Alkuperäinen julkaisupäivä: 9. syyskuuta 2025KB-tunnus: 5066913
Yhteenveto
SMB Server tukee jo kahta mekanismia välityshyökkäysten kovettumiseen:
-
SMB Server -allekirjoitus
-
SMB Server Extended Protection for Authentication (EPA)
Joissakin asiakasympäristöissä jommankumman näistä karkaisumekanismeista pakottaminen aiheuttaa yhteensopivuusriskejä, koska jotkin vanhat järjestelmät ja kolmannen osapuolen toteutukset eivät välttämättä tue SMB Serverin allekirjoittamista tai SMB Server EPA:ta.
Osana 9.9.2025 ja sen jälkeen julkaistuja Windows-päivityksiä (CVE-2025-55234) SMB-asiakasohjelman yhteensopivuuden tarkistaminen SMB Server -allekirjoitusta ja SMB Server EPA:ta varten on otettu käyttöön. Näin asiakkaat voivat arvioida ympäristöään ja tunnistaa mahdolliset laitteiden tai ohjelmistojen yhteensopimattomuusongelmat ennen SMB Serverin tukemien kovennustoimenpiteiden käyttöönottoa.
Tausta
SMB Server saattaa olla altis välityshyökkäyksille määrityksen mukaan. Tämän haavoittuvuuden estämiseksi Microsoft julkaisi seuraavat lievennykset:
SMB Server EPA
-
Microsoft security advisory 973811 | Laajennettu varmennussuojaus
-
Sen päivityksen kuvaus, joka ottaa käyttöön laajennetun varmennuksen suojauksen palvelinpalvelussa
SMB Server -allekirjoitus
Asiakkaiden on joko määritettävä SMB Server edellyttämään SMB Server -allekirjoitusta tai otettava SMB Server EPA käyttöön järjestelmiensä koventamiseksi tätä hyökkäysluokkaa vastaan.
SMB-palvelin, jossa on yleisesti käytössä salaus ja salaamattoman käytön estäminen, on myös suojattu välityshyökkäyksiltä. Lisätietoja on artikkelissa SMB-suojauksen parannukset.
SMB Server -allekirjoituksen valvontatuen ottaminen käyttöön
SMB Server -allekirjoituksen valvonta on oletusarvoisesti poissa käytöstä. Tämä voidaan ottaa käyttöön sekä SMBv1-palvelimessa että SMB2/3-palvelimessa ryhmäkäytäntö tai rekisteriasetuksen kautta.
Ryhmäkäytäntö
|
Käytännön sijainti |
Tietokoneasetukset\Hallintamallit\Verkko\Lanman Server |
|
Käytännön nimi |
Valvontaohjelma ei tue allekirjoittamista |
|
Käytäntötilat |
|
Rekisteri
|
Rekisterin sijainti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Arvo |
AuditClientSpnSupport |
|
Type (Tyyppi) |
REG_DWORD |
|
Tiedot |
|
SMB Serverin allekirjoitusten valvontatapahtumat
|
Tapahtumaloki |
Microsoft-Windows-SMBServer/Audit |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Microsoft-Windows-SMBServer |
|
Tapahtumatunnus |
3021 |
|
Tapahtuman teksti |
SMB-palvelin havaitsi, että asiakas ei tue allekirjoittamista. Asiakkaan nimi: <> Käyttäjänimi: <> Palvelin edellyttää allekirjoitusta: <> |
|
Tapahtumaloki |
Microsoft-Windows-SMBServer/Audit |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Microsoft-Windows-SMBServer |
|
Tapahtumatunnus |
3027 |
|
Tapahtuman teksti |
SMBv1-palvelin havaitsi, että SMBv1-asiakasohjelmalla ei ole allekirjoitusta käytössä. Asiakkaan nimi: <> Palvelin edellyttää allekirjoitusta: <> |
Ohjeet: Tämä tapahtuma ilmaisee, että SMBv1-asiakas ei ehkä tue SMB-allekirjoituksen valvontatuen käyttöönottoa, mutta protokollarajoitusten vuoksi tätä ei voida määrittää varmuudella. Lisäarviointia suositellaan asiakkaan allekirjoitusominaisuuksien tarkistamista varten.
