Hatókör
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Eredeti közzététel dátuma: 2025. szeptember9-i TUDÁSBÁZIS-azonosító: 5066913

Összefoglalás

Az SMB-kiszolgáló már két mechanizmust támogat a továbbítótámadások elleni védekezéshez: 

  • SMB-kiszolgáló aláírása

  • SMB Server – kiterjesztett hitelesítésvédelem (EPA)

Egyes ügyfélkörnyezetekben ezeknek a megerősítési mechanizmusoknak a kényszerítése kompatibilitási kockázatot jelent, mivel egyes örökölt rendszerek és külső megvalósítások nem támogatják az SMB-kiszolgáló aláírását vagy az SMB-kiszolgáló EPA-ját. 

A 2025. szeptember 9-én és azt követően kiadott Windows-frissítések (CVE-2025-55234) részeként engedélyezve van a támogatás az SMB-kiszolgáló aláírásával és az SMB-kiszolgáló EPA-jának SMB-ügyfélkompatibilitásának naplózásához. Ez lehetővé teszi az ügyfelek számára, hogy felmérjék a környezetüket, és azonosítsák az esetleges eszköz- vagy szoftverkompatibilitási problémákat az SMB-kiszolgáló által már támogatott korlátozási intézkedések telepítése előtt.

Háttér

Az SMB-kiszolgáló a konfigurációtól függően hajlamos lehet a továbbítási támadásokra. A biztonsági rés megelőzése érdekében a Microsoft a következő kockázatcsökkentéseket adta ki: 

SMB-kiszolgáló – EPA

SMB-kiszolgáló aláírása

Az ügyfeleknek úgy kell konfigurálniuk az SMB-kiszolgálót, hogy megköveteljék az SMB-kiszolgáló aláírását, vagy engedélyezniük kell az SMB Server EPA-jának, hogy megerősítse a rendszereit ezzel a támadási osztálysal szemben. ​​​​​​​​​​​​​​

Az SMB-kiszolgáló, amelyen a titkosítás globálisan engedélyezve van, és nem teszi lehetővé a titkosítatlan hozzáférést, szintén védve van a továbbítótámadásokkal szemben. További információ: SMB biztonsági fejlesztések.

Az SMB-kiszolgáló aláírásának naplózási támogatásának engedélyezése

Alapértelmezés szerint az SMB-kiszolgáló aláírásának naplózása le van tiltva. Ez az SMBv1-kiszolgáló és az SMB2/3-kiszolgáló esetében is engedélyezhető Csoportházirend vagy beállításjegyzék-beállításon keresztül.

Csoportházirend

Szabályzat helye

Számítógép konfigurációja\Felügyeleti sablonok\Hálózat\Lanman-kiszolgáló

Házirend neve

A naplózási ügyfél nem támogatja az aláírást

Szabályzatállapotok

  • Letiltva – Naplózás letiltása

  • Engedélyezve – Naplózás engedélyezése

  • Nincs konfigurálva (alapértelmezett) – Kövesse a beállításjegyzék konfigurációját

Beállításjegyzék

Beállításjegyzék helye

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Érték

AuditClientSpnSupport

Type (Típus)

REG_DWORD

Data (Adatok)

  • 0 (alapértelmezett) – Naplózás letiltása

  • 1 – Naplózás engedélyezése

SMB-kiszolgáló aláírási naplózási eseményei

Eseménynapló

Microsoft-Windows-SMBServer/Audit

Esemény típusa

Figyelmeztetés

Eseményforrás

Microsoft-Windows-SMBServer

Eseményazonosító

3021

Esemény szövege

Az SMB-kiszolgáló megfigyelte, hogy az ügyfél nem támogatja az aláírást. 

Ügyfél neve: <>

Felhasználónév: <>

A kiszolgálónak aláírásra van szüksége: <>

Eseménynapló

Microsoft-Windows-SMBServer/Audit

Esemény típusa

Figyelmeztetés

Eseményforrás

Microsoft-Windows-SMBServer

Eseményazonosító

3027

Esemény szövege

Az SMBv1-kiszolgáló azt észlelte, hogy az SMBv1-ügyfélen nincs engedélyezve az aláírás.

