Avaldamise algne kuupäev: 9. september 2025KB ID: 5066913
Kokkuvõte
SMB Server toetab juba kahte edastusrünnete vastu võitlemise mehhanismi.
-
SMB Serveri allkirjastamine
-
SMB Serveri laiendatud autentimiskaitse (EPA)
Mõnes kliendikeskkonnas kujutab kummagi neist tugevdamismehhanismidest jõustamine ühilduvusriske, kuna mõned pärandsüsteemid ja kolmandate osapoolte juurutamised ei pruugi toetada SMB Serveri allkirjastamist või SMB Serveri EPA-t.
9. septembril 2025 (CVE-2025-55234) välja antud Windowsi värskenduste raames on SMB kliendi ühilduvuse auditeerimine SMB Serveri allkirjastamise ja SMB Serveri EPA jaoks lubatud. See võimaldab klientidel hinnata oma keskkonda ja tuvastada võimalikud seadme- või tarkvaraühilduvuse probleemid enne SMB Serveri poolt juba toetatud karmistusmeetmete juurutamist.
Taust
SMB Server võib sõltuvalt konfiguratsioonist olla vastuvõtlik edastamisrünnetele. Selle nõrkuse vältimiseks andis Microsoft välja järgmised leevendused.
SMB Serveri EPA
-
Microsofti turbenõuandla 973811 | Laiendatud autentimiskaitse
-
Serveriteenuses laiendatud autentimiskaitset juurutava värskenduse kirjeldus
SMB Serveri allkirjastamine
Kliendid peavad SMB Serveri konfigureerima, et nõuda SMB Serveri allkirjastamist, või lubama SMB Serveri EPA oma süsteemide karmistamiseks seda tüüpi ründe vastu.
SMB-server, mille krüptimine on globaalselt lubatud ja mis ei luba krüptimata juurdepääsu, on kaitstud ka edastamisrünnete eest. Lisateavet leiate teemast SMB turbetäiustused.
SMB Serveri allkirjastamise audititoe lubamine
Vaikimisi on SMB Serveri allkirjastamise auditeerimine keelatud. Seda saab lubada nii SMBv1 serveri kui ka SMB2/3 serveri jaoks Rühmapoliitika või registrisätte kaudu.
Rühmapoliitika
|
Poliitika asukoht |
Arvuti konfiguratsioon\Haldusmallid\Võrk\Lanman Server |
|
Poliitika nimi |
Auditiklient ei toeta allkirjastamist |
|
Poliitika olekud |
|
Registri
|
Registri asukoht |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Väärtus) |
AuditClientSpnSupport |
|
Tüüp |
REG_DWORD |
|
Data (Andmed) |
|
SMB Serveri allkirjastamise auditisündmused
|
Sündmuste logi |
Microsoft-Windows-SMBServer/Audit |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Microsoft-Windows-SMBServer |
|
Sündmuse ID |
3021 |
|
Sündmuse tekst |
SMB server täheldas, et klient ei toeta allkirjastamist. Kliendi nimi: <> Kasutajanimi: <> Server nõuab allkirjastamist: <> |
|
Sündmuste logi |
Microsoft-Windows-SMBServer/Audit |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Microsoft-Windows-SMBServer |
|
Sündmuse ID |
3027 |
|
Sündmuse tekst |
SMBv1 server täheldas, et SMBv1 kliendil pole allkirjastamine lubatud. Kliendi nimi: <> Server nõuab allkirjastamist: <> |
Juhised: see sündmus näitab, et SMBv1 klient ei pruugi SMB allkirjastamiseks audititoe lubamist toetada, kuid protokollipiirangute tõttu ei saa seda kindlalt määrata. Täiendav hindamine on soovitatav kliendi allkirjavõimaluste kontrollimiseks.
Enne Windows Vistat ei saanud SMBv1 kliendid, kellel polnud konkreetselt lubatud allkirjastada, SMB allkirjastamiseks audititoe lubamist.
Seda käitumist muudeti Windows Vista väljaandmisega ning see anti värskenduste kaudu ka windows XP-sse ja Windows Server 2003. Nende muudatustega võivad SMB kliendid allkirjastamist toetada ka siis, kui see pole selgesõnaliselt lubatud, eeldusel, et server seda nõuab.
Märkmed
-
Kliendid, kes rakendavad allkirjastamist õigesti, kuid ei reklaami sellist tuge, annavad tulemuseks valepositiivsed tulemused.
-
Kliendid, kes reklaamivad allkirjastamise tuge, kuid ei rakenda õigesti tuge, viivad valenegatiivsete tulemusteni.
SMB Serveri EPA audititoe lubamine
SMB Serveri EPA auditeerimine on vaikimisi keelatud. Seda saab lubada nii SMBv1 serveri kui ka SMB2/3 serveri jaoks Rühmapoliitika või registrisätte kaudu.
Rühmapoliitika
|
Poliitika asukoht |
Arvuti konfiguratsioon\Haldusmallid\Võrk\Lanman Server |
|
Poliitika nimi |
Auditi SMB kliendi SPN-i tugi |
|
Poliitika olekud |
|
Registri
|
Registri asukoht |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Väärtus) |
AuditClientSpnSupport |
|
Tüüp |
REG_DWORD |
|
Data (Andmed) |
|
SMB Serveri EPA auditisündmused
|
Sündmuste logi |
Microsoft-Windows-SMBServer/Audit |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Microsoft-Windows-SMBServer |
|
Sündmuse ID |
3024 |
|
Sündmuse tekst |
SMB server täheldas, et klient ei saatnud autentimise ajal SPN-i, mis näitab, et klient ei toeta laiendatud autentimiskaitset (EPA) või et EPA tugi on keelatud. Kliendi nimi: <> SPN-päringu olek: <> Luba autentimispoliitika laiendatud kaitse: <> |
|
Sündmuste logi |
Microsoft-Windows-SMBServer/Audit |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Microsoft-Windows-SMBServer |
|
Sündmuse ID |
3025 |
|
Sündmuse tekst |
SMB server märkas, et klient saatis autentimise ajal tundmatu SPN-i. Kliendi nimi: <> SPN: <> Luba autentimispoliitika laiendatud kaitse: <> |
|
Sündmuste logi |
Microsoft-Windows-SMBServer/Audit |
|
Sündmuse tüüp |
Hoiatus |
|
Sündmuse allikas |
Microsoft-Windows-SMBServer |
|
Sündmuse ID |
3026 |
|
Sündmuse tekst |
SMB server märkas, et klient saatis autentimise ajal tühja SPN-i, mis näitab, et klient saab saata SPN-i, kuid on valitud seda mitte esitama. Kliendi nimi: <> Luba autentimispoliitika laiendatud kaitse: <> |
