Отнася се за
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Първоначална дата на публикуване: 9 септември 2025Г. КБ ИД: 5066913

Резюме

SMB сървърът вече поддържа два механизми за втвърдяване срещу атаки с прехващане на съобщения: 

  • Подписване на SMB сървър

  • Разширена защита на SMB сървър за удостоверяване (EPA)

В някои клиентски среди прилагането на който и да е от тези механизми за втвърдяване излага съвместимостта на рискове, тъй като някои наследени системи и внедрявания на други разработчици може да не поддържат подписване на SMB сървър или SMB сървър EPA. 

Като част от актуализациите на Windows, издадени на и след 9 септември 2025 г. (CVE-2025-55234), поддръжката е разрешена за проверка на съвместимостта на SMB клиента за подписване на SMB сървър, както и SMB Server EPA. Това позволява на клиентите да оценят своята среда и да идентифицират потенциални проблеми с несъвместимост на устройства или софтуер, преди да разположат мерките за подсилване, които вече се поддържат от SMB Server.

Предварителна информация

SMB сървърът може да е податлив на атаки с прехващане в зависимост от конфигурацията. За да предотврати тази уязвимост, Microsoft пусна следните смекчавания: 

SMB сървър EPA

Подписване на SMB сървър

Клиентите трябва или да конфигурират SMB сървър така, че да изисква подписване на SMB сървър, или да разрешат SMB сървър EPA, за да втвърдят системите си срещу този клас атаки. ​​​​​​​​​​​​​​

SMB сървърът с глобално разрешено шифроване, както и не позволявайки нешифрован достъп, също е защитен срещу атаки с прехващане на съобщения. За повече информация вижте Подобрения на защитата за SMB.

Разрешаване на поддръжката за проверка за подписване на SMB сървър

По подразбиране проверката за подписване на SMB сървър е забранена. Това може да бъде разрешено както за SMBv1 сървър, така и за SMB2/3 сървър чрез групови правила или настройка на системния регистър.

Групови правила

Местоположение на правилата

Конфигурация на компютъра\Административни шаблони\Мрежа\Lanman Server

Име на политика

Клиентът за проверка не поддържа подписване

Състояния на политиката

  • Забранено – забраняване на проверката

  • Разрешено – разрешаване на проверката

  • Не е конфигуриран (по подразбиране) – Следвайте конфигурацията на системния регистър

Регистратура

Местоположение на системния регистър

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Value

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (по подразбиране) – Забраняване на проверката

  • 1 – Разрешаване на проверката

Събития за проверка при подписване на SMB сървър

Регистър на събитията

Microsoft-Windows-SMBServer/Audit

Тип събитие

Предупреждение

Източник на събитие

Microsoft-Windows-SMBServer

ИД на събитие

3021

Текст на събитие

SMB сървърът наблюдава, че клиентът не поддържа подписване. 

Име на клиент: <>

Потребителско име: <>

Сървърът изисква подписване: <>

Регистър на събитията

Microsoft-Windows-SMBServer/Audit

Тип събитие

Предупреждение

Източник на събитие

Microsoft-Windows-SMBServer

ИД на събитие

3027

Текст на събитие

SMBv1 сървърът наблюдава, че SMBv1 клиентът не е разрешил подписването.

Име на клиент: <>

Сървърът изисква подписване: <>

Указания: Това събитие показва, че SMBv1 клиент може да не поддържа Разрешаване на поддръжката за проверка за подписване на SMB, но поради ограничения на протокола това не може да бъде определено със сигурност. Препоръчва се по-нататъшно оценяване, за да се проверят възможностите за подписване на клиента. 

Преди Windows Vista SMBv1 клиенти, които не са имали изрично разрешено подписване, не можаха да изпълнят Разрешаване на поддръжката за проверка за подписване на SMB. 

Това поведение е променено с изданието на Windows Vista и също така е било поддържано в Windows XP и Windows Server 2003 чрез актуализации. С тези промени SMB клиентите може да поддържат подписването дори ако не е изрично разрешено, при условие че сървърът го изисква. 

Бележки

  • Клиентите, които правилно реализират подписването, но не рекламират такава поддръжка, ще доведат до грешни положителни резултати.

  • Клиентите, които рекламират поддръжка за подписване, но не реализират правилно поддръжка, ще доведат до грешни отрицателни резултати.

Разрешаване на поддръжката за проверка за SMB server EPA

По подразбиране проверката за SMB сървър EPA е забранена. Това може да бъде разрешено както за SMBv1 сървър, така и за SMB2/3 сървър чрез групови правила или настройка на системния регистър.

Групови правила

Местоположение на правилата

Конфигурация на компютъра\Административни шаблони\Мрежа\Lanman Server

Име на политика

Поддръжка на SMB клиент за проверка на SPN

Състояния на политиката

  • Забранено – забраняване на проверката

  • Разрешено – разрешаване на проверката

  • Не е конфигуриран (по подразбиране) – Следвайте конфигурацията на системния регистър

Регистратура

Местоположение на системния регистър

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Value

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (по подразбиране) – Забраняване на проверката на SPN

  • 1 – Разрешаване на проверката на SPN

Събития за проверка на SMB Server EPA

Регистър на събитията

Microsoft-Windows-SMBServer/Audit

Тип събитие

Предупреждение

Източник на събитие

Microsoft-Windows-SMBServer

ИД на събитие

3024

Текст на събитие

SMB сървърът наблюдава, че клиентът не е изпратил SPN по време на удостоверяване, което показва, че клиентът не поддържа разширена защита за удостоверяване (EPA) или че поддръжката за EPA е забранена. 

Име на клиент: <>

Състояние на SPN заявка: <>

Разрешаване на разширена защита за правила за удостоверяване: <>

Регистър на събитията

Microsoft-Windows-SMBServer/Audit

Тип събитие

Предупреждение

Източник на събитие

Microsoft-Windows-SMBServer

ИД на събитие

3025

Текст на събитие

SMB сървърът наблюдава, че клиентът е изпратил неразпознат SPN по време на удостоверяване. 

Име на клиент: <>

SpN: <>

Разрешаване на разширена защита за правила за удостоверяване: <>

Регистър на събитията

Microsoft-Windows-SMBServer/Audit

Тип събитие

Предупреждение

Източник на събитие

Microsoft-Windows-SMBServer

ИД на събитие

3026

Текст на събитие

SMB сървърът наблюдава, че клиентът е изпратил празен SPN по време на удостоверяване, което показва, че клиентът може да изпрати SPN, но е избрал да не предостави такъв. 

Име на клиент: <>

Разрешаване на разширена защита за правила за удостоверяване: <>
Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност