Parece que el mecanismo anti-fuerza bruta que Microsoft implementó en Windows 11 hace menos de un mes está funcionando, ya que la compañía decidió expandirlo a todas las demás versiones compatibles del sistema operativo.
En un anuncio, Microsoft explicó que los administradores de TI ahora pueden configurar sus sistemas para bloquear automáticamente este tipo de ataques contra cuentas de administradores locales a través de una política de grupo.
«En un esfuerzo por evitar más ataques/intentos de fuerza bruta, estamos implementando bloqueos de cuentas para las cuentas de administrador», dijo Microsoft. «A partir de las actualizaciones acumulativas de Windows del 11 de octubre de 2022 o posteriores, habrá una política local disponible para habilitar los bloqueos de cuentas de administradores locales».
Probando las características con Windows 11
Microsoft introdujo el cambio por primera vez a fines de septiembre, con Insider Preview Build 25206, al habilitar el limitador de tasa de autenticación SMB de forma predeterminada. También se han modificado un par de otras configuraciones para hacer que estos ataques sean «menos efectivos».
«El servicio del servidor SMB ahora tiene un valor predeterminado de 2 segundos entre cada autenticación NTLM entrante fallida», dijo en ese momento Ned Pyle, Gerente Principal de Programas en el grupo de ingeniería de Microsoft Windows Server.
«Esto significa que si un atacante envió previamente 300 intentos de fuerza bruta por segundo desde un cliente durante 5 minutos (90,000 contraseñas (se abre en una pestaña nueva)), el mismo número de intentos tardaría ahora 50 horas como mínimo».
En otras palabras, al activar la función, hay un retraso entre cada intento fallido de autenticación NTLM, lo que hace que el servicio del servidor SMB sea más resistente a los ataques de fuerza bruta.
Para activar la función, los administradores de TI deben buscar Política de equipo localConfiguración de equipoConfiguración de WindowsConfiguración de seguridadPolíticas de cuentaPolíticas de bloqueo de cuenta para la política «Permitir bloqueo de cuenta de administrador».
Junto con este cambio, Microsoft también modificó la forma en que se configuran todas las contraseñas de administrador local, lo que requiere al menos tres de los cuatro tipos de caracteres básicos: minúsculas, mayúsculas, números y símbolos.
Vía BleepingComputer (se abre en una pestaña nueva)