Pradinė publikavimo data: 2025 m. rugsėjo 9d. KB ID: 5066913
Suvestinė
SMB serveris jau palaiko du mechanizmus, skirtus apsisaugoti nuo perdavimo atakų:
-
SMB serverio pasirašymas
-
SMB serverio išplėstinė autentifikavimo apsauga (EPA)
Kai kuriose klientų aplinkose bet kurio iš šių griežinimo mechanizmų vykdymas kelia suderinamumo pavojų, nes kai kurios senstelėjusios sistemos ir trečiųjų šalių diegimai gali nepalaikyti SMB serverio pasirašymo arba SMB serverio EPA.
Kaip "Windows" naujinimų, išleistų 2025 m. rugsėjo 9 d. ir vėliau (CVE-2025-55234), palaikymas įgalintas atliekant SMB kliento suderinamumo auditą SMB serverio pasirašymui ir SMB serverio EPA. Tai leidžia klientams įvertinti savo aplinką ir nustatyti galimas įrenginio ar programinės įrangos nesuderinamumo problemas prieš diegiant SMB serverio jau palaikomas sustiprinimo priemones.
Fonas
SMB serveris gali būti jautrūs perdavimo atakoms, atsižvelgiant į konfigūraciją. Norėdami išvengti šio pažeidžiamumo, "Microsoft" išleido šias priemones:
SMB serverio EPA
-
"Microsoft" saugos patarimo 973811 | Išplėstinė autentifikavimo apsauga
-
Naujinimo, kuris vykdo išplėstinę autentifikavimo apsaugą serverio tarnyboje, aprašas
SMB serverio pasirašymas
Klientai turi sukonfigūruoti SMB serverį, kad būtų reikalaujama SMB serverio pasirašymo arba įgalinti SMB serverio EPA, kad sustifruotumėte savo sistemas prieš šią atakų klasę.
SMB serveris su įgalintu šifravimu visame pasaulyje kartu su nešifruota prieiga taip pat yra apsaugotas nuo perdavimo atakų. Daugiau informacijos žr. SMB saugos patobulinimai.
SMB serverio pasirašymo audito palaikymo įgalinimas
Pagal numatytuosius nustatymus SMB serverio pasirašymo tikrinimas išjungtas. Tai galima įjungti ir SMBv1 serveriui, ir SMB2/3 serveriui naudojant Grupės strategija arba registro parametrą.
Grupės strategija
|
Strategijos vieta |
Computer Configuration\Administrative Templates\Network\Lanman Server |
|
Strategijos pavadinimas |
Audito klientas nepalaiko pasirašymo |
|
Strategijos būsenos |
|
Registro
|
Registro vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Reikšmė |
AuditClientSpnSupport |
|
Tipas |
REG_DWORD |
|
Duomenys |
|
SMB serverio pasirašymo audito įvykiai
|
Įvykių žurnalas |
Microsoft-Windows-SMBServer/Audit |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Microsoft-Windows-SMBServer |
|
Įvykio ID |
3021 |
|
Įvykio tekstas |
SMB serveris pastebėjo, kad klientas nepalaiko pasirašymo. Kliento vardas: <> Vartotojo vardas: <> Serveris reikalauja pasirašymo: <> |
|
Įvykių žurnalas |
Microsoft-Windows-SMBServer/Audit |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Microsoft-Windows-SMBServer |
|
Įvykio ID |
3027 |
|
Įvykio tekstas |
SMBv1 serveris pastebėjo, kad SMBv1 klientas neturi įgalinto pasirašymo. Kliento vardas: <> Serveris reikalauja pasirašymo: <> |
Rekomendacijos: Šis įvykis nurodo, kad SMBv1 klientas gali nepalaikyti SMB pasirašymo audito palaikymo įgalinimo, tačiau dėl protokolų apribojimų to negalima tiksliai nustatyti. Norint patikrinti kliento pasirašymo galimybes, rekomenduojama atlikti tolesnį vertinimą.
Prieš "Windows Vista" SMBv1 klientai, kurie nebuvo aiškiai įjungę pasirašymo, negalėjo atlikti SMB pasirašymo audito palaikymo įjungimo.
Ši elgsena buvo pakeista išleidus "Windows Vista", taip pat buvo grąžinta į "Windows XP" ir Windows Server 2003" per naujinimus. Atlikus šiuos pakeitimus, SMB klientai gali palaikyti pasirašymą, net jei jis nėra aiškiai įgalintas, jei to reikalauja serveris.
Pastabos
-
Klientams, kurie teisingai įgyvendina pasirašymą, bet nepareklamuoja tokio palaikymo, bus klaidingai teigiami.
-
Klientams, kurie reklamuoja pasirašymo palaikymą, bet netinkamai įgyvendina palaikymą, bus klaidingai neigiamų.
SMB serverio EPA audito palaikymo įgalinimas
Pagal numatytuosius nustatymus SMB serverio EPA auditas išjungtas. Tai galima įjungti ir SMBv1 serveriui, ir SMB2/3 serveriui naudojant Grupės strategija arba registro parametrą.
Grupės strategija
|
Strategijos vieta |
Computer Configuration\Administrative Templates\Network\Lanman Server |
|
Strategijos pavadinimas |
Audito SMB kliento SPN palaikymas |
|
Strategijos būsenos |
|
Registro
|
Registro vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Reikšmė |
AuditClientSpnSupport |
|
Tipas |
REG_DWORD |
|
Duomenys |
|
SMB serverio EPA audito įvykiai
|
Įvykių žurnalas |
Microsoft-Windows-SMBServer/Audit |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Microsoft-Windows-SMBServer |
|
Įvykio ID |
3024 |
|
Įvykio tekstas |
SMB serveris pastebėjo, kad autentifikavimo metu klientas nesiuntė SPN, nurodantis, kad klientas nepalaiko išplėstinės autentifikavimo apsaugos (EPA) arba kad EPA palaikymas išjungtas. Kliento vardas: <> SPN užklausos būsena: <> Įgalinti išplėstinę autentifikavimo strategijos apsaugą: <> |
|
Įvykių žurnalas |
Microsoft-Windows-SMBServer/Audit |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Microsoft-Windows-SMBServer |
|
Įvykio ID |
3025 |
|
Įvykio tekstas |
SMB serveris pastebėjo, kad autentifikavimo metu klientas atsiuntė neatpažintą SPN. Kliento vardas: <> SPN: <> Įgalinti išplėstinę autentifikavimo strategijos apsaugą: <> |
|
Įvykių žurnalas |
Microsoft-Windows-SMBServer/Audit |
|
Įvykio tipas |
Įspėjimas |
|
Įvykio šaltinis |
Microsoft-Windows-SMBServer |
|
Įvykio ID |
3026 |
|
Įvykio tekstas |
SMB serveris pastebėjo, kad autentifikavimo metu klientas atsiuntė tuščią SPN, kuris nurodo, kad klientas gali siųsti SPN, bet išrinktas nepateikti. Kliento vardas: <> Įgalinti išplėstinę autentifikavimo strategijos apsaugą: <> |
