Compartilhar via


Configurar o limitador de taxa de autenticação SMB para o Windows

O limitador de taxa de autenticação SMB é um recurso do servidor SMB para o Windows Server e cliente Windows projetado para abordar ataques de autenticação de força bruta. Os ataques de autenticação de força bruta bombardeiam o servidor SMB com várias tentativas de adivinhação de nome de usuário e senha por segundo. A partir do Windows Server 2025 e Windows 11, versão 24H2, o limitador de taxa de autenticação SMB é habilitado por padrão. O atraso padrão entre cada tentativa de autenticação com base em NTLM ou PKU2U com falha é de 2 segundos e pode ser configurado. Neste artigo. Saiba como o limitador de taxa de autenticação SMB funciona e como configurá-lo.

Se um administrador permitir o acesso ao serviço de servidor SMB por meio do Firewall do Windows para abrir ou copiar arquivos remotos, um agente mal-intencionado poderá usar o acesso SMB como uma forma de tentar a autenticação. Ao saber um nome de usuário, um invasor pode enviar logons NTLM locais ou baseados no Active Directory a uma máquina usando vários métodos. A frequência da adivinhação de senha pode variar de dezenas a milhares de tentativas de entrada por segundo. Para saber mais sobre o NTLM, confira a Visão geral do NTLM.

Se a sua organização não tiver nenhum software de detecção de intrusão ou não definir uma política de bloqueio de senha, um invasor poderá adivinhar uma senha de usuário. Embora o servidor SMB seja executado por padrão em todas as versões do Windows, ele não é acessível por padrão, a menos que a regra de firewall seja permitida. Um usuário final que desativa o firewall e associa um dispositivo a uma rede insegura passa por um problema parecido.

Como funciona o limitador de taxa de autenticação SMB

O serviço de servidor SMB usa o limitador de taxa de autenticação para implementar um atraso de 2 segundos entre cada tentativa de autenticação com base em NTLM ou PKU2U com falha. Ou seja, se um invasor já enviou 300 tentativas de força bruta por segundo de um cliente por 5 minutos (90.000 senhas), o mesmo número de tentativas agora levaria 50 horas ou mais. Como acontece com técnicas parecidas de defesa em profundidade, o objetivo do limitador de taxa de autenticação SMB é tornar uma máquina Windows um alvo atraente, aumentando o custo do ataque.

Pré-requisitos

Antes de configurar o limitador de taxa de autenticação SMB, você deve:

  • Um servidor SMB em execução em um dos seguintes sistemas operacionais.
    • Windows Server 2025.
    • Windows 11, versão 24H2 ou posterior.
  • Privilégios administrativos no computador.
  • Se você estiver usando a Política de Grupo em um domínio, precisará de privilégios para criar ou editar um objeto de Política de Grupo (GPO) e vinculá-lo à unidade organizacional (UO) apropriada.

Configurar limitador de taxa de autenticação SMB

Com o limitador de taxa de autenticação SMB, você pode definir um atraso entre as tentativas de autenticação com falha. Você também pode habilitar ou desabilitar o limitador de taxa SMB manualmente no PowerShell ou com a Política de Grupo. Para habilitar o limitador de taxa de autenticação SMB, siga os passos.

Veja como configurar o limitador de taxa de autenticação SMB usando o cmdlet SmbServerConfiguration no PowerShell.

  1. Abra uma janela do PowerShell como administrador.

  2. Determine o número de milissegundos que você quer atrasar entre cada tentativa de autenticação com base em NTLM ou PKU2U com falha. O valor padrão é 2.000 milissegundos (2 segundos). Seu valor deve ser um múltiplo de 100 com intervalo permitido de 0 a 10000.

  3. Execute o comando a seguir para ativar o limitador de taxa de autenticação SMB.

     Set-SmbServerConfiguration -InvalidAuthenticationDelayTimeInMs <Milliseconds>
    

Observação

Definir a variável para 0 desabilita o limitador de taxa de autenticação SMB.

Para ver o valor atual, execute este comando:

Get-SmbServerConfiguration | Format-List -Property InvalidAuthenticationDelayTimeInMs

O limitador de taxa de autenticação SMB não afeta o Kerberos. O Kerberos se autentica antes que um protocolo de aplicativo como o SMB se conecte. O limitador de taxa de autenticação SMB foi criado para ser outra camada de defesa em profundidade, especialmente para dispositivos não ingressados em domínios.