ينطبق على
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

تاريخ النشر الأصلي: معرف 9 سبتمبر 2025KB: 5066913

الملخص

يدعم SMB Server بالفعل آليتين للتصلب ضد هجمات الترحيل: 

  • توقيع SMB Server

  • SMB Server Extended Protection for Authentication (EPA)

في بعض بيئات العملاء، يفرض فرض أي من آليات التصلب هذه مخاطر التوافق لأن بعض الأنظمة القديمة وتطبيقات الجهات الخارجية قد لا تدعم توقيع SMB Server أو SMB Server EPA. 

كجزء من تحديثات Windows التي تم إصدارها في 9 سبتمبر 2025 وبعده (CVE-2025-55234)، يتم تمكين الدعم لتدقيق توافق عميل SMB لتوقيع SMB Server بالإضافة إلى SMB Server EPA. يسمح هذا للعملاء بتقييم بيئتهم وتحديد أي مشكلات محتملة في عدم توافق الجهاز أو البرامج قبل توزيع تدابير التصلب التي يدعمها SMB Server بالفعل.

الخلفية

قد يكون SMB Server عرضة لترحيل الهجمات اعتمادا على التكوين. لمنع هذه الثغرة الأمنية، أصدرت Microsoft عوامل التخفيف التالية: 

SMB Server EPA

توقيع SMB Server

يجب على العملاء إما تكوين SMB Server لطلب توقيع SMB Server أو تمكين SMB Server EPA لتقوية أنظمتهم ضد هذه الفئة من الهجوم. ​​​​​​​​​​​​​​

خادم SMB مع تمكين التشفير عالميا جنبا إلى جنب مع عدم السماح بالوصول غير المشفرة، محمي أيضا من هجمات الترحيل. لمزيد من المعلومات، راجع تحسينات أمان SMB.

تمكين دعم التدقيق لتوقيع SMB Server

بشكل افتراضي، يتم تعطيل التدقيق لتوقيع SMB Server. يمكن تمكين هذا لكل من خادم SMBv1 وخادم SMB2/3 من خلال إعداد نهج المجموعة أو التسجيل.

نهج المجموعة

موقع النهج

Computer Configuration\Administrative Templates\Network\Lanman Server

اسم النهج

عميل التدقيق لا يدعم التوقيع

حالات النهج

  • معطل – تعطيل التدقيق

  • ممكن - تمكين التدقيق

  • غير مكون (افتراضي) - اتبع تكوين السجل

السجل

موقع التسجيل

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

قيمة

دعم AuditClientSpnSupport

النوع

REG_DWORD

البيانات

  • 0 (افتراضي) - تعطيل التدقيق

  • 1 - تمكين التدقيق

أحداث تدقيق توقيع SMB Server

سجل الأحداث

Microsoft-Windows-SMBServer/Audit

نوع الحدث

تحذير

مصدر الحدث

Microsoft-Windows-SMBServer

معرف الحدث

3021

نص الحدث

لاحظ خادم SMB أن العميل لا يدعم التوقيع. 

اسم العميل: <>

اسم المستخدم: <>

يتطلب الخادم التوقيع: <>

سجل الأحداث

Microsoft-Windows-SMBServer/Audit

نوع الحدث

تحذير

مصدر الحدث

Microsoft-Windows-SMBServer

معرف الحدث

3027

نص الحدث

لاحظ خادم SMBv1 أن عميل SMBv1 ليس لديه تمكين التوقيع.

اسم العميل: <>

يتطلب الخادم التوقيع: <>

إرشادات: يشير هذا الحدث إلى أن عميل SMBv1 قد لا يدعم تمكين دعم التدقيق لتوقيع SMB، ولكن نظرا لقيود البروتوكول، لا يمكن تحديد هذا بشكل مؤكد. يوصى بإجراء مزيد من التقييم للتحقق من قدرات توقيع العميل. 

قبل Windows Vista، لم يتمكن عملاء SMBv1 الذين لم يتم تمكين التوقيع بشكل صريح من تنفيذ تمكين دعم التدقيق لتوقيع SMB. 

تم تغيير هذا السلوك مع إصدار Windows Vista وتم أيضا إعادة نقله إلى Windows XP Windows Server 2003 من خلال التحديثات. مع هذه التغييرات، قد يدعم عملاء SMB التوقيع حتى إذا لم يتم تمكينه بشكل صريح، بشرط أن يتطلب الخادم ذلك. 

ملاحظات

  • العملاء الذين ينفذون التوقيع بشكل صحيح ولكن لا يعلنون عن مثل هذا الدعم سيؤدي إلى إيجابيات خاطئة.

  • العملاء الذين يعلنون عن دعمهم للتوقيع ولكن لا ينفذون الدعم بشكل صحيح سيؤدي إلى سلبيات خاطئة.

تمكين دعم التدقيق ل SMB Server EPA

بشكل افتراضي، يتم تعطيل التدقيق ل SMB Server EPA. يمكن تمكين هذا لكل من خادم SMBv1 وخادم SMB2/3 من خلال إعداد نهج المجموعة أو التسجيل.

نهج المجموعة

موقع النهج

Computer Configuration\Administrative Templates\Network\Lanman Server

اسم النهج

تدقيق دعم SPN لعميل SMB

حالات النهج

  • معطل – تعطيل التدقيق

  • ممكن - تمكين التدقيق

  • غير مكون (افتراضي) - اتبع تكوين السجل

السجل

موقع التسجيل

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

قيمة

دعم AuditClientSpnSupport

النوع

REG_DWORD

البيانات

  • 0 (افتراضي) - تعطيل تدقيق SPN

  • 1 - تمكين تدقيق SPN

أحداث تدقيق SMB Server EPA

سجل الأحداث

Microsoft-Windows-SMBServer/Audit

نوع الحدث

تحذير

مصدر الحدث

Microsoft-Windows-SMBServer

معرف الحدث

3024

نص الحدث

لاحظ خادم SMB أن العميل لم يرسل SPN أثناء المصادقة، مشيرا إلى أن العميل لا يدعم الحماية الموسعة للمصادقة (EPA) أو أن دعم EPA معطل. 

اسم العميل: <>

حالة استعلام SPN: <>

تمكين الحماية الموسعة لنهج المصادقة: <>

سجل الأحداث

Microsoft-Windows-SMBServer/Audit

نوع الحدث

تحذير

مصدر الحدث

Microsoft-Windows-SMBServer

معرف الحدث

3025

نص الحدث

لاحظ خادم SMB أن العميل أرسل SPN غير معروف أثناء المصادقة. 

اسم العميل: <>

SPN: <>

تمكين الحماية الموسعة لنهج المصادقة: <>

سجل الأحداث

Microsoft-Windows-SMBServer/Audit

نوع الحدث

تحذير

مصدر الحدث

Microsoft-Windows-SMBServer

معرف الحدث

3026

نص الحدث

لاحظ خادم SMB أن العميل أرسل SPN فارغا أثناء المصادقة، ما يشير إلى أن العميل قادر على إرسال SPN ولكن تم اختياره لعدم توفير واحد. 

اسم العميل: <>

تمكين الحماية الموسعة لنهج المصادقة: <>
Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة