Für den Zugriff auf eine SMB-Freigabe (z. B. Drucker, Laufwerk, Verzeichnis) ist ein Benutzername und das Kennwort erforderlich. Zum Schutz vor Angriffen ist eine Begrenzung der SMB-Authentifizierungen auf dem SMB-Server (Server Message Block) aktiv. D.h. zwischen jedem fehlgeschlagenen NTLM- oder PKU2U-basierten Authentifizierungsversuch gilt eine Verzögerung von zwei Sekunden. Dadurch wird verhindert, dass mehrere (tausend) Anmeldeversuche je Sekunde erfolgen, um die Kombination aus Benutzernamen und Kennwort zu erraten (wird auch als "Brute-Force-Angriff" bezeichnet). Der aktuell gültige Zeitwert kann mit dem PowerShell-Befehl "Get-SmbServerConfiguration" und dem Bezeichner "InvalidAuthenticationDelayTimeInMs" abgerufen werden.

Über einen Schlüssel in der Registrierung lässt sich die Verzögerungszeit bei fehlgeschlagenen SMB-Authentifizierungsversuchen ändern / anpassen (maximal sind 10 Sekunden möglich).

So geht's:

• Starten Sie "%windir%\regedit.exe" bzw. "%windir%\regedt32.exe".
• Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
  HKEY_LOCAL_MACHINE
  Software
  Policies
  Microsoft
  Windows
  LanmanServer
  Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
• Doppelklicken Sie auf den Schlüssel "InvalidAuthenticationDelayTimeInMs".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "InvalidAuthenticationDelayTimeInMs" ein.
• Geben Sie als dezimalen Wert die Zeit in Millisekunden ein. Z. B.: "2000"
• Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

• InvalidAuthenticationDelayTimeInMs:
  Legt die Zeit in Millisekunden, um ungültige Authentifizierungsversuche zu verzögern, fest. Gültige Werte liegen zwischen "0" und "10000". Bei "0" ist die Verzögerung deaktiviert. Standard: 2000 (Millisekunden) = 2 Sekunden
• Damit der SMB-Server den Wert aus der lokalen Registrierung unter "HKLM\ SYSTEM\ CurrentControlSet\ Services\ LanmanServer\ Parameters" wieder verwendet, müssen Sie den Schlüssel "InvalidAuthenticationDelayTimeInMs" wiederum löschen. Klicken Sie dazu auf den Schlüssel und drücken die Taste "Entf".
• Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Versionshinweis:

• Diese Einstellung gilt erst ab Windows 11 Version 24H2.

Querverweis:

• Netzwerkfreigaben - Verzögerung bei fehlgeschlagenen Authentifizierungsversuch deaktivieren (ab 24H2)