Microsoft は、Windows 11 の SMB 認証を大幅に改善しています。

Microsoft は常に Windows を改善しており、通常のユーザーは実際に目にして使用できるものに基づいてこれらの取り組みを評価していますが、同社は主に IT 管理者に影響を与える多くの変更をバックエンドに加えており、それらの利点はそれらなしで消費者に渡されています. Microsoft は本日、Windows 11 にもたらす重要な改善点の 1 つを明らかにしました。

テクニカル ブログの投稿で、マイクロソフトのシニア プログラム マネージャーである Ned Pyle は、Windows 11 でサーバー メッセージ ブロック (SMB) 認証に加えられた変更について詳しく説明しています。

実際、マイクロソフトは 3 月に、 Windows 11 および Windows Server を使用しているインサイダーが利用できるようになった“SMB 認証レート リミッター” と呼ばれる機能を発表しました。Pyle 氏は、IT スタッフは、ログのコピーなどの迅速なアクションのために、コンピューターから SMB サービスにアクセスすることがよくあると説明しています。

ただし、攻撃者が IT 従業員のユーザー名を入手した場合、オープン ソース ツールを使用してローカルまたは Active Directory NTLM ログイン試行を SMB サーバーに継続的に送信できます。組織のセキュリティ サービスがその特定のサービスに対して侵入検知ルールまたはファイアウォール ルールを構成していない場合、攻撃者は最終的にパスワードを推測し、それをエントリ ポイントとして使用してシステムにさらに侵入する可能性があります。ファイアウォールの設定をオフにして安全でないネットワークにアクセスする消費者にも同じことが当てはまります。

SMB 認証レート リミッタは、失敗した NTLM 認証試行ごとに 2 秒のタイムアウトを導入することで、SMB サービスをより複雑にし、Pyle が言うように、攻撃者にとって「魅力的ではない」ターゲットにしようとします。したがって、攻撃者が 1 秒あたり 300 回の試行を 5 分間送信した場合、同じ作業に 50 時間かかることになります。

SMB 認証レート リミッターは、Windows 11 および Windows Server の Insider エディションでは既定で無効になっていましたが、Microsoft は、昨日利用可能になった最新の Windows 11 Dev Channel ビルド 25206 で既定で有効にしました。この変更は、同時に利用可能になった Windows Server vNext ビルド 25206 では行われていないことを理解することが非常に重要です。

PowerShell で次のコマンドを実行すると、現在の構成を確認できます。

Get-SmbServerConfiguration

また、次の PowerShell コマンドを使用して、好みに応じてタイムアウト構成をカスタマイズできます。

Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs n

上記のコマンドで、「n」はミリ秒単位で定義され、100 の倍数である必要があります。0 に設定すると、SMB 認証レート リミッターが無効になります。より実践的なデモが必要な場合は、以下の Pyle の役立つビデオをご覧ください。

この機能は、Windows 11 と Windows Server の両方の Insider Preview で利用できますが、ビルド 25206 を実行している場合は、前者でのみ既定で有効になります。これは、Microsoft がフィードバックを収集し、この動作に問題がないかどうかを確認してから、より多くのユーザーに公開したいと考えているためです。そのため、Microsoft は Windows 11 ユーザーにフィードバック Hub で異常な動作を報告するように依頼しました。他のプレビュー機能と同様に、Microsoft が近い将来にすべての人が利用できるようにするという保証はありません。

この機能は、Kerberos 認証メカニズムには影響しません。Microsoft は、”セキュリティ アップグレード” キャンペーンをまもなく開始して、Windows リリースで SMB または従来の SMB の動作を段階的に廃止する予定です。詳細なロードマップは近日中に掲載される予定です。