Původní datum publikování: 9. září 2025KB ID: 5066913
Souhrn
Server SMB již podporuje dva mechanismy posílení zabezpečení proti útokům na přenos:
-
Podepisování serveru SMB
-
Rozšířená ochrana serveru SMB pro ověřování (EPA)
V některých zákaznických prostředích představuje vynucování některého z těchto mechanismů posílení rizika kompatibility, protože některé starší systémy a implementace třetích stran nemusí podporovat podepisování serveru SMB nebo SERVERU SMB.
V rámci aktualizací Windows vydaných 9. září 2025 a později (CVE-2025-55234) je povolena podpora auditování kompatibility klientů SMB pro podepisování serveru SMB a serveru SMB s sadou EPA. To umožňuje zákazníkům posoudit své prostředí a identifikovat případné problémy s nekompatibilitou zařízení nebo softwaru před nasazením opatření pro posílení zabezpečení, které už server SMB podporuje.
Pozadí
Server SMB může být v závislosti na konfiguraci náchylný k útokům na přenos. Aby se zabránilo tomuto ohrožení zabezpečení, společnost Microsoft vydala následující zmírnění rizik:
SMB Server EPA
-
Microsoft Security Advisory 973811 | Rozšířená ochrana pro ověřování
-
Popis aktualizace, která implementuje rozšířenou ochranu pro ověřování v serverové službě
Podepisování serveru SMB
Zákazníci musí buď nakonfigurovat server SMB tak, aby vyžadoval podepisování serveru SMB, nebo povolit smb server EPA, aby své systémy proti této třídě útoku posilovaly.
Server SMB s globálně povoleným šifrováním spolu s nepovoleným nešifrovaným přístupem je také chráněn před přenosovými útoky. Další informace najdete v tématu Vylepšení zabezpečení PROTOKOLU SMB.
Povolení podpory auditu pro podepisování serveru SMB
Ve výchozím nastavení je auditování pro podepisování serveru SMB zakázané. Tuto možnost je možné povolit pro server SMBv1 i server SMB2/3 prostřednictvím nastavení Zásady skupiny nebo registru.
Zásady skupiny
|
Umístění zásad |
Konfigurace počítače\Šablony pro správu\Síť\Lanman Server |
|
Název zásady |
Auditování klienta nepodporuje podepisování |
|
Stavy zásad |
|
Registr
|
Umístění registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Hodnota) |
AuditClientSpnSupport |
|
Type (Typ) |
REG_DWORD |
|
Data |
|
Události auditu podepisování serveru SMB
|
Protokol událostí |
Microsoft-Windows-SMBServer/Audit |
|
Typ události |
Varování |
|
Zdroj události |
Microsoft-Windows-SMBServer |
|
ID události |
3021 |
|
Text události |
Server SMB zjistil, že klient nepodporuje podepisování. Název klienta: <> Uživatelské jméno: <> Server vyžaduje podepsání: <> |
|
Protokol událostí |
Microsoft-Windows-SMBServer/Audit |
|
Typ události |
Varování |
|
Zdroj události |
Microsoft-Windows-SMBServer |
|
ID události |
3027 |
|
Text události |
Server SMBv1 zjistil, že klient SMBv1 nemá povolené podepisování. Název klienta: <> Server vyžaduje podepsání: <> |
Pokyny: Tato událost značí, že klient SMBv1 nemusí podporovat povolení podpory auditu pro podepisování SMB, ale kvůli omezením protokolu to nejde s jistotou určit. K ověření možností podepisování klienta se doporučuje další vyhodnocení.
Před Windows Vista nemohli klienti SMBv1, kteří neměli explicitně povolené podepisování, provádět povolení podpory auditu pro podepisování SMB.
Toto chování bylo změněno s vydáním systému Windows Vista a bylo také zpětně převedeno do systému Windows XP a Windows Server 2003 prostřednictvím aktualizací. Díky těmto změnám můžou klienti SMB podporovat podepisování, i když není explicitně povolené, za předpokladu, že to vyžaduje server.
Poznámky
-
Klienti, kteří správně implementují podepisování, ale neinzerují takovou podporu, budou mít za následek falešně pozitivní výsledky.
-
Klienti, kteří inzerují podporu podepisování, ale neimplementují podporu, budou mít za následek falešně negativní výsledky.
Povolení podpory auditu pro SMB Server EPA
Ve výchozím nastavení je auditování pro SMB Server EPA zakázané. Tuto možnost je možné povolit pro server SMBv1 i server SMB2/3 prostřednictvím nastavení Zásady skupiny nebo registru.
Zásady skupiny
|
Umístění zásad |
Konfigurace počítače\Šablony pro správu\Síť\Lanman Server |
|
Název zásady |
Audit podpory hlavního názvu služby klienta SMB |
|
Stavy zásad |
|
Registr
|
Umístění registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Hodnota) |
AuditClientSpnSupport |
|
Type (Typ) |
REG_DWORD |
|
Data |
|
Události auditu SERVERU SMB
|
Protokol událostí |
Microsoft-Windows-SMBServer/Audit |
|
Typ události |
Varování |
|
Zdroj události |
Microsoft-Windows-SMBServer |
|
ID události |
3024 |
|
Text události |
Server SMB zjistil, že klient během ověřování neodeslal hlavní název služby (SPN), což značí, že klient nepodporuje rozšířenou ochranu pro ověřování (EPA) nebo že podpora pro EPA je zakázaná. Název klienta: <> Stav dotazu hlavního názvu služby (SPN): <> Povolit rozšířenou ochranu pro zásady ověřování: <> |
|
Protokol událostí |
Microsoft-Windows-SMBServer/Audit |
|
Typ události |
Varování |
|
Zdroj události |
Microsoft-Windows-SMBServer |
|
ID události |
3025 |
|
Text události |
Server SMB zjistil, že klient během ověřování odeslal nerozpoznaný hlavní název služby (SPN). Název klienta: <> Hlavní název služby (SPN): <> Povolit rozšířenou ochranu pro zásady ověřování: <> |
|
Protokol událostí |
Microsoft-Windows-SMBServer/Audit |
|
Typ události |
Varování |
|
Zdroj události |
Microsoft-Windows-SMBServer |
|
ID události |
3026 |
|
Text události |
Server SMB zjistil, že klient během ověřování odeslal prázdný hlavní název služby (SPN), což znamená, že klient je schopen odeslat hlavní název služby (SPN), ale rozhodl se ho nezadá. Název klienta: <> Povolit rozšířenou ochranu pro zásady ověřování: <> |
