酝酿许久后微软终于为SMB提供增强保护 设置登录错误锁定时间提升爆破难度
SMB协议是目前在家庭和企业环境中都广泛使用的文件共享协议 , 虽然使用广泛但这并不意味着安全性就高。
实际上因为某些历史原因SMB协议的安全性还是非常弱的 , 其中典型就是微软并没有设置登录错误锁定时间。
这就导致某些映射在公网上的服务器会遭到黑客爆破,黑客使用密码词典进行无限次爆破很容易找到弱密码。
现在微软终于决定调整错误登录锁定时间大幅度提升爆破难度 , 从而提高SMB服务器的安全性避免遭到入侵。
在当前稳定版中Windows SMB服务器没有错误登录锁定时间,也就是黑客脚本跑得快就可以疯狂尝试登录。
微软解释称默认验证速率可以让黑客以每秒300次的速率进行爆破,短短5分钟就可以爆破登录达 90000 次。
如果用户使用的是强度不是很高的密码那很容易被爆破出来,目前这种爆破攻击也是每时每刻都在发生中的。
基于此微软此前就有意调整锁定时间直到现在付诸实践 , 现在只要登录错误就会被锁定 2 秒然后才可以登录。
那么要再次爆破90000次黑客就得花费50个小时,这种爆破难度对黑客来说没有吸引力,他们都会主动放弃。
目前微软仅在Windows 11开发版里启用此限制 , 而作为企业主力的Windows Server尚未默认启用2秒锁定。
微软没有解释这么做的原因但想必和之前迟迟不愿意启用此功能是一样的,主要担心影响到企业的正常使用。
现阶段微软提前测试就是给企业IT管理员预留时间进行过渡,后续 Windows 所有版本都启用这种锁定时间。
管理员要想测试的话可以主动开启此功能,因为服务器版也已经支持此功能,当然也可以主动修改锁定时间。
完整信息请访问微软技术交流社区查看SMB身份验证速率限制器的介绍:Microsoft TechNet Community