Windows 11 Pro wird unsichere SMB-Gastauthentifizierung deaktivieren

Microsoft hat nach vielen Sicherheitsproblemen in der Vergangenheit die Server Message Block (SMB)-Authentifizierung in Windows 11 deutlich verbessert. Nun folgt ein weiterer Schritt für Windows 11 Pro: die SMB-Gastauthentifizierung wird standardmäßig deaktiviert. Bisher ist es so, dass es eine SMB-Authentifizierungs-Ratenbegrenzung gibt. Diese ist automatisch aktiv und begrenzt Anmeldeversuche, um diese Angriffsfläche für böswillige Akteure weniger attraktiv zu machen. Jetzt hat Microsoft eine weitere Änderung der SMB-Authentifizierung angekündigt.

Ned Pyle, Programm-Manager bei Microsoft, hat zu dem Thema neue Informationen veröffentlicht. Demnach wird man zunächst testweise in Windows 11 Pro damit beginnen, unsichere SMB-Gastauthentifizierungs-Fallbacks zu deaktivieren. Diese Änderung wurde bereits in den jüngsten Insider Preview-Builds 25267 und 25276 eingeführt.

Hohes Sicherheitsrisiko

Microsoft begründet die Änderung damit, dass die Gastauthentifizierung keine Prüfpfade und Sicherheitsmechanismen wie Signierung und Zertifikate unterstützt. Daher sind sie ein sehr verlockender Angriffsvektor für Man-in-the-Middle-Angriffe (MITM). Im schlimmsten Fall könnte ein böswilliger Akteur die Gastanmeldung nutzen, um Lese- oder Kopierzugriff auf ein komplettes Netzwerk zu erhalten, ohne einen Prüfpfad zu hinterlassen.

Die Deaktivierung ist jedoch nur optional, das heißt, man kann sie bei Bedarf zurücknehmen und wieder auf aktiv setzen. Um einen Gastzugang anzufordern, lassen sich vorübergehend SMB2- oder SMB3-Gast-Fallback aktivieren, um den Zugriff zu ermöglichen. SMB1 sollte jedoch aufgrund der Sicherheitsschwachstellen des alten Protokolls nicht verwendet werden. In den aktuellen Windows 11 Pro Insider-Builds werden die Änderungen nun standardmäßig aktiviert und mit der "nächsten Hauptversion" des Betriebssystems allgemein verfügbar sein.

Siehe auch: