{"id":273174,"date":"2022-09-25T00:32:00","date_gmt":"2022-09-24T22:32:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273174"},"modified":"2022-09-24T07:27:59","modified_gmt":"2022-09-24T05:27:59","slug":"windows-11-verstrkt-schutz-des-smb-datenverkehrs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/25\/windows-11-verstrkt-schutz-des-smb-datenverkehrs\/","title":{"rendered":"Windows 11 verstärkt Schutz des SMB-Datenverkehrs"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft beginnt in Windows 11 den Schutz f\u00fcr das SMB-Protokoll zu verbessern. So hat Microsoft in Windows 11 (in Insider Previews) eine Verz\u00f6gerung zwischen SMB-Authentifizierungen eingef\u00fchrt. Das soll ein Ausspionieren des SMB-Datenverkehrs verhindern. Zudem gibt es einen Schutz vor SMB-\u00dcberwachung. Microsoft hat einige Blog-Beitr\u00e4ge zu den getroffenen Schutzma\u00dfnahmen ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Windows 11 SMB Auth Rate-Limiter<\/h2>\n

\"\"Microsoft f\u00fchrt in Windows 11 einen neuen Schutz f\u00fcr die SMB-Authentifizierung ein. Einen SMB-Authentifizierungsratenbegrenzer bewirkt eine eine 2-Sekunden-Verz\u00f6gerung zwischen fehlgeschlagenen Authentifizierungsanfragen. Nachfolgender Tweet<\/a> weist auf diesen Sachverhalt hin.<\/p>\n

\"SMB<\/a><\/p>\n

Microsoft hat dazu den Techcommunity-Beitrag SMB authentication rate limiter now on by default in Windows Insider<\/a> ver\u00f6ffentlicht. Ned Pyle erkl\u00e4rt die Funktion, die in Windows 11 und Windows Server in Insider Versionen eingef\u00fchrt wurde.H\u00e4ufig aktivieren Administratoren den Zugriff auf den SMB-Serverdienst auf Rechnern, die keine dedizierten Dateiserver sind. Problem ist, dass Hacker \u00fcber SMB die M\u00f6glichkeit erhalten, Authentifizierungsversuche zu starten. Kennt ein Angreifer einen Benutzernamen, kann er mit Hilfe g\u00e4ngiger Open-Source-Tools Dutzende bis Hunderte lokale oder Active Directory-NTLM-Anmeldeversuche an einen Computer senden – um ein Passwort zu erraten. Wird keine Software zur Erkennung von Eindringlingen einsetzt oder keine Richtlinie zur Sperrung von Kennw\u00f6rtern einrichtet, kann ein Angreifer das Kennwort eines Benutzers innerhalb von Tagen oder Stunden erraten. Ein Privatanwender, der seine Firewall ausschaltet und sein Ger\u00e4t in ein unsicheres Netzwerk einbringt, hat ein \u00e4hnliches Problem.<\/p>\n

Genau dies soll der SMB authentication rate limiter unterbinden. Windows 11 Insider Preview Build 25206 Dev Channel wird der SMB-Serverdienst nun standardm\u00e4\u00dfig auf eine 2-Sekunden-Vorgabe zwischen jeder fehlgeschlagenen eingehenden NTLM-Authentifizierung eingestellt. Das bedeutet, dass ein Angreifer, der zuvor 300 Brute-Force-Versuche pro Sekunde von einem Client f\u00fcr 5 Minuten (90.000 Passw\u00f6rter) gesendet hat, jetzt mindestens 50 Stunden f\u00fcr die gleiche Anzahl von Versuchen ben\u00f6tigt. Das Ziel ist es, einen Computer zu einem sehr unattraktiven Ziel f\u00fcr Angriffe auf lokale Anmeldeinformationen \u00fcber SMB zu machen.<\/p>\n

Diese Einstellung kann zeitlich variabel konfiguriert werden, und Sie k\u00f6nnen sie auch deaktivieren, wenn Sie ein Problem mit der Anwendungskompatibilit\u00e4t feststellen. Abfragen l\u00e4sst sich der aktuelle Wert mit:<\/p>\n

Get-SmbServerConfiguration<\/p>\n

Die Konfigurierung erfolgt per PowerShell:<\/p>\n

Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n<\/p>\n

Der Wert wird in Millisekunden angegeben, muss ein Vielfaches von 100 sein.<\/p>\n

SMB-Verkehrs vor Abh\u00f6rung sch\u00fctzen<\/h2>\n

Ned Pyle weist in nachfolgendem Tweet<\/a> auf einen weiteren Beitrag Protect SMB traffic from interception<\/a> hin.<\/p>\n

\"Protect<\/a><\/p>\n

In diesem Artikel erkl\u00e4rt Microsoft, wie ein Angreifer Abfangtechniken gegen das SMB-Protokoll einsetzen kann und wie Administratoren einen Angriff entsch\u00e4rfen k\u00f6nnen. Die Konzepte unterst\u00fctzen Administratoren bei der Entwicklung Ihrer eigenen Defense-in-Depth-Strategie f\u00fcr das SMB-Protokoll. In weiteren Tweet weist Pyle noch auf folgende Microsoft-Beitr\u00e4ge hin:<\/p>\n