Opprinnelig publiseringsdato: 9. september 2025KB-ID: 5066913
Sammendrag
SMB-serveren støtter allerede to mekanismer for herding mot reléangrep:
-
SMB Server-signering
-
Utvidet SMB Server-beskyttelse for godkjenning (EPA)
I enkelte kundemiljøer utgjør håndheving av en av disse herdingsmekanismene kompatibilitetsrisiko, da noen eldre systemer og tredjepartsimplementeringer kanskje ikke støtter SMB Server-signering eller SMB Server EPA.
Som en del av Windows-oppdateringene som ble utgitt 9. september 2025 (CVE-2025-55234), er støtte aktivert for overvåking av SMB-klientkompatibilitet for SMB Server-signering samt SMB Server EPA. Dette gjør det mulig for kunder å vurdere miljøet og identifisere eventuelle problemer med enhets- eller programvarekompatibilitet før de distribuerer herdingstiltakene som allerede støttes av SMB Server.
Bakgrunn
SMB Server kan være utsatt for reléangrep avhengig av konfigurasjonen. Microsoft lanserte følgende begrensninger for å forhindre dette sikkerhetsproblemet:
SMB Server EPA
-
Microsoft Security Advisory 973811 | Utvidet beskyttelse for godkjenning
-
Beskrivelse av oppdateringen som implementerer utvidet beskyttelse for godkjenning i servertjenesten
SMB Server-signering
Kunder må enten konfigurere SMB Server til å kreve SMB Server-signering eller aktivere SMB Server EPA for å herde systemene sine mot denne angrepsklassen.
SMB-server med kryptering aktivert globalt sammen med ikke å tillate ukryptert tilgang, er også beskyttet mot videresendingsangrep. Hvis du vil ha mer informasjon, kan du se SMB-sikkerhetsforbedringer.
Aktiver overvåkingsstøtte for SMB Server-signering
Overvåking for SMB Server-signering er deaktivert som standard. Dette kan aktiveres for både SMBv1-server og SMB2/3-server via gruppepolicy eller registerinnstilling.
Gruppepolicy
|
Policyplassering |
Datamaskinkonfigurasjon\Administrative maler\Nettverk\Lanman Server |
|
Navn på policy |
Overvåkingsklienten støtter ikke signering |
|
Policytilstander |
|
Register
|
Registerplassering |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Verdi |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Data |
|
Overvåkingshendelser for SMB Server-signering
|
Hendelseslogg |
Microsoft-Windows-SMBServer/Audit |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Microsoft-Windows-SMBServer |
|
Hendelses-ID |
3021 |
|
Hendelsestekst |
SMB-serveren observerte at klienten ikke støtter signering. Klientnavn: <> Brukernavn: <> Serveren krever signering: <> |
|
Hendelseslogg |
Microsoft-Windows-SMBServer/Audit |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Microsoft-Windows-SMBServer |
|
Hendelses-ID |
3027 |
|
Hendelsestekst |
SMBv1-serveren observerte at SMBv1-klienten ikke har signering aktivert. Klientnavn: <> Serveren krever signering: <> |
Veiledning: Denne hendelsen indikerer at SMBv1-klienten kanskje ikke støtter aktivering av overvåkingsstøtte for SMB-signering, men på grunn av protokollbegrensninger kan dette ikke fastslås med sikkerhet. Videre evaluering anbefales for å bekrefte klientens signeringsfunksjoner.
Før Windows Vista kunne ikke SMBv1-klienter som ikke hadde signering eksplisitt aktivert, utføre aktivering av overvåkingsstøtte for SMB-signering.
Denne virkemåten ble endret med utgivelsen av Windows Vista og ble også tilbakeportert til Windows XP og Windows Server 2003 gjennom oppdateringer. Med disse endringene kan SMB-klienter støtte signering selv om det ikke er eksplisitt aktivert, forutsatt at serveren krever det.
Notater
-
Klienter som implementerer signering riktig, men ikke annonserer slik støtte, vil resultere i falske positiver.
-
Klienter som annonserer støtte for signering, men som ikke implementerer støtte på riktig måte, vil resultere i falske negativer.
Aktivere overvåkingsstøtte for SMB Server EPA
Overvåking for SMB Server EPA er deaktivert som standard. Dette kan aktiveres for både SMBv1-server og SMB2/3-server via gruppepolicy eller registerinnstilling.
Gruppepolicy
|
Policyplassering |
Datamaskinkonfigurasjon\Administrative maler\Nettverk\Lanman Server |
|
Navn på policy |
Overvåk spn-støtte for SMB-klient |
|
Policytilstander |
|
Register
|
Registerplassering |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Verdi |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Data |
|
EPA-overvåkingshendelser for SMB Server
|
Hendelseslogg |
Microsoft-Windows-SMBServer/Audit |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Microsoft-Windows-SMBServer |
|
Hendelses-ID |
3024 |
|
Hendelsestekst |
SMB-serveren observerte at klienten ikke sendte en SPN under godkjenning, noe som indikerer at klienten ikke støtter utvidet beskyttelse for godkjenning (EPA) eller at støtte for EPA er deaktivert. Klientnavn: <> SPN-spørringsstatus: <> Aktiver utvidet beskyttelse for godkjenningspolicy: <> |
|
Hendelseslogg |
Microsoft-Windows-SMBServer/Audit |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Microsoft-Windows-SMBServer |
|
Hendelses-ID |
3025 |
|
Hendelsestekst |
SMB-serveren observerte at klienten sendte en ukjent SPN under godkjenning. Klientnavn: <> SPN: <> Aktiver utvidet beskyttelse for godkjenningspolicy: <> |
|
Hendelseslogg |
Microsoft-Windows-SMBServer/Audit |
|
Hendelsestype |
Advarsel |
|
Hendelseskilde |
Microsoft-Windows-SMBServer |
|
Hendelses-ID |
3026 |
|
Hendelsestekst |
SMB-serveren observerte at klienten sendte en tom SPN under godkjenning, noe som indikerer at klienten er i stand til å sende en SPN, men valgt ikke å oppgi en. Klientnavn: <> Aktiver utvidet beskyttelse for godkjenningspolicy: <> |
