Sākotnējās publicēšanas datums: 2025. gada 9. septembraKB ID: 5066913
Kopsavilkums
SMB Server jau atbalsta divus mehānismus, lai rūktu pret pārraides uzbrukumiem:
-
SMB Server parakstīšana
-
SMB Server autentifikācijas paplašinātā aizsardzība (EPA)
Dažās klientu vidēs, uzsācot kādu no šiem rūdīšanas mehānismiem, tiek radīti saderības riski, jo dažas mantotās sistēmas un trešo pušu implementācijas, iespējams, neatbalsta SMB Server pierakstīšanos vai SMB Server EPA.
Kā daļa no Windows atjauninājumiem, kas izlaisti 2025. gada 9. septembrī un pēc tam (CVE-2025-55234), atbalsts ir iespējots SMB klienta saderības auditēšana SMB Server parakstīšanai, kā arī SMB Server EPA. Tas ļauj klientiem novērtēt vidi un noteikt iespējamās problēmas saistībā ar ierīces vai programmatūras nesaderības problēmām, pirms izvietojat SMB Server atbalstītos rūdīšanas pasākumus.
Pamatojums
SMB Server var būt retranslēšanas uzbrukumi atkarībā no konfigurācijas. Lai novērstu šo ievainojamību, Microsoft izlaida šādus riskus:
SMB Server EPA
-
Microsoft drošības konsultāciju 973811 | Autentifikācijas paplašinātā aizsardzība
-
Atjauninājuma, kas ievieš paplašināto aizsardzību autentifikācijai servera pakalpojumā, apraksts
SMB Server parakstīšana
Klientiem ir jākonfigurē SMB Server, lai pieprasītu SMB Server pierakstīšanos, vai jāiespējo SMB Server EPA, lai šīs sistēmas būtu nosakušas pret šo uzbrukuma klasi.
SMB serveris ar iespējotu šifrēšanu globāli un neļaujot nešifrētu piekļuvi, tiek aizsargāts arī pret pārraides uzbrukumiem. Papildinformāciju skatiet rakstā SMB drošības uzlabojumi.
Audita atbalsta iespējošana SMB Server parakstīšanai
Pēc noklusējuma SMB Server parakstīšana auditēšana ir atspējota. To var iespējot gan SMBv1 serverim, gan SMB2/3 serverim, izmantojot grupas politika vai reģistra iestatījumu.
Grupas politika
|
Politikas atrašanās vieta |
Datora konfigurācija\Administratīvās veidnes\Tīkls\Lanman serveris |
|
Politikas nosaukums |
Audita klients neatbalsta pierakstīšanos |
|
Politikas states |
|
Reģistra
|
Reģistra atrašanās vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Vērtība |
AuditClientSpnSupport |
|
Tips |
REG_DWORD |
|
Dati |
|
SMB Server parakstīšanas audita notikumi
|
Notikumu žurnāls |
Microsoft-Windows-SMBServer/audit |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Microsoft-Windows-SMBServer |
|
Notikuma ID |
3021 |
|
Notikuma teksts |
SMB serveris novērots, ka klients neatbalsta pierakstīšanos. Klienta nosaukums: <> Lietotājvārds: <> Serverim nepieciešams pierakstīties: <> |
|
Notikumu žurnāls |
Microsoft-Windows-SMBServer/audit |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Microsoft-Windows-SMBServer |
|
Notikuma ID |
3027 |
|
Notikuma teksts |
SMBv1 serveris novērots, ka SMBv1 klientam nav iespējota parakstīšana. Klienta nosaukums: <> Serverim nepieciešams pierakstīties: <> |
Norādījumi: Šis notikums norāda, ka SMBv1 klients, iespējams, neatbalsta audita atbalsta SMB parakstīšanas iespējošanu, bet protokola ierobežojumu dēļ to nevar noteikt ar papildu ierobežojumiem. Ir ieteicams veikt tālāku novērtēšanu, lai pārbaudītu klienta parakstīšanas iespējas.
Pirms Windows Vista SMBv1 klienti, kuriem nebija tieši iespējota parakstīšana, nevarēja iespējot audita atbalstu SMB parakstīšanai.
Šī darbība tika mainīta kopā ar Windows Vista laidienu, kā arī tika atbalstīta operētājsistēmā Windows XP un sistēmā Windows Server 2003, izmantojot atjauninājumus. Ar šīm izmaiņām SMB klienti var atbalstīt pierakstīšanos, pat ja tā nav tieši iespējota, ja serveris to pieprasa.
Piezīmes
-
Klienti, kas pareizi ievieš pierakstīšanos, bet neie reklamē šādu atbalstu, radīs aplami pozitīvos datus.
-
Klienti, kas reklamē atbalstu parakstīšanai, bet nepareizi ievieš atbalstu, radīs aplami negatīvus.
Audita atbalsta iespējošana SMB Server EPA
Pēc noklusējuma SMB Server EPA auditēšana ir atspējota. To var iespējot gan SMBv1 serverim, gan SMB2/3 serverim, izmantojot grupas politika vai reģistra iestatījumu.
Grupas politika
|
Politikas atrašanās vieta |
Datora konfigurācija\Administratīvās veidnes\Tīkls\Lanman serveris |
|
Politikas nosaukums |
Audita SMB klienta SPN atbalsts |
|
Politikas states |
|
Reģistra
|
Reģistra atrašanās vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Vērtība |
AuditClientSpnSupport |
|
Tips |
REG_DWORD |
|
Dati |
|
SMB Server EPA audita notikumi
|
Notikumu žurnāls |
Microsoft-Windows-SMBServer/audit |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Microsoft-Windows-SMBServer |
|
Notikuma ID |
3024 |
|
Notikuma teksts |
SMB serveris konstatēja, ka klients autentifikācijas laikā nesūta SPN, norādot, ka klients neatbalsta autentifikācijas (EPA) paplašināto aizsardzību vai ka EPA atbalsts ir atspējots. Klienta nosaukums: <> SPN vaicājuma statuss: <> Autentifikācijas politikas paplašinātās aizsardzības iespējošana: <> |
|
Notikumu žurnāls |
Microsoft-Windows-SMBServer/audit |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Microsoft-Windows-SMBServer |
|
Notikuma ID |
3025 |
|
Notikuma teksts |
SMB serveris novērots, ka klients autentifikācijas laikā nosūtīja neatpazīto SPN. Klienta nosaukums: <> SPN: <> Autentifikācijas politikas paplašinātās aizsardzības iespējošana: <> |
|
Notikumu žurnāls |
Microsoft-Windows-SMBServer/audit |
|
Notikuma tips |
Brīdinājums |
|
Notikuma avots |
Microsoft-Windows-SMBServer |
|
Notikuma ID |
3026 |
|
Notikuma teksts |
SMB serveris novērots, ka klients autentifikācijas laikā nosūtīja tukšu SPN, kas norāda, ka klients var nosūtīt SPN, taču ir izvēlējies to nesūtīt. Klienta nosaukums: <> Autentifikācijas politikas paplašinātās aizsardzības iespējošana: <> |
