Sunucu İleti Bloğu imzalamaya genel bakış
Bu makalede Sunucu İleti Bloğu (SMB) 2.x ve 3.x imzalaması ve SMB imzalamanın gerekli olup olmadığının nasıl belirleneceği açıklanır.
Giriş
SMB imzalama (güvenlik imzaları olarak da bilinir), SMB protokolündeki bir güvenlik mekanizmasıdır. SMB imzalama, her SMB iletisinin oturum anahtarı kullanılarak oluşturulan bir imza içerdiği anlamına gelir. İstemci, tüm iletinin karması SMB üst bilgisinin imza alanına yerleştirir.
SMB imzalama ilk olarak Microsoft Windows 2000, Microsoft Windows NT 4.0 ve Microsoft Windows 98'de göründü. İmzalama algoritmaları zaman içinde gelişti. SMB 2.02 imzalama, SMB1'de kullanılan 1990'ların sonundaki eski MD5 yönteminin yerine karma tabanlı ileti kimlik doğrulama kodu (HMAC) SHA-256'nın eklenmesiyle geliştirilmiştir. SMB 3.0, AES-CMAC algoritmaları ekledi. Windows Server 2022 ve Windows 11'da AES-128-GMAC imzalama hızlandırmasını ekledik. En iyi performans ve koruma birleşimini istiyorsanız en son Windows sürümlerine yükseltmeyi göz önünde bulundurun.
SMB imzalama bağlantıyı nasıl korur?
İletim sırasında birisi ileti değiştirirse karma eşleşmez ve SMB, birinin verileri kurcaladığını anlar. İmza, gönderenin ve alıcının kimliklerini de onaylar. Bu, geçiş saldırılarını önler. İdeal olarak, oturum anahtarınızın güçlü başlaması için NTLMv2 yerine Kerberos kullanıyorsunuz. PAYLAŞıMlara IP adreslerini kullanarak bağlanma ve CNAME kayıtlarını kullanma yoksa Kerberos yerine NTLM kullanırsınız. Bunun yerine Kerberos kullanın. Daha fazla bilgi için bkz. DNS CNAME Kayıtları yerine Bilgisayar Adı Diğer Adlarını Kullanma .
SMB imzalama için ilke konumları
SMB imzalama ilkeleri, Bilgisayar Yapılandırması>Windows AyarlarıGüvenlik Ayarları>>Yerel İlkeler>Güvenlik Seçenekleri'nde bulunur.
- Microsoft ağ istemcisi: İletişimleri dijital olarak imzalama (her zaman)
Kayıt defteri anahtarı:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Kayıt defteri değeri: RequireSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkinleştir) - Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse)
Kayıt defteri anahtarı:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Kayıt defteri değeri: EnableSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkinleştir) - Microsoft ağ sunucusu: İletişimleri dijital olarak imzalama (her zaman)
Kayıt defteri anahtarı:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Kayıt defteri değeri: RequireSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkinleştir) - Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse)
Kayıt defteri anahtarı:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Kayıt defteri değeri: EnableSecuritySignature
Veri Türü: REG_DWORD
Veri: 0 (devre dışı), 1 (etkinleştir)
Not Bu ilkelerde "always", SMB imzalamanın gerekli olduğunu gösterir ve "sunucu kabul ederse" veya "istemci kabul ederse", SMB imzalamanın etkinleştirildiğini gösterir.
"RequireSecuritySignature" ve "EnableSecuritySignature" özelliklerini anlama
SMB2+ istemcisi ve SMB2+ sunucusu için EnableSecuritySignature kayıt defteri ayarı yoksayılır. Bu nedenle, SMB1 kullanmadığınız sürece bu ayar hiçbir şey yapmaz. SMB 2.02 ve üzeri imzalama yalnızca gerekli olup olmadığıyla denetlenmektedir. Bu ayar, sunucu veya istemci SMB imzalaması gerektirdiğinde kullanılır. Yalnızca her ikisinde de imzalama 0 olarak ayarlanmışsa imzalama gerçekleşmez.
- | Server – RequireSecuritySignature=1 | Server – RequireSecuritySignature=0 |
---|---|---|
Client – RequireSecuritySignature=1 | Imzalı | Imzalı |
Client – RequireSecuritySignature=0 | Imzalı | İmzalı değil |
Başvuru
SMB İmzalama'nın Güvenle Yapılandırılması
SMB İstemci Savunması Aracılığıyla Kullanıcıları Kesme Saldırılarına Karşı Savunma
Windows 10 SMB 2 ve SMB 3 güvenliği: imzalama ve şifreleme anahtarlarının anatomisi
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin