微软(Microsoft)推出了一个新的默认设置，以保护Windows 11电脑免受密码攻击，这应该会使它们成为试图窃取证书的黑客“非常没有吸引力的目标”。

Windows 11的最新预览版默认开启了SMB服务器认证速率限制器，这使得攻击者以密码猜测攻击为目标的服务器花费了更多的时间。

微软安全专家Ned Pyle解释说:“SMB服务器服务现在在每次失败的入站NTLM身份验证之间默认为2秒。”

这意味着，如果攻击者以前每秒从客户端发送300次暴力破解尝试，持续5分钟(9万个密码)，那么同样数量的尝试现在至少需要50个小时。这里的目标是使机器成为通过SMB攻击本地凭证的非常不吸引人的目标。”

速率限制器在今年3月进行了预览，但现在是Windows 11的默认设置。

SMB是SMB (Server Message Block)网络文件共享协议。Windows和Windows Server都启用了SMB服务器。NTLM是NT Lan Manager (NTLM)协议，用于通过AD (Active Directory) NTLM登录进行客户端-服务器身份验证。

网络上的攻击者可以伪装成“友好的服务器”，拦截客户端和服务器之间传输的NTLM凭据。另一种选择是使用已知的用户名，然后通过多次登录尝试猜测密码。Pyle指出，如果没有默认的速率限制器设置，攻击者可以在数天或数小时内猜出密码，而不被发现。

SMB默认速率限制器设置可在Windows 11内部预览Build 25206到开发通道中使用。虽然SMB服务器在Windows中默认运行，但在默认情况下是不可访问的。但是，SMB服务器速率限制器将起到一定的作用，因为管理员在创建打开防火墙的客户SMB共享时常常使其可访问。

从Build 25206开始，它默认是打开的，并设置为2000ms(2秒)。在所有版本的Windows Insiders中，任何发送到SMB的错误用户名或密码将默认导致2秒延迟。当第一次发布到Windows Insiders时，这个保护机制默认是关闭的。这种行为的改变并没有发生在Windows Server Insider上，它仍然默认为0，”Windows Insider团队指出。

在用户或管理员配置机器和网络时，如果使用的方式使他们容易受到密码猜测攻击，那么新的默认设置应该会有所帮助。

“如果您的组织没有入侵检测软件或没有设置密码锁定策略，攻击者可能在几天或几小时内猜出用户的密码。如果一个消费者用户关闭了他们的防火墙，把他们的设备带到一个不安全的网络上，他也会有类似的问题。

微软正在逐步在Windows 11中推出更安全的默认设置。今年早些时候，它引入了默认帐户锁定策略，以减轻RDP和其他暴力破解密码攻击。

在Windows 11 2022更新中，微软增加了更多的安全默认设置，如智能应用程序控制，只允许安全的应用程序运行，默认阻止PowerShell、LNK文件和internet上的Visual Basic脚本。

Pyle还发布了SMB速率限制器的演示。