Microsoft apporte des améliorations significatives à l’authentification SMB dans Windows 11.

Microsoft améliore constamment Windows, et tandis que les utilisateurs réguliers évaluent ces efforts en fonction de ce qu’ils peuvent réellement voir et utiliser, la société apporte de nombreux changements au back-end qui affectent principalement les administrateurs informatiques, et les avantages sont transmis aux consommateurs sans eux. vous savez .. Microsoft a révélé aujourd’hui une de ces améliorations clés qu’il apporte à Windows 11.

Dans un article de blog technique , Ned Pyle, responsable principal des programmes chez Microsoft, a détaillé la modification que la société a apportée à l’authentification SMB (Server Message Block) dans Windows 11.

En fait, en mars , Microsoft a annoncé une fonctionnalité appelée « SMB Authentication Rate Limiter » qui est devenue disponible pour les initiés utilisant Windows 11 et Windows Server. Pyle explique que le personnel informatique accède souvent au service SMB depuis son ordinateur pour des actions rapides telles que la copie de journaux.

Cependant, si un attaquant met la main sur le nom d’utilisateur d’un employé informatique, il peut continuellement envoyer des tentatives de connexion locales ou Active Directory NTLM au serveur SMB à l’aide d’un outil open source. Si le service de sécurité de l’organisation n’a pas configuré de règles de détection d’intrusion ou de règles de pare-feu pour ce service particulier, un attaquant pourrait finir par deviner son mot de passe et l’utiliser comme point d’entrée pour infiltrer davantage son système. Il en va de même pour le consommateur qui désactive les paramètres du pare-feu et se rend sur un réseau non sécurisé.

Le limiteur de débit d’authentification SMB tente de rendre le service SMB plus complexe et, comme l’appelle Pyle, une cible « peu attrayante » pour un attaquant en introduisant un délai d’attente de 2 secondes pour chaque échec de tentative d’authentification NTLM. Ainsi, si un attaquant envoyait 300 tentatives par seconde pendant 5 minutes, le même effort prendrait désormais 50 heures.

Bien que le limiteur de taux d’authentification SMB ait été désactivé par défaut dans les éditions Insider de Windows 11 et Windows Server, Microsoft l’a activé par défaut dans le dernier Windows 11 Dev Channel Build 25206, qui était disponible hier. Il est très important de comprendre que cette modification n’a pas été apportée à la version 25206 de Windows Server vNext, qui est également devenue disponible au même moment.

Vous pouvez voir la configuration actuelle en exécutant la commande suivante dans PowerShell :

Get-SmbServerConfiguration

Et vous pouvez personnaliser la configuration du délai d’attente en fonction de vos préférences avec la commande PowerShell suivante :

Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n

Dans la commande ci-dessus, « n » est défini en millisecondes et doit être un multiple de 100. Si vous le définissez sur 0, cela signifie que le limiteur de débit d’authentification SMB est désactivé. Si vous souhaitez une démonstration plus pratique, regardez la vidéo utile de Pyle ci-dessous :

Bien que cette fonctionnalité soit disponible dans Insider Preview sur Windows 11 et Windows Server, elle n’est activée par défaut que sur le premier – si vous exécutez la version 25206, c’est-à-dire. La raison en est que Microsoft souhaite recueillir des commentaires et voir s’il y a des problèmes avec ce comportement avant de le déployer à un public plus large. À ce titre, Microsoft a demandé aux utilisateurs de Windows 11 de signaler tout comportement anormal dans le Feedback Hub. Comme pour toute fonctionnalité de prévisualisation, rien ne garantit que Microsoft la mettra à la disposition de tous dans un proche avenir.

Cette fonctionnalité n’affecte pas les mécanismes d’authentification Kerberos. Microsoft prévoit de lancer prochainement une campagne de « mise à niveau de la sécurité » pour éliminer progressivement le comportement des SMB ou des anciennes SMB sur les versions de Windows, une feuille de route plus détaillée sera bientôt publiée.