Ügyfél neve: <>

A kiszolgálónak aláírásra van szüksége: <>

Útmutató: Ez az esemény azt jelzi, hogy az SMBv1-ügyfél nem támogatja az SMB-aláírás naplózási támogatásának engedélyezését, de a protokollkorlátozások miatt ez nem határozható meg bizonyossággal. További értékelés ajánlott az ügyfél aláírási képességeinek ellenőrzéséhez. 

A Windows Vista előtt a kifejezetten nem engedélyezett aláírással nem rendelkező SMBv1-ügyfelek nem tudták elvégezni az SMB-aláírás naplózási támogatásának engedélyezését. 

Ezt a viselkedést a Windows Vista kiadásával módosították, és a windowsos XP és a 2003-Windows Server is frissítették. Ezekkel a módosításokkal az SMB-ügyfelek akkor is támogathatják az aláírást, ha az nincs explicit módon engedélyezve, feltéve, hogy a kiszolgáló megköveteli. 

Megjegyzések

  • Azok az ügyfelek, amelyek megfelelően implementálják az aláírást, de nem hirdetnek ilyen támogatást, téves pozitív eredményt fognak eredményezni.

  • Azok az ügyfelek, amelyek támogatják az aláírást, de nem megfelelően implementálják a támogatást, hamis negatívumokat eredményeznek.

Az SMB Server EPA naplózási támogatásának engedélyezése

Alapértelmezés szerint az SMB-kiszolgáló EPA naplózása le van tiltva. Ez az SMBv1-kiszolgáló és az SMB2/3-kiszolgáló esetében is engedélyezhető Csoportházirend vagy beállításjegyzék-beállításon keresztül.

Csoportházirend

Szabályzat helye

Számítógép konfigurációja\Felügyeleti sablonok\Hálózat\Lanman-kiszolgáló

Házirend neve

SMB-ügyfél SPN-támogatásának naplózása

Szabályzatállapotok

  • Letiltva – Naplózás letiltása

  • Engedélyezve – Naplózás engedélyezése

  • Nincs konfigurálva (alapértelmezett) – Kövesse a beállításjegyzék konfigurációját

Beállításjegyzék

Beállításjegyzék helye

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Érték

AuditClientSpnSupport

Type (Típus)

REG_DWORD

Data (Adatok)

  • 0 (alapértelmezett) – SPN-naplózás letiltása

  • 1 – SpN-naplózás engedélyezése

SMB-kiszolgáló EPA auditeseményei

Eseménynapló

Microsoft-Windows-SMBServer/Audit

Esemény típusa

Figyelmeztetés

Eseményforrás

Microsoft-Windows-SMBServer

Eseményazonosító

3024

Esemény szövege

Az SMB-kiszolgáló megfigyelte, hogy az ügyfél nem küldött spN-t a hitelesítés során, jelezve, hogy az ügyfél nem támogatja a kiterjesztett hitelesítést (EPA), vagy hogy az EPA támogatása le van tiltva. 

Ügyfél neve: <>

SPN-lekérdezés állapota: <>

Kiterjesztett védelem engedélyezése hitelesítési szabályzathoz: <>

Eseménynapló

Microsoft-Windows-SMBServer/Audit

Esemény típusa

Figyelmeztetés

Eseményforrás

Microsoft-Windows-SMBServer

Eseményazonosító

3025

Esemény szövege

Az SMB-kiszolgáló megfigyelte, hogy az ügyfél ismeretlen egyszerű szolgáltatásneveket küldött a hitelesítés során. 

Ügyfél neve: <>

SPN: <>

Kiterjesztett védelem engedélyezése hitelesítési szabályzathoz: <>

Eseménynapló

Microsoft-Windows-SMBServer/Audit

Esemény típusa

Figyelmeztetés

Eseményforrás

Microsoft-Windows-SMBServer

Eseményazonosító

3026

Esemény szövege

Az SMB-kiszolgáló megfigyelte, hogy az ügyfél üres egyszerű szolgáltatásneveket küldött a hitelesítés során, ami azt jelzi, hogy az ügyfél képes egyszerű szolgáltatásnév küldésére, de úgy döntött, hogy nem ad meg egyet. 

Ügyfél neve: <>

Kiterjesztett védelem engedélyezése hitelesítési szabályzathoz: <>
Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