Ισχύει για
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Αρχική ημερομηνία δημοσίευσης: 9 Σεπτεμβρίου 2025KB ID: 5066913

Σύνοψη

Ο διακομιστής SMB υποστηρίζει ήδη δύο μηχανισμούς για τη σκλήρυνση κατά των επιθέσεων αναμετάδοσης: 

  • Υπογραφή διακομιστή SMB

  • Εκτεταμένη προστασία διακομιστή SMB για έλεγχο ταυτότητας (EPA)

Σε ορισμένα περιβάλλοντα πελατών, η επιβολή οποιουδήποτε από αυτούς τους μηχανισμούς θωάνωσης ενέχει κινδύνους συμβατότητας, καθώς ορισμένα παλαιού τύπου συστήματα και υλοποιήσεις τρίτων ενδέχεται να μην υποστηρίζουν υπογραφή SMB Server ή SMB Server EPA. 

Ως μέρος των ενημερώσεων των Windows που κυκλοφόρησαν στις και μετά τις 9 Σεπτεμβρίου 2025 (CVE-2025-55234), η υποστήριξη είναι ενεργοποιημένη για τον έλεγχο συμβατότητας προγράμματος-πελάτη SMB για υπογραφή SMB Server καθώς και SMB Server EPA. Αυτό επιτρέπει στους πελάτες να αξιολογούν το περιβάλλον τους και να εντοπίζουν τυχόν πιθανά ζητήματα ασυμβατότητας συσκευής ή λογισμικού πριν από την ανάπτυξη των μέτρων θωριασμού που υποστηρίζονται ήδη από τον SMB Server.

Ιστορικό

Ο διακομιστής SMB ενδέχεται να είναι επιρρεπής σε επιθέσεις αναμετάδοσης ανάλογα με τη ρύθμιση παραμέτρων. Για να αποφευχθεί αυτή η ευπάθεια, η Microsoft κυκλοφόρησε τους ακόλουθους μετριασμούς: 

SMB Server EPA

Υπογραφή διακομιστή SMB

Οι πελάτες πρέπει είτε να ρυθμίσουν τις παραμέτρους του SMB Server ώστε να απαιτείται υπογραφή SMB Server είτε να ενεργοποιήσουν το SMB Server EPA για να σκληρύνουν τα συστήματά τους ενάντια σε αυτήν την κατηγορία επίθεσης. ​​​​​​​​​​​​​​

Ο διακομιστής SMB με καθολική ενεργοποίηση κρυπτογράφησης παράλληλα με το να μην επιτρέπει μη κρυπτογραφημένη πρόσβαση, προστατεύεται επίσης από επιθέσεις αναμετάδοσης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Βελτιώσεις ασφαλείας SMB.

Ενεργοποίηση υποστήριξης ελέγχου για υπογραφή SMB Server

Από προεπιλογή, ο έλεγχος για υπογραφή SMB Server είναι απενεργοποιημένος. Αυτό μπορεί να ενεργοποιηθεί τόσο για το διακομιστή SMBv1 όσο και για το διακομιστή SMB2/3 μέσω Πολιτική ομάδας ή ρύθμισης μητρώου.

Πολιτική ομάδας

Θέση πολιτικής

Ρυθμίσεις παραμέτρων υπολογιστή\Πρότυπα διαχείρισης\Δίκτυο\Lanman Server

Όνομα πολιτικής

Το πρόγραμμα-πελάτης ελέγχου δεν υποστηρίζει την υπογραφή

Καταστάσεις πολιτικής

  • Απενεργοποιημένο – Απενεργοποίηση ελέγχου

  • Ενεργοποιήθηκε – Ενεργοποίηση ελέγχου

  • Δεν έχει ρυθμιστεί (προεπιλογή) – Ακολουθήστε τις ρυθμίσεις παραμέτρων μητρώου

Μητρώο

Θέση μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Τιμή

AuditClientSpnSupport

Type

REG_DWORD

Δεδομένα

  • 0 (προεπιλογή) – Απενεργοποίηση ελέγχου

  • 1 – Ενεργοποίηση ελέγχου

Συμβάντα ελέγχου υπογραφής SMB Server

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-SMBServer/Audit

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Microsoft-Windows-SMBServer

Αναγνωριστικό συμβάντος

3021

Κείμενο συμβάντος

Ο διακομιστής SMB παρατήρησε ότι ο υπολογιστής-πελάτης δεν υποστηρίζει υπογραφή. 

Όνομα πελάτη: <>

Όνομα χρήστη: <>

Ο διακομιστής απαιτεί υπογραφή: <>

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-SMBServer/Audit

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Microsoft-Windows-SMBServer

Αναγνωριστικό συμβάντος

3027

Κείμενο συμβάντος

Ο διακομιστής SMBv1 παρατήρησε ότι ο υπολογιστής-πελάτης SMBv1 δεν έχει ενεργοποιημένη την υπογραφή.

