Oryginalna data publikacji: Identyfikator KB z 9 września 2025 r.: 5066913
Podsumowanie
Serwer SMB obsługuje już dwa mechanizmy zabezpieczania przed atakami przekazywania:
-
Podpisywanie serwerów SMB
-
Rozszerzona ochrona serwera SMB na potrzeby uwierzytelniania (EPA)
W niektórych środowiskach klientów wymuszanie obu tych mechanizmów hartowania stwarza ryzyko zgodności, ponieważ niektóre starsze systemy i implementacje innych firm mogą nie obsługiwać podpisywania serwera SMB lub epa serwera SMB.
W ramach aktualizacji systemu Windows wydanych 9 września 2025 r. (CVE-2025-55234) włączona jest obsługa inspekcji zgodności klientów SMB dