Настройка ограничения скорости проверки подлинности SMB для Windows

Ограничение скорости проверки подлинности SMB — это функция сервера SMB для Windows Server и клиента Windows, предназначенного для устранения атак проверки подлинности методом подбора. Брюс принудительно атакует проверку подлинности на сервер SMB с несколькими попытками имени пользователя и пароля в секунду. Начиная с Windows Server 2025 и Windows 11 версии 24H2, ограничение скорости проверки подлинности SMB включено по умолчанию. Задержка по умолчанию между каждой неудачной попыткой проверки подлинности NTLM или PKU2U составляет 2 секунды и может быть настроена. В этой статье Узнайте, как работает ограничение скорости проверки подлинности SMB и как его настроить.

Если администратор разрешает доступ к службе сервера SMB через брандмауэр Windows, чтобы открыть или скопировать удаленные файлы, злоумышленник может использовать SMB-доступ в качестве способа проверки подлинности. Зная имя пользователя, злоумышленник может отправлять локальные или локальные входы в систему NTLM на основе Active Directory на компьютере с помощью нескольких методов. Частота угадывания паролей может варьироваться от десятков до тысяч попыток входа в секунду. Дополнительные сведения о NTLM см. в разделе "Обзор NTLM".

Если в вашей организации нет программного обеспечения обнаружения вторжений или не задана политика блокировки паролей, злоумышленник может угадать пароль пользователя. Хотя сервер SMB работает по умолчанию во всех версиях Windows, он недоступен по умолчанию, если правило брандмауэра не разрешено. Конечный пользователь, который отключает брандмауэр и присоединяет устройство к небезопасной сети, сталкивается с аналогичной проблемой.

Принцип работы ограничения скорости проверки подлинности SMB

Служба сервера SMB использует ограничение скорости проверки подлинности для реализации 2-секундной задержки между каждой неудачной попыткой проверки подлинности NTLM или PKU2U. Это означает, что если злоумышленник ранее отправил 300 попыток подбора в секунду от клиента в течение 5 минут (90 000 паролей), то такое же количество попыток в настоящее время займет 50 часов или более. Как и с аналогичными методами глубокой обороны, цель ограничения скорости проверки подлинности SMB заключается в том, чтобы сделать компьютер Windows непривлекательным целевым объектом, увеличив стоимость атаки.

Необходимые компоненты

Прежде чем настроить ограничение скорости проверки подлинности SMB, вам потребуется:

• Сервер SMB, работающий на одном из следующих операционных систем.
  • Windows Server 2025.
  • Windows 11, версия 24H2 или более поздняя.
• Права администратора на компьютере.
• Если вы используете групповую политику в домене, вам потребуются привилегии для создания или изменения объекта групповой политики (GPO) и связывания его с соответствующим подразделением организации.

Настройка ограничения скорости проверки подлинности SMB

С помощью ограничения скорости проверки подлинности SMB можно задать задержку между неудачными попытками проверки подлинности. Вы также можете включить или отключить ограничение скорости SMB вручную в PowerShell или с помощью групповой политики. Чтобы включить ограничение скорости проверки подлинности SMB, выполните действия.

Get-SmbServerConfiguration | Format-List -Property InvalidAuthenticationDelayTimeInMs

Ограничение скорости проверки подлинности SMB не влияет на Kerberos; Kerberos проходит проверку подлинности перед подключением протокола приложения, например SMB. Ограничение скорости проверки подлинности SMB предназначено для дополнительного уровня защиты, особенно для устройств, не присоединенных к доменам.

Связанный контент

• Ограничение скорости проверки подлинности SMB в сборках предварительной оценки