SMB-Authentifizierungsratenbegrenzer für Windows konfigurieren

Der SMB-Authentifizierungsratenbegrenzer ist eine Funktion des SMB-Servers für Windows Server und Windows-Client, mit der Brute-Force-Authentifizierungsangriffe verhindert werden sollen. Bruce-Force-Authentifizierungsangriffe bombardieren den SMB-Server mit mehreren Versuchen pro Sekunde, den Benutzernamen und das Passwort zu erraten. Ab Windows Server 2025 und Windows 11, Version 24H2, ist der Grenzwert für die SMB-Authentifizierungsrate standardmäßig aktiviert. Die Standardverzögerung zwischen jedem fehlgeschlagenen NTLM- oder PKU2U-basierten Authentifizierungsversuch beträgt 2 Sekunden und kann konfiguriert werden. In diesem Artikel Erfahren Sie, wie der SMB-Authentifizierungsratenbegrenzer funktioniert und wie Sie ihn konfigurieren.

Wenn ein Administrator den Zugriff auf den SMB-Serverdienst über die Windows-Firewall zulässt, um Remote-Dateien zu öffnen oder zu kopieren, kann ein bösartiger Akteur den SMB-Zugriff als Authentifizierungsversuch nutzen. Wenn ein Angreifer einen Benutzernamen kennt, kann er mit verschiedenen Methoden lokale oder Active Directory-basierte NTLM-Anmeldungen an einen Computer senden. Die Häufigkeit des Erratens von Passwörtern kann von Dutzenden bis zu Tausenden von Anmeldeversuchen pro Sekunde reichen. Weitere Informationen über NTLM finden Sie unter NTLM-Übersicht.

Wenn Ihr Unternehmen keine Software zur Erkennung von Eindringlingen einsetzt oder keine Richtlinie zur Kennwortsperre einrichtet, kann ein Angreifer das Kennwort eines Benutzers erraten. Obwohl der SMB-Server standardmäßig in allen Windows-Versionen ausgeführt wird, ist er standardmäßig nicht zugänglich, es sei denn, die Firewall-Regel ist erlaubt. Ein Endbenutzer, der die Firewall ausschaltet und ein Gerät mit einem unsicheren Netzwerk verbindet, steht vor einem ähnlichen Problem.

So funktioniert der SMB-Authentifizierungsratenbegrenzer

Der SMB-Serverdienst verwendet den Authentifizierungsratenbegrenzer, um eine 2-Sekunden-Verzögerung zwischen jedem fehlgeschlagenen NTLM- oder PKU2U-basierten Authentifizierungsversuch zu implementieren. Das bedeutet, dass ein Angreifer, der zuvor 5 Minuten lang 300 Brute-Force-Versuche pro Sekunde von einem Client gesendet hat (90.000 Passwörter), jetzt 50 Stunden oder mehr für die gleiche Anzahl von Versuchen benötigt. Wie bei ähnlichen Defense-in-Depth-Techniken besteht der Zweck des SMB-Authentifizierungsratenbegrenzers darin, einen Windows-Rechner als Ziel unattraktiv zu machen, indem die Kosten des Angriffs erhöht werden.

Voraussetzungen

Bevor Sie den SMB-Authentifizierungsratenbegrenzer konfigurieren können, müssen Sie:

• Ein SMB-Server, der unter einem der folgenden Betriebssysteme läuft.
  • Windows Server 2025.
  • Windows 11, Version 24H2 oder höher.
• Administratorrechte für den Computer.
• Wenn Sie Gruppenrichtlinien für eine Domäne verwenden, benötigen Sie Berechtigungen, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) zu erstellen oder zu bearbeiten und es mit der entsprechenden Organisationseinheit (OU) zu verknüpfen.

SMB-Authentifizierungsratenbegrenzer konfigurieren

Mit dem SMB-Authentifizierungsratenbegrenzer können Sie eine Verzögerung zwischen fehlgeschlagenen Authentifizierungsversuchen festlegen. Sie können den SMB-Ratenbegrenzer auch manuell in PowerShell oder mithilfe von Gruppenrichtlinien aktivieren oder deaktivieren. Gehen Sie wie folgt vor, um die SMB-Authentifizierungsratenbegrenzung zu aktivieren.

PowerShell

Im Folgenden wird beschrieben, wie Sie die SMB-Authentifizierungsratenbegrenzung mit dem Cmdlet SmbServerConfiguration in PowerShell konfigurieren.

1. Öffnen Sie ein PowerShell-Fenster als Administrator.

2. Bestimmen Sie die Anzahl der Millisekunden, die zwischen jedem fehlgeschlagenen NTLM- oder PKU2U-basierten Authentifizierungsversuch vergehen sollen. Der Standardwert ist 2000 Millisekunden (2 Sekunden). Ihr Wert muss ein Vielfaches von 100 sein, wobei ein Bereich von 0-10000 zulässig ist.

3. Führen Sie den folgenden Befehl aus, um die SMB-Authentifizierungsratenbegrenzung zu aktivieren.

    Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Milliseconds>
   

Hinweis

Wenn Sie die Variable auf 0 setzen, wird der SMB-Authentifizierungsratenbegrenzer deaktiviert.

Um den aktuellen Wert zu sehen, führen Sie den folgenden Befehl aus:

Get-SmbServerConfiguration | Format-List -Property InvalidAuthenticationDelayTimeInMs

Gruppenrichtlinie

Hier erfahren Sie, wie Sie den SMB-Authentifizierungsratenbegrenzer mithilfe der Gruppenrichtlinie für domänenverbundene Computer aktivieren und deaktivieren.

Gehen Sie folgendermaßen vor, um den SMB-Authentifizierungsratenbegrenzer mithilfe der Gruppenrichtlinie zu konfigurieren.

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
2. Bearbeiten oder erstellen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO), das Sie verwenden möchten.
3. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Verwaltungsvorlagen > Netzwerk > Lanman Server.
4. Für die Einstellung klicken Sie mit der rechten Maustaste auf Begrenzung der Authentifizierungsrate aktivieren und wählen Sie Bearbeiten.
5. Wählen Sie Aktiviert und dann OK aus.

Hier ist ein Beispiel für ein aktiviertes Gruppenrichtlinienelement.

Tipp

Um die Verzögerungszeit für die ungültige Authentifizierung festzulegen, müssen Sie PowerShell verwenden.

Der SMB-Authentifizierungsratenbegrenzer hat keine Auswirkungen auf Kerberos; Kerberos authentifiziert sich, bevor ein Anwendungsprotokoll wie SMB eine Verbindung herstellt. Der SMB-Authentifizierungsratenbegrenzer ist als weitere Verteidigungsschicht in der Tiefe gedacht, insbesondere für Geräte, die nicht mit Domänen verbunden sind.

Zugehöriger Inhalt

• SMB-Authentifizierungsratenbegrenzer in Insider-Builds