Ennen Windows Vistaa SMBv1-asiakkaat, joilla ei ollut nimenomaisesti allekirjoitusta käytössä, eivät voineet suorittaa SMB-allekirjoituksen valvontatuen käyttöönottoa.
Tämä toiminta on muuttunut Windows Vistan julkaisun myötä, ja se on myös tuettu Windows XP:hen ja Windows Server 2003 päivitysten kautta. Näillä muutoksilla SMB-asiakasohjelmat voivat tukea allekirjoittamista, vaikka se ei olisi erikseen käytössä, jos palvelin sitä edellyttää.
Muistiinpanot
-
Asiakkaat, jotka toteuttavat allekirjoituksen oikein, mutta eivät mainosta tällaista tukea, aiheuttavat vääriä positiivisia asioita.
-
Asiakkaat, jotka ilmoittavat allekirjoittamisen tuesta, mutta eivät toteuta tukea oikein, aiheuttavat vääriä negatiivisia tuloksia.
SMB Server EPA:n valvontatuen ottaminen käyttöön
SMB Server EPA:n valvonta on oletusarvoisesti poissa käytöstä. Tämä voidaan ottaa käyttöön sekä SMBv1-palvelimessa että SMB2/3-palvelimessa ryhmäkäytäntö tai rekisteriasetuksen kautta.
Ryhmäkäytäntö
|
Käytännön sijainti |
Tietokoneasetukset\Hallintamallit\Verkko\Lanman Server |
|
Käytännön nimi |
SMB-asiakasohjelman SPN-tuen valvonta |
|
Käytäntötilat |
|
Rekisteri
|
Rekisterin sijainti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Arvo |
AuditClientSpnSupport |
|
Type (Tyyppi) |
REG_DWORD |
|
Tiedot |
|
SMB Server EPA Audit -tapahtumat
|
Tapahtumaloki |
Microsoft-Windows-SMBServer/Audit |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Microsoft-Windows-SMBServer |
|
Tapahtumatunnus |
3024 |
|
Tapahtuman teksti |
SMB-palvelin havaitsi, että asiakas ei lähettänyt SPN:ää todennuksen aikana, mikä osoittaa, että asiakas ei tue laajennettua todentamissuojausta (EPA) tai että EPA:n tuki on poistettu käytöstä. Asiakkaan nimi: <> SPN-kyselyn tila: <> Laajennetun suojauksen ottaminen käyttöön todentamiskäytännölle: <> |
|
Tapahtumaloki |
Microsoft-Windows-SMBServer/Audit |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Microsoft-Windows-SMBServer |
|
Tapahtumatunnus |
3025 |
|
Tapahtuman teksti |
SMB-palvelin havaitsi, että asiakas lähetti tunnistamattoman SPN:n todennuksen aikana. Asiakkaan nimi: <> SPN: <> Laajennetun suojauksen ottaminen käyttöön todentamiskäytännölle: <> |
|
Tapahtumaloki |
Microsoft-Windows-SMBServer/Audit |
|
Tapahtumalaji |
Varoitus |
|
Tapahtumalähde |
Microsoft-Windows-SMBServer |
|
Tapahtumatunnus |
3026 |
|
Tapahtuman teksti |
SMB-palvelin havaitsi, että asiakas lähetti todennuksen aikana tyhjän SPN:n, mikä osoittaa, että asiakas pystyy lähettämään spn:n, mutta on päättänyt olla toimittamatta sellaista. Asiakkaan nimi: <> Laajennetun suojauksen ottaminen käyttöön todentamiskäytännölle: <> |
