Izvorni datum objave: 9. rujna 2025. KB ID: 5066913
Sažetak
SMB poslužitelj već podržava dva mehanizma za oč hardening protiv relej napada:
-
Potpisivanje SMB poslužitelja
-
Proširena zaštita SMB poslužitelja za provjeru autentičnosti (EPA)
U nekim okruženjima korisnika nametanje nekog od tih mehanizama za očivanje predstavlja rizik kompatibilnosti jer neki naslijeđeni sustavi i implementacije trećih strana možda ne podržavaju potpisivanje SMB poslužitelja ili SMB Server EPA.
U sklopu ažuriranja sustava Windows objavljenih 9. rujna 2025. (CVE-2025-55234) omogućena je podrška za nadzor kompatibilnosti SMB klijenta za potpisivanje SMB poslužitelja i SMB Server EPA. To korisnicima omogućuje procjenu okruženja i prepoznavanje potencijalnih problema s nekompatibilnošću uređaja ili softvera prije implementacije mjera otezanja koje SMB Server već podržava.
Pozadina
SMB Poslužitelj može biti osjetljiv na prijenos napada ovisno o konfiguraciji. Da bi spriječio tu ranjivost, Microsoft je objavio sljedeća ublažavanja:
SMB Server EPA
-
Microsoft Security Advisory 973811 | Proširena zaštita za provjeru autentičnosti
-
Opis ažuriranja koje implementira proširenu zaštitu za provjeru autentičnosti u servisu poslužitelja
Potpisivanje SMB poslužitelja
Korisnici moraju konfigurirati SMB Poslužitelj tako da zahtijeva potpisivanje SMB poslužitelja ili omogućiti SMB Server EPA da bi otežano svoje sustave protiv ove klase napada.
SMB poslužitelj s omogućenim šifriranjem globalno uz ne dopuštanje nešifriranog pristupa, također je zaštićen od relej napada. Dodatne informacije potražite u članku Sigurnosna poboljšanja SMB-a.
Omogućivanje podrške nadzora za potpisivanje SMB poslužitelja
Nadzor potpisivanja SMB poslužitelja po zadanom je onemogućen. To se može omogućiti i za SMBv1 poslužitelj i SMB2/3 poslužitelj kroz pravilnik grupe ili postavku registra.
Pravilnik grupe
|
Mjesto pravilnika |
Konfiguracija računala\Administrativni predlošci\Mreža\Lanman poslužitelj |
|
Naziv pravilnika |
Klijent za nadzor ne podržava potpisivanje |
|
Stanja pravilnika |
|
Registar
|
Mjesto registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Vrijednost |
AuditClientSpnSupport |
|
Vrsta |
REG_DWORD |
|
Podaci |
|
Događaji nadzora potpisivanja SMB poslužitelja
|
Zapisnik događaja |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Microsoft-Windows-SMBServer |
|
ID događaja |
3021 |
|
Tekst događaja |
SMB poslužitelj primijetio je da klijent ne podržava potpisivanje. Naziv klijenta: <> Korisničko ime: <> Poslužitelj zahtijeva potpisivanje: <> |
|
Zapisnik događaja |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Microsoft-Windows-SMBServer |
|
ID događaja |
3027 |
|
Tekst događaja |
SMBv1 poslužitelj primijetio je da klijent SMBv1 nema omogućeno potpisivanje. Naziv klijenta: <> Poslužitelj zahtijeva potpisivanje: <> |
Smjernice: Ovaj događaj označava da klijent SMBv1 možda ne podržava omogućivanje podrške nadzoru za potpisivanje SMB-a, ali zbog ograničenja protokola to se ne može utvrditi uz sigurnost. Preporučuje se daljnja procjena radi provjere mogućnosti potpisivanja klijenta.
Prije nego što windows Vista, klijenti SMBv1 koji nisu imali omogućeno izričito potpisivanje nisu mogli izvršiti omogućivanje podrške nadzora za potpisivanje SMB-a.
To je ponašanje promijenjeno s izdanjem sustava Windows Vista i također je backported na Windows XP i Windows Server 2003 putem ažuriranja. Uz te promjene SMB klijenti mogu podržavati potpisivanje čak i ako nije izričito omogućen, pod uvjetom da to zahtijeva poslužitelj.
Bilješke
-
Klijenti koji ispravno implementiraju potpisivanje, ali ne oglašavaju takvu podršku, rezultirat će lažnom pozitivnom e-razinom.
-
Klijenti koji oglašavaju podršku za potpisivanje, ali ne implementiraju ispravno podršku, rezultirat će lažnim negativnim vrijednostima.
Omogućivanje podrške nadzora za SMB Server EPA
Nadzor SMB Server EPA po zadanom je onemogućen. To se može omogućiti i za SMBv1 poslužitelj i SMB2/3 poslužitelj kroz pravilnik grupe ili postavku registra.
Pravilnik grupe
|
Mjesto pravilnika |
Konfiguracija računala\Administrativni predlošci\Mreža\Lanman poslužitelj |
|
Naziv pravilnika |
Podrška za SPN klijenta nadzora |
|
Stanja pravilnika |
|
Registar
|
Mjesto registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Vrijednost |
AuditClientSpnSupport |
|
Vrsta |
REG_DWORD |
|
Podaci |
|
Događaji nadzora epa poslužitelja SMB
|
Zapisnik događaja |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Microsoft-Windows-SMBServer |
|
ID događaja |
3024 |
|
Tekst događaja |
SMB poslužitelj primijetio je da klijent nije poslao SPN tijekom provjere autentičnosti, što upućuje na to da klijent ne podržava proširenu zaštitu za provjeru autentičnosti (EPA) ili da je onemogućena podrška za EPA. Naziv klijenta: <> Stanje SPN upita: <> Omogući proširenu zaštitu za pravilnik o provjeri autentičnosti: <> |
|
Zapisnik događaja |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Microsoft-Windows-SMBServer |
|
ID događaja |
3025 |
|
Tekst događaja |
SMB poslužitelj je uočio da je klijent poslao nepoznati SPN tijekom provjere autentičnosti. Naziv klijenta: <> SPN: <> Omogući proširenu zaštitu za pravilnik o provjeri autentičnosti: <> |
|
Zapisnik događaja |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta događaja |
Upozorenje |
|
Izvor događaja |
Microsoft-Windows-SMBServer |
|
ID događaja |
3026 |
|
Tekst događaja |
SMB poslužitelj je uočio da je klijent poslao prazan SPN tijekom provjere autentičnosti, što upućuje na to da klijent može poslati SPN, ali ga nije odabrao za opskrbu. Naziv klijenta: <> Omogući proširenu zaštitu za pravilnik o provjeri autentičnosti: <> |
