Gælder for
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Oprindelig publiceringsdato: 9. september 2025KB-id: 5066913

Resume

SMB-serveren understøtter allerede to mekanismer til hærdning mod relæangreb: 

  • SMB Server-signering

  • SMB Server Extended Protection for Authentication (EPA)

I nogle kundemiljøer udgør gennemtvingelse af en af disse hærdningsmekanismer kompatibilitetsrisici, da nogle ældre systemer og tredjepartsimplementeringer muligvis ikke understøtter SMB Server-signering eller SMB Server EPA. 

Som en del af de Windows-opdateringer, der er udgivet den 9. september 2025 (CVE-2025-55234), er understøttelse aktiveret til overvågning af SMB-klientkompatibilitet for SMB Server-signering samt SMB Server EPA. Dette giver kunderne mulighed for at vurdere deres miljø og identificere eventuelle kompatibilitetsproblemer med enheder eller software, før de implementerer de hærdningsforanstaltninger, der allerede understøttes af SMB Server.

Baggrund

SMB Server kan være modtagelig for relay-angreb afhængigt af konfigurationen. For at forhindre denne sikkerhedsrisiko har Microsoft udgivet følgende afhjælpninger: 

SMB Server EPA

SMB Server-signering

Kunder skal enten konfigurere SMB Server til at kræve SMB Server-signering eller aktivere SMB Server EPA til at hærde deres systemer mod denne klasse af angreb. ​​​​​​​​​​​​​​

SMB-server med kryptering aktiveret globalt sammen med ikke at tillade ukrypteret adgang, er også beskyttet mod relæangreb. Du kan få mere at vide under SMB-sikkerhedsforbedringer.

Aktivering af overvågningsunderstøttelsen for SMB Server-signering

Overvågning af SMB Server-signering er som standard deaktiveret. Dette kan aktiveres for både SMBv1-server og SMB2/3-server via Gruppepolitik eller indstilling i registreringsdatabasen.

Gruppepolitik

Placering af politik

Computerkonfiguration\Administrative skabeloner\Network\Lanman Server

Politikkens navn

Overvågningsklient understøtter ikke signering

Politiktilstande

  • Deaktiveret – deaktiver overvågning

  • Aktiveret – Aktivér overvågning

  • Ikke konfigureret (standard) – Følg konfigurationen af registreringsdatabasen

Registreringsdatabase

Placering af registreringsdatabasen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Værdi

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (standard) – Deaktiver overvågning

  • 1 – Aktivér overvågning

Overvågningshændelser for SMB Server-signering

Hændelseslog

Microsoft-Windows-SMBServer/Audit

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-SMBServer

Hændelses-id

3021

Hændelsestekst

SMB-serveren bemærkede, at klienten ikke understøtter signering. 

Klientnavn: <>

Brugernavn: <>

Serveren kræver signering: <>

Hændelseslog

Microsoft-Windows-SMBServer/Audit

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-SMBServer

Hændelses-id

3027

Hændelsestekst

SMBv1-serveren bemærkede, at SMBv1-klienten ikke har signering aktiveret.

Klientnavn: <>

Serveren kræver signering: <>

Vejledning: Denne hændelse angiver, at SMBv1-klienten muligvis ikke understøtter Aktivering af overvågningsunderstøttelse for SMB-signering, men på grund af protokolbegrænsninger kan dette ikke afgøres med sikkerhed. Yderligere evaluering anbefales for at bekræfte klientens signeringsfunktioner. 

Før Windows Vista kunne SMBv1-klienter, der ikke udtrykkeligt havde aktiveret signering, ikke udføre aktivering af overvågningsunderstøttelsen for SMB-signering. 

Denne funktionsmåde blev ændret med udgivelsen af Windows Vista og blev også backportet til Windows XP og Windows Server 2003 via opdateringer. Med disse ændringer understøtter SMB-klienter muligvis signering, selvom det ikke er eksplicit aktiveret, forudsat at serveren kræver det. 

Noter

  • Kunder, der implementerer signering korrekt, men ikke annoncerer en sådan support, resulterer i falske positive.

  • Kunder, der reklamerer for understøttelse af signering, men ikke implementerer support korrekt, medfører falske negativer.

Aktivering af understøttelse af overvågning for SMB Server EPA

Overvågning af SMB Server EPA er som standard deaktiveret. Dette kan aktiveres for både SMBv1-server og SMB2/3-server via Gruppepolitik eller indstilling i registreringsdatabasen.

Gruppepolitik

Placering af politik

Computerkonfiguration\Administrative skabeloner\Network\Lanman Server

Politikkens navn

Overvåg SMB-klients SPN-understøttelse

Politiktilstande

  • Deaktiveret – deaktiver overvågning

  • Aktiveret – Aktivér overvågning

  • Ikke konfigureret (standard) – Følg konfigurationen af registreringsdatabasen

Registreringsdatabase

Placering af registreringsdatabasen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Værdi

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (standard) – Deaktiver SPN-overvågning

  • 1 – Aktivér SPN-overvågning

SMB Server EPA Audit-hændelser

Hændelseslog

Microsoft-Windows-SMBServer/Audit

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-SMBServer

Hændelses-id

3024

Hændelsestekst

SMB-serveren bemærkede, at klienten ikke sendte et SPN under godkendelse, hvilket angiver, at klienten ikke understøtter Udvidet beskyttelse til godkendelse (EPA), eller at understøttelse af EPA er deaktiveret. 

Klientnavn: <>

SPN-forespørgselsstatus: <>

Aktivér udvidet beskyttelse for godkendelsespolitik: <>

Hændelseslog

Microsoft-Windows-SMBServer/Audit

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-SMBServer

Hændelses-id

3025

Hændelsestekst

SMB-serveren bemærkede, at klienten sendte et ukendt SPN under godkendelse. 

Klientnavn: <>

SPN: <>

Aktivér udvidet beskyttelse for godkendelsespolitik: <>

Hændelseslog

Microsoft-Windows-SMBServer/Audit

Hændelsestype

Advarsel

Hændelseskilde

Microsoft-Windows-SMBServer

Hændelses-id

3026

Hændelsestekst

SMB-serveren bemærkede, at klienten sendte et tomt SPN under godkendelsen, hvilket angiver, at klienten er i stand til at sende et SPN, men valgt ikke at levere et. 

Klientnavn: <>

Aktivér udvidet beskyttelse for godkendelsespolitik: <>
Facebook LinkedIn E-mail
ABONNER PÅ RSS-FEEDS

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed