Oorspronkelijke publicatiedatum: 9 september 2025KB-id: 5066913
Samenvatting
De SMB-server ondersteunt al twee mechanismen voor beveiliging tegen relayaanvallen:
-
SMB-serverondertekening
-
Uitgebreide beveiliging van SMB-server voor verificatie (EPA)
In sommige klantomgevingen brengt het afdwingen van een van deze beveiligingsmechanismen compatibiliteitsrisico's met zich mee, omdat sommige verouderde systemen en implementaties van derden mogelijk geen ondersteuning bieden voor SMB Server-ondertekening of SMB Server EPA.
Als onderdeel van de Windows-updates die zijn uitgebracht op en na 9 september 2025 (CVE-2025-55234), is ondersteuning ingeschakeld voor het controleren van de compatibiliteit van de SMB-client voor SMB Server-ondertekening en SMB Server EPA. Hierdoor kunnen klanten hun omgeving beoordelen en mogelijke incompatibiliteitsproblemen met apparaten of software identificeren voordat ze de beveiligingsmaatregelen implementeren die al worden ondersteund door SMB Server.
Achtergrond
SMB-server is mogelijk gevoelig voor relayaanvallen, afhankelijk van de configuratie. Om dit beveiligingsprobleem te voorkomen, heeft Microsoft de volgende oplossingen uitgebracht:
SMB Server EPA
SMB-serverondertekening
Klanten moeten de SMB-server configureren om SMB Server-ondertekening te vereisen of SMB Server EPA inschakelen om hun systemen tegen deze aanvalsklasse te beveiligen.
SMB-server met versleuteling die wereldwijd is ingeschakeld en geen niet-versleutelde toegang toestaat, is ook beveiligd tegen relayaanvallen. Zie SMB-beveiligingsverbeteringen voor meer informatie.
Ondersteuning controleren voor SMB-serverondertekening inschakelen
Controle voor SMB Server-ondertekening is standaard uitgeschakeld. Dit kan worden ingeschakeld voor zowel SMBv1-server als SMB2/3-server via groepsbeleid- of registerinstelling.
Groepsbeleid
|
Beleidslocatie |
Computerconfiguratie\Beheersjablonen\Network\Lanman Server |
|
Beleidsnaam |
Controleclient biedt geen ondersteuning voor ondertekening |
|
Beleidsstatussen |
|
Register
|
Registerlocatie |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Gegevens |
|
Controlegebeurtenissen voor ondertekening van SMB-server
|
Gebeurtenislogboek |
Microsoft-Windows-SMBServer/Audit |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Microsoft-Windows-SMBServer |
|
Gebeurtenis-id |
3021 |
|
Gebeurtenistekst |
De SMB-server heeft vastgesteld dat de client geen ondersteuning biedt voor ondertekening. Clientnaam: <> Gebruikersnaam: <> Server vereist ondertekening: <> |
|
Gebeurtenislogboek |
Microsoft-Windows-SMBServer/Audit |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Microsoft-Windows-SMBServer |
|
Gebeurtenis-id |
3027 |
|
Gebeurtenistekst |
De SMBv1-server heeft vastgesteld dat ondertekening niet is ingeschakeld voor de SMBv1-client. Clientnaam: <> Server vereist ondertekening: <> |
Richtlijnen: Deze gebeurtenis geeft aan dat de SMBv1-client mogelijk geen ondersteuning biedt voor Het inschakelen van auditondersteuning voor SMB-ondertekening, maar vanwege protocolbeperkingen kan dit niet met zekerheid worden bepaald. Verdere evaluatie wordt aanbevolen om de ondertekeningsmogelijkheden van de client te controleren.
Vóór Windows Vista konden SMBv1-clients waarvoor ondertekening niet expliciet was ingeschakeld, het inschakelen van auditondersteuning voor SMB-ondertekening niet uitvoeren.
Dit gedrag is gewijzigd met de release van Windows Vista en is ook via updates teruggezet naar Windows XP en Windows Server 2003. Met deze wijzigingen kunnen SMB-clients ondersteuning bieden voor ondertekening, zelfs als dit niet expliciet is ingeschakeld, mits de server dit vereist.
Notities
-
Clients die ondertekening correct implementeren, maar dergelijke ondersteuning niet adverteren, resulteren in fout-positieven.
-
Clients die ondersteuning voor ondertekening adverteren, maar de ondersteuning niet correct implementeren, resulteren in fout-negatieven.
Auditondersteuning inschakelen voor SMB Server EPA
Controle voor SMB Server EPA is standaard uitgeschakeld. Dit kan worden ingeschakeld voor zowel SMBv1-server als SMB2/3-server via groepsbeleid- of registerinstelling.
Groepsbeleid
|
Beleidslocatie |
Computerconfiguratie\Beheersjablonen\Network\Lanman Server |
|
Beleidsnaam |
SPN-ondersteuning voor SMB-client controleren |
|
Beleidsstatussen |
|
Register
|
Registerlocatie |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Gegevens |
|
SMB Server EPA-controlegebeurtenissen
|
Gebeurtenislogboek |
Microsoft-Windows-SMBServer/Audit |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Microsoft-Windows-SMBServer |
|
Gebeurtenis-id |
3024 |
|
Gebeurtenistekst |
De SMB-server heeft waargenomen dat de client geen SPN heeft verzonden tijdens de verificatie, wat aangeeft dat de client geen ondersteuning biedt voor Extended Protection for Authentication (EPA) of dat ondersteuning voor EPA is uitgeschakeld. Clientnaam: <> SPN-querystatus: <> Uitgebreide beveiliging inschakelen voor verificatiebeleid: <> |
|
Gebeurtenislogboek |
Microsoft-Windows-SMBServer/Audit |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Microsoft-Windows-SMBServer |
|
Gebeurtenis-id |
3025 |
|
Gebeurtenistekst |
De SMB-server heeft waargenomen dat de client tijdens de verificatie een niet-herkende SPN heeft verzonden. Clientnaam: <> SPN: <> Uitgebreide beveiliging inschakelen voor verificatiebeleid: <> |
|
Gebeurtenislogboek |
Microsoft-Windows-SMBServer/Audit |
|
Gebeurtenistype |
Waarschuwing |
|
Bron van gebeurtenis |
Microsoft-Windows-SMBServer |
|
Gebeurtenis-id |
3026 |
|
Gebeurtenistekst |
De SMB-server heeft waargenomen dat de client tijdens de verificatie een lege SPN heeft verzonden, wat aangeeft dat de client een SPN kan verzenden, maar ervoor heeft gekozen om er geen op te geven. Clientnaam: <> Uitgebreide beveiliging inschakelen voor verificatiebeleid: <> |
