Настройка ограничения скорости проверки подлинности S МБ для Windows (предварительная версия)

Область применения: сборки программы предварительной оценки Windows Server, сборки предварительной оценки Windows 11

Внимание

Сборки программы предварительной оценки Windows и Windows Server Insider находятся в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

S МБ ограничение скорости проверки подлинности — это функция S МБ сервера для Windows Server и клиента Windows, предназначенного для устранения атак проверки подлинности методом подбора. Брюс принудительно атакует проверку подлинности на сервер S МБ с несколькими попытками по имени пользователя и паролям в секунду. Начиная с сборки предварительной оценки Windows Server 25075 и Windows 11 Insider build 25375, S МБ ограничение скорости проверки подлинности по умолчанию включено. Задержка по умолчанию между каждой неудачной попыткой проверки подлинности NTLM или PKU2U составляет 2 секунды и может быть настроена. В этой статье Узнайте, как работает ограничение скорости проверки подлинности S МБ и как его настроить.

Если администратор разрешает доступ к службе сервера S МБ через брандмауэр Windows, чтобы открыть или скопировать удаленные файлы, злоумышленник может использовать S МБ доступ в качестве способа проверки подлинности. Зная имя пользователя, злоумышленник может отправлять локальные или локальные входы в систему NTLM на основе Active Directory на компьютере с помощью нескольких методов. Частота угадывания паролей может варьироваться от десятков до тысяч попыток входа в секунду. Дополнительные сведения о NTLM см. в разделе "Обзор NTLM".

Если в вашей организации нет программного обеспечения обнаружения вторжений или не задана политика блокировки паролей, злоумышленник может угадать пароль пользователя. Хотя сервер S МБ работает по умолчанию во всех версиях Windows, он по умолчанию недоступен, если правило брандмауэра не разрешено. Конечный пользователь, который отключает брандмауэр и присоединяет устройство к небезопасной сети, сталкивается с аналогичной проблемой.

Как работает ограничение скорости проверки подлинности S МБ

Служба сервера S МБ использует ограничение скорости проверки подлинности для реализации 2-секундной задержки между каждой неудачной попыткой проверки подлинности НА ОСНОВЕ NTLM или PKU2U. Это означает, что если злоумышленник ранее отправил 300 попыток подбора в секунду от клиента в течение 5 минут (90 000 паролей), то такое же количество попыток в настоящее время займет 50 часов или более. Как и с аналогичными методами глубокой защиты, цель S МБ ограничение скорости проверки подлинности заключается в том, чтобы компьютер Windows был невлекательным целевым объектом, увеличив стоимость атаки.

Необходимые компоненты

Прежде чем настроить ограничение скорости проверки подлинности S МБ, вам потребуется:

• Сервер S МБ, работающий на одном из следующих операционных систем.
  • Windows Server Insiders сборки 25075 или более поздней версии.
  • Windows 11 Insiders сборки 25375 или более поздней версии.
• Администратор истообразные привилегии на компьютер.
• Если вы используете групповую политику в домене, вам потребуются привилегии для создания или изменения объекта групповой политики (GPO) и связывания его с соответствующим подразделением организации.

Настройка ограничения скорости проверки подлинности S МБ

С помощью средства ограничения скорости проверки подлинности S МБ можно задать задержку между неудачными попытками проверки подлинности. Вы также можете включить или отключить ограничение скорости S МБ вручную в PowerShell или с помощью групповой политики. Чтобы включить ограничение скорости проверки подлинности S МБ, выполните действия.

PowerShell

Вот как настроить ограничение скорости проверки подлинности S МБ с помощью командлета SmbServerConfiguration в PowerShell.

1. Откройте окно PowerShell от имени администратора.

2. Определите количество миллисекундах, которые необходимо отложить между каждой неудачной попыткой проверки подлинности NTLM или PKU2U. Значение по умолчанию — 2000 миллисекунд (2 секунды). Значение должно иметь значение 100 с допустимым диапазоном 0–10000.

3. Выполните следующую команду, чтобы включить ограничение скорости проверки подлинности S МБ.

    Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Milliseconds>
   

Примечание.

Если задать значение 0, переменная отключает S МБ ограничение скорости проверки подлинности.

Чтобы просмотреть текущее значение, выполните следующую команду:

Get-SmbServerConfiguration | Format-List -Property InvalidAuthenticationDelayTimeInMs

Групповая политика

Вот как включить и отключить ограничение скорости проверки подлинности S МБ с помощью групповой политики для присоединенных к домену компьютеров.

Чтобы настроить ограничение скорости проверки подлинности S МБ с помощью групповой политики, выполните следующие действия.

1. Откройте Консоль управления групповыми политиками.
2. Измените или создайте объект групповой политики (GPO), который вы хотите использовать.
3. В дереве консоли выберите "Конфигурация > компьютера" Администратор istrative templates > Network > Lanman Server.
4. Для параметра щелкните правой кнопкой мыши средство ограничения скорости проверки подлинности и выберите "Изменить".
5. Нажмите кнопку " Включено " и нажмите кнопку "ОК".

Ниже приведен пример включенного элемента групповой политики.

Совет

Чтобы задать недопустимое время задержки проверки подлинности, необходимо использовать PowerShell.

Ограничение скорости проверки подлинности S МБ не влияет на Kerberos; Kerberos проходит проверку подлинности перед подключением протокола приложения, например S МБ. S МБ ограничение скорости проверки подлинности предназначено для дополнительного уровня защиты, особенно для устройств, не присоединенных к доменам.

Связанный контент

• S МБ Ограничение скорости проверки подлинности в сборках программы предварительной оценки