元の発行日: 2025 年 9 月 9 日KB ID: 5066913
概要
SMB サーバーでは、リレー攻撃に対するセキュリティ強化のための 2 つのメカニズムが既にサポートされています。
-
SMB サーバー署名
-
認証用 SMB サーバー拡張保護 (EPA)
一部の顧客環境では、これらのセキュリティ強化メカニズムのいずれかを適用すると、一部のレガシ システムやサード パーティの実装で SMB Server 署名や SMB Server EPA がサポートされていない可能性があるため、互換性リスクが発生します。
2025 年 9 月 9 日以降にリリースされた Windows 更新プログラム (CVE-2025-55234) の一環として、SMB Server 署名と SMB Server EPA の SMB クライアントの互換性を監査するためのサポートが有効になっています。 これにより、お客様は、SMB Server で既にサポートされている強化対策を展開する前に、環境を評価し、潜在的なデバイスまたはソフトウェアの非互換性の問題を特定できます。
背景
SMB サーバーは、構成によってはリレー攻撃の影響を受ける可能性があります。 この脆弱性を防ぐために、Microsoft は次の軽減策をリリースしました。
SMB Server EPA
SMB サーバー署名
お客様は、SMB サーバー署名を要求するように SMB サーバーを構成するか、SMB Server EPA を有効にして、このクラスの攻撃に対してシステムを強化する必要があります。
暗号化がグローバルに有効になっている SMB サーバーと、暗号化されていないアクセスを許可しない SMB サーバーも、リレー攻撃から保護されます。 詳細については、「 SMB セキュリティの強化」を参照してください。
SMB サーバー署名の監査サポートの有効化
既定では、SMB サーバー署名の監査は無効になっています。 これは、グループ ポリシーまたはレジストリ設定を使用して、SMBv1 サーバーと SMB2/3 サーバーの両方で有効にすることができます。
グループ ポリシー
|
ポリシーの場所 |
コンピューターの構成\管理用テンプレート\Network\Lanman Server |
|
ポリシー名 |
監査クライアントは署名をサポートしていません |
|
ポリシーの状態 |
|
レジストリ
|
レジストリの場所 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
データ |
|
SMB サーバー署名監査イベント
|
Event Log |
Microsoft-Windows-SMBServer/Audit |
|
イベント タイプ |
警告 |
|
イベント ソース |
Microsoft-Windows-SMBServer |
|
イベント ID |
3021 |
|
イベント テキスト |
SMB サーバーは、クライアントが署名をサポートしていないことを確認しました。 クライアント名: <> ユーザー名: <> サーバーには署名が必要です: <> |
|
Event Log |
Microsoft-Windows-SMBServer/Audit |
|
イベント タイプ |
警告 |
|
イベント ソース |
Microsoft-Windows-SMBServer |
|
イベント ID |
3027 |
|
イベント テキスト |
SMBv1 サーバーは、SMBv1 クライアントで署名が有効になっていないことを確認しました。 クライアント名: <> サーバーには署名が必要です: <> |
ガイダンス: このイベントは、SMBv1 クライアントが SMB 署名の監査サポートの有効化をサポートしていない可能性があることを示しますが、プロトコルの制限のため、これは確実に決定できません。 クライアントの署名機能を確認するには、さらに評価することをお勧めします。
Windows Vista の前に、署名が明示的に有効になっていない SMBv1 クライアントは、SMB 署名の監査サポートの有効化を実行できませんでした。
この動作は Windows Vista のリリースで変更され、更新プログラムを通じて Windows XP と Windows Server 2003 にもバックポートされました。 これらの変更により、SMB クライアントは、明示的に有効になっていない場合でも、サーバーで署名が必要な場合に署名をサポートする場合があります。
メモ
-
署名を正しく実装しているが、そのようなサポートをアドバタイズしていないクライアントでは、誤検知が発生します。
-
署名のサポートをアドバタイズするが、サポートを正しく実装していないクライアントでは、偽の否定が発生します。
SMB Server EPA の監査サポートの有効化
既定では、SMB Server EPA の監査は無効になっています。 これは、グループ ポリシーまたはレジストリ設定を使用して、SMBv1 サーバーと SMB2/3 サーバーの両方で有効にすることができます。
グループ ポリシー
|
ポリシーの場所 |
コンピューターの構成\管理用テンプレート\Network\Lanman Server |
|
ポリシー名 |
SMB クライアント SPN のサポートを監査する |
|
ポリシーの状態 |
|
レジストリ
|
レジストリの場所 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
データ |
|
SMB Server EPA 監査イベント
|
Event Log |
Microsoft-Windows-SMBServer/Audit |
|
イベント タイプ |
警告 |
|
イベント ソース |
Microsoft-Windows-SMBServer |
|
イベント ID |
3024 |
|
イベント テキスト |
SMB サーバーは、認証中にクライアントが SPN を送信しなかったことを確認しました。これは、クライアントが認証のための拡張保護 (EPA) をサポートしていないか、または EPA のサポートが無効になっていることを示しています。 クライアント名: <> SPN クエリの状態: <> 認証ポリシーの拡張保護を有効にする: <> |
|
Event Log |
Microsoft-Windows-SMBServer/Audit |
|
イベント タイプ |
警告 |
|
イベント ソース |
Microsoft-Windows-SMBServer |
|
イベント ID |
3025 |
|
イベント テキスト |
SMB サーバーは、クライアントが認証中に認識されない SPN を送信したことを確認しました。 クライアント名: <> SPN: <> 認証ポリシーの拡張保護を有効にする: <> |
|
Event Log |
Microsoft-Windows-SMBServer/Audit |
|
イベント タイプ |
警告 |
|
イベント ソース |
Microsoft-Windows-SMBServer |
|
イベント ID |
3026 |
|
イベント テキスト |
SMB サーバーは、認証中にクライアントが空の SPN を送信したことを確認しました。これは、クライアントが SPN を送信できるが、SPN を提供しないことを選択したことを示しています。 クライアント名: <> 認証ポリシーの拡張保護を有効にする: <> |
