Microsoft a publié une nouvelle version d’aperçu du canal de maintenance à long terme (LTSC) de Windows Server. Dans la nouvelle version 25075, la protection contre les attaques par dictionnaire a été améliorée. Microsoft y est parvenu en implémentant un limiteur de taux d’authentification qui utilise par défaut un délai de 2 secondes entre chaque échec d’authentification NTLM (New Technology LAN Manager) ou d’authentification challenge/response.
Ce simple retard augmente le temps nécessaire pour exécuter de telles attaques dans des proportions incroyablement élevées, selon la société. Dans leur exemple, Microsoft indique que 5 minutes 300 tentatives prendront désormais plus qu’une journée complète (25 heures) :
À partir de Windows Insider Build 25069.1000.220302-1408 et versions ultérieures dans Windows 11 et Windows Server 2022, le service SMB Server implémente désormais un délai par défaut de 2 secondes entre chaque échec d’authentification basée sur NTLM. Cela signifie que si un attaquant envoyait auparavant 300 tentatives de force brute par seconde depuis un client pendant 5 minutes, le même nombre de tentatives prendra désormais au moins 25 heures.
Cependant, Microsoft a également averti que cela pourrait causer des problèmes avec certaines applications tierces, il ne s’agit donc que d’une fonctionnalité d’initié pour le moment. Si des problèmes surviennent, Microsoft a demandé aux utilisateurs de signaler les bogues au cas où le problème disparaîtrait après la désactivation de cette fonctionnalité. Cependant, si le problème persiste, il s’agit probablement d’autre chose. La société note que :
Ce paramètre est contrôlé par l’administrateur et peut également être désactivé. Les heures et le comportement par défaut peuvent changer après que nous ayons évalué l’utilisation des initiés et reçu des commentaires ; il est également possible que certaines applications tierces rencontrent des problèmes avec cette nouvelle fonctionnalité. Veuillez utiliser le hub de commentaires pour signaler les bogues si vous trouvez que la désactivation de cette fonctionnalité résout le problème de votre application.
Voici comment fonctionne le nouveau limiteur de taux d’authentification SMB NTLM :
Cette fonctionnalité est contrôlée par l’applet de commande PowerShell :
Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs nLa valeur est spécifiée en millisecondes, doit être un multiple de 100 et peut être comprise entre 0 et 10 000. Une valeur de 0 désactive cette fonctionnalité.
Pour voir la valeur actuelle, exécutez :
Get-SmbServerConfiguration
Téléchargements disponibles :
- Aperçu du canal de maintenance à long terme de Windows Server au format ISO en 18 langues et au format VHDX en anglais uniquement.
- Aperçu des langages Microsoft Server et des fonctionnalités supplémentaires
Les clés ne sont valides que pour les pré-constructions :
- Norme de serveur : MFY9F-XBN2F-TYFMP-CCV49-RMYVH
- Centre de données : 2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
Vous pouvez trouver les notes de version officielles ici .
Laisser un commentaire