Όνομα πελάτη: <>

Ο διακομιστής απαιτεί υπογραφή: <>

Οδηγίες: Αυτό το συμβάν υποδεικνύει ότι το πρόγραμμα-πελάτης SMBv1 ενδέχεται να μην υποστηρίζει ενεργοποίηση της υποστήριξης ελέγχου για υπογραφή SMB, αλλά λόγω περιορισμών πρωτοκόλλου, αυτό δεν μπορεί να καθοριστεί με βεβαιότητα. Συνιστάται περαιτέρω αξιολόγηση για την επαλήθευση των δυνατοτήτων υπογραφής του πελάτη. 

Πριν από τα Windows Vista, τα προγράμματα-πελάτες SMBv1 που δεν είχαν ρητά ενεργοποιημένη την υπογραφή δεν μπορούσαν να εκτελέσουν Ενεργοποίηση υποστήριξης ελέγχου για υπογραφή SMB. 

Αυτή η συμπεριφορά άλλαξε με την κυκλοφορία των Windows Vista και μεταφέρθηκε επίσης στα Windows XP και Windows Server 2003 μέσω ενημερώσεων. Με αυτές τις αλλαγές, τα προγράμματα-πελάτες SMB ενδέχεται να υποστηρίζουν την υπογραφή ακόμα και αν δεν είναι ρητά ενεργοποιημένη, εφόσον το απαιτεί ο διακομιστής. 

Σημειώσεις

  • Οι πελάτες που εφαρμόζουν σωστά την υπογραφή, αλλά δεν κοινοποιούν την εν λόγω υποστήριξη, θα έχουν ως αποτέλεσμα ψευδώς θετικά αποτελέσματα.

  • Τα προγράμματα-πελάτες που διαφημίζουν υποστήριξη για υπογραφή, αλλά δεν εφαρμόζουν σωστά υποστήριξη, θα έχουν ως αποτέλεσμα ψευδώς αρνητικά αποτελέσματα.

Ενεργοποίηση υποστήριξης ελέγχου για SMB Server EPA

Από προεπιλογή, ο έλεγχος για SMB Server EPA είναι απενεργοποιημένος. Αυτό μπορεί να ενεργοποιηθεί τόσο για το διακομιστή SMBv1 όσο και για το διακομιστή SMB2/3 μέσω Πολιτική ομάδας ή ρύθμισης μητρώου.

Πολιτική ομάδας

Θέση πολιτικής

Ρυθμίσεις παραμέτρων υπολογιστή\Πρότυπα διαχείρισης\Δίκτυο\Lanman Server

Όνομα πολιτικής

Υποστήριξη SPN προγράμματος-πελάτη SMB ελέγχου

Καταστάσεις πολιτικής

  • Απενεργοποιημένο – Απενεργοποίηση ελέγχου

  • Ενεργοποιήθηκε – Ενεργοποίηση ελέγχου

  • Δεν έχει ρυθμιστεί (προεπιλογή) – Ακολουθήστε τις ρυθμίσεις παραμέτρων μητρώου

Μητρώο

Θέση μητρώου

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Τιμή

AuditClientSpnSupport

Type

REG_DWORD

Δεδομένα

  • 0 (προεπιλογή) – Απενεργοποίηση ελέγχου SPN

  • 1 – Ενεργοποίηση ελέγχου SPN

Συμβάντα ελέγχου EPA SMB Server

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-SMBServer/Audit

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Microsoft-Windows-SMBServer

Αναγνωριστικό συμβάντος

3024

Κείμενο συμβάντος

Ο διακομιστής SMB παρατήρησε ότι ο υπολογιστής-πελάτης δεν έστειλε SPN κατά τη διάρκεια του ελέγχου ταυτότητας, υποδεικνύοντας ότι ο υπολογιστής-πελάτης δεν υποστηρίζει εκτεταμένη προστασία για έλεγχο ταυτότητας (EPA) ή ότι η υποστήριξη για EPA είναι απενεργοποιημένη. 

Όνομα πελάτη: <>

Κατάσταση ερωτήματος SPN: <>

Ενεργοποίηση εκτεταμένης προστασίας για την πολιτική ελέγχου ταυτότητας: <>

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-SMBServer/Audit

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Microsoft-Windows-SMBServer

Αναγνωριστικό συμβάντος

3025

Κείμενο συμβάντος

Ο διακομιστής SMB παρατήρησε ότι ο υπολογιστής-πελάτης έστειλε ένα άγνωστο SPN κατά τον έλεγχο ταυτότητας. 

Όνομα πελάτη: <>

SPN: <>

Ενεργοποίηση εκτεταμένης προστασίας για την πολιτική ελέγχου ταυτότητας: <>

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-SMBServer/Audit

Τύπος συμβάντος

Προειδοποίηση

Προέλευση συμβάντος

Microsoft-Windows-SMBServer

Αναγνωριστικό συμβάντος

3026

Κείμενο συμβάντος

Ο διακομιστής SMB παρατήρησε ότι ο υπολογιστής-πελάτης έστειλε ένα κενό SPN κατά τη διάρκεια του ελέγχου ταυτότητας, το οποίο υποδεικνύει ότι ο υπολογιστής-πελάτης έχει τη δυνατότητα αποστολής ενός SPN, αλλά επέλεξε να μην παράσχει ένα. 

Όνομα πελάτη: <>

Ενεργοποίηση εκτεταμένης προστασίας για την πολιτική ελέγχου ταυτότητας: <>
Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας