestellt ist nun eine “Zwangspause” von zwei Sekunden nach jedem fehlgeschlagenen Authentifizierungsversuch per NTLM.

Bisher ist der sogenannte Authentication Rate Limiter ab Werk allerdings nur unter Windows 11 Build 25206 aktiv, der neusten Vorabversion im Developer Channel des Insider-Programms. “Ziel ist es, einen Windows-Client zu einem unattraktiven Ziel zu machen, entweder in einer Arbeitsgruppe oder für lokalen Konten, wenn er einer Domäne angehört”, heißt es im Windows Insider Blog.

Bisher war es demnach möglich, von einem Client aus beispielsweise 300 Brute-Force-Anmeldeversuche gegen einen Client zu starten. Innerhalb von fünf Minuten könnte ein Hacker so 90.000 verschiedene Passwörter für die Anmeldung testen. Mit der Verzögerung von zwei Sekunden nach jedem gescheiterten Anmeldeversuch werden für dieselbe Zahl von Versuchen mindestens 50 Stunden benötigt.

Weitere neue Funktionen für Windows 11

Microsoft weist darauf hin, dass der SMB-Server zwar in allen Versionen von Windows 11 aktiv, jedoch ab Werk von außen nicht erreichbar ist. Dafür müsse die Firewall geöffnet oder eine SMB-Freigabe eingerichtet werden, die die Firewall öffnet.

Zudem werde die Verzögerung von 2000 Millisekunden (2 Sekunden) ausgelöst, sobald ein ungültiger Nutzername oder ein ungültiges Kennwort an einen SMB-Server geschickt werde. Sie sei ab Build 25206 unter allen Versionen von Windows 11 aktiv. In den Insider-Versionen von Windows Server sei die Funktion aber weiterhin deaktiviert, so Microsoft weiter.

Mit dem Build 25206 führt Microsoft auch einen neuen “Öffnen mit”-Dialog ein. Zudem steht für externe Displays die Dynamic Refresh Rate (DRR) zur Verfügung. Benötigt wird ein Monitor mit einer Bildwiederholrate von mindestens 120 Hz, der Variable Refresh Rate (VRR) unterstützt.

Außerdem behebt Microsoft zahlreiche Fehler, unter anderem in OneDrive, den Einstellungen, der Suche und der Windows-Sandbox. Eine Liste aller Fixes sowie der weiterhin bekannten Probleme findet sich im Blogeintrag zu Build 25206.