חל על
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

תאריך פרסום מקורי: מזהה KB ב- 9 בספטמבר 2025: 5066913

סיכום

שרת SMB כבר תומך בשני מנגנונים להתקשים נגד מתקפות ממסר: 

  • חתימת שרת SMB

  • הגנה מורחבת של שרת SMB לאימות (EPA)

בסביבות לקוח מסוימות, אכיפת אחד ממנגנוני הקשחת אלה מהווה סיכוני תאימות, מאחר שמערכות מדור קודם ויישומים של ספקים חיצוניים עשויים שלא לתמוך בחתימת שרת SMB או ב- SMB Server EPA. 

כחלק מהעדכונים של Windows שהופצו ב- 9 בספטמבר 2025 (CVE-2025-55234), התמיכה זמינה לביקורת תאימות לקוח SMB עבור חתימת שרת SMB וכן עבור SMB Server EPA. הדבר מאפשר ללקוחות להעריך את הסביבה שלהם ולזהות בעיות תאימות פוטנציאליות של מכשיר או תוכנה לפני פריסת אמצעי החומרה שכבר נתמכים על-ידי שרת SMB.

רקע

שרת SMB עשוי להיות רגיש לתקיפות ממסר בהתאם לתצורה. כדי למנוע פגיעות זו, Microsoft פרסמה את צמצום הסיכונים הבא: 

SMB Server EPA

חתימת שרת SMB

על הלקוחות לקבוע את התצורה של שרת SMB כך שידרשו חתימת שרת SMB או לאפשר ל- SMB Server EPA לקצר את המערכות שלהם מול מחלקת תקיפה זו. ​​​​​​​​​​​​​​

שרת SMB עם הצפנה זמינה באופן כללי יחד עם אי-מתן גישה לא מוצפנת, מוגן גם הוא מפני תקיפות ממסר. לקבלת מידע נוסף, ראה שיפורי אבטחה של SMB.

הפעלת תמיכה בביקורת עבור חתימת שרת SMB

כברירת מחדל, ביקורת עבור חתימת שרת SMB אינה זמינה. ניתן להפוך אפשרות זו לזמינה הן עבור שרת SMBv1 והן עבור שרת SMB2/3 באמצעות מדיניות קבוצתית או הגדרת הרישום.

מדיניות קבוצתית

מיקום מדיניות

תצורת מחשב\תבניות מנהליות\Network\Lanman Server

שם מדיניות

לקוח הביקורת אינו תומך בחתימה

מדינות מדיניות

  • לא זמין – הפוך ביקורת ללא זמינה

  • זמין – הפוך ביקורת לזמינה

  • לא נקבעה תצורה (ברירת מחדל) – פעל בהתאם לתצורת הרישום

רישום

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Value

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (ברירת מחדל) – הפוך ביקורת ללא זמינה

  • 1 – הפיכת ביקורת לזמינה

אירועי ביקורת חתימה של שרת SMB

‏‏יומן אירועים

Microsoft-Windows-SMBServer/Audit

סוגי אירוע

אזהרה

מקור האירוע

Microsoft-Windows-SMBServer

מזהה האירוע

3021

טקסט אירוע

שרת SMB ציין שהלקוח אינו תומך בחתימה. 

שם לקוח: <>

שם משתמש: <>

לשרת נדרשת חתימה: <>

‏‏יומן אירועים

Microsoft-Windows-SMBServer/Audit

סוגי אירוע

אזהרה

מקור האירוע

Microsoft-Windows-SMBServer

מזהה האירוע

3027

טקסט אירוע

שרת SMBv1 ציין שללקוח SMBv1 אין חתימה זמינה.

שם לקוח: <>

לשרת נדרשת חתימה: <>

הדרכה: אירוע זה מציין שללקוח SMBv1 אין אפשרות לתמוך בהפיכת תמיכת ביקורת ל זמינה עבור חתימת SMB, אך עקב מגבלות פרוטוקול, לא ניתן לקבוע זאת ב ודאות. מומלץ לבצע הערכה נוספת כדי לאמת את יכולות החתימה של הלקוח. 

לפני Windows Vista, לקוחות SMBv1 שלא הופעלה עבורם חתימה באופן מפורש לא הצליחו לבצע הפיכת תמיכת ביקורת לזמינה עבור חתימת SMB. 

אופן פעולה זה השתנה עם ההפצה של Windows Vista, והוא נתמך גם ב- Windows XP וב- Windows Server 2003 באמצעות עדכונים. עם שינויים אלה, לקוחות SMB עשויים לתמוך בחתימה גם אם היא אינה זמינה באופן מפורש, בתנאי שהשרת דורש זאת. 

פתקים

  • לקוחות המיישמים כראוי חתימה אך אינם מפרסמים תמיכה כזו התוצאה תהיה תוצאות חיוביות מוטעות.

  • לקוחות שמפרסמים תמיכה בחתימה אך אינם מיישמים כראוי את התמיכה התוצאה היא שליליות מוטעות.

הפעלת תמיכה בביקורת עבור SMB Server EPA

כברירת מחדל, ביקורת עבור SMB Server EPA אינה זמינה. ניתן להפוך אפשרות זו לזמינה הן עבור שרת SMBv1 והן עבור שרת SMB2/3 באמצעות מדיניות קבוצתית או הגדרת הרישום.

מדיניות קבוצתית

מיקום מדיניות

תצורת מחשב\תבניות מנהליות\Network\Lanman Server

שם מדיניות

תמיכה ב- SPN בלקוח SMB של ביקורת

מדינות מדיניות

  • לא זמין – הפוך ביקורת ללא זמינה

  • זמין – הפוך ביקורת לזמינה

  • לא נקבעה תצורה (ברירת מחדל) – פעל בהתאם לתצורת הרישום

רישום

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Value

AuditClientSpnSupport

Type

REG_DWORD

Data

  • 0 (ברירת מחדל) – הפיכת ביקורת SPN ללא זמינה

  • 1 – הפיכת ביקורת SPN לזמינה

אירועי ביקורת EPA של שרת SMB

‏‏יומן אירועים

Microsoft-Windows-SMBServer/Audit

סוגי אירוע

אזהרה

מקור האירוע

Microsoft-Windows-SMBServer

מזהה האירוע

3024

טקסט אירוע

שרת SMB ציין שהלקוח לא שלח SPN במהלך אימות, המציין שהלקוח אינו תומך בהגנה מורחבת לאימות (EPA) או שהתמיכה עבור EPA אינה זמינה. 

שם לקוח: <>

מצב שאילתת SPN: <>

הפוך הגנה מורחבת לזמינה עבור מדיניות אימות: <>

‏‏יומן אירועים

Microsoft-Windows-SMBServer/Audit

סוגי אירוע

אזהרה

מקור האירוע

Microsoft-Windows-SMBServer

מזהה האירוע

3025

טקסט אירוע

שרת SMB ציין שהלקוח שלח SPN לא מזוהה במהלך אימות. 

שם לקוח: <>

נקודת גישה: <>

הפוך הגנה מורחבת לזמינה עבור מדיניות אימות: <>

‏‏יומן אירועים

Microsoft-Windows-SMBServer/Audit

סוגי אירוע

אזהרה

מקור האירוע

Microsoft-Windows-SMBServer

מזהה האירוע

3026

טקסט אירוע

שרת SMB ציין שהלקוח שלח SPN ריק במהלך אימות, המציין שללקוח יש אפשרות לשלוח SPN אך נבחר שלא לספק SPN. 

שם לקוח: <>

הפוך הגנה מורחבת לזמינה עבור מדיניות אימות: <>
Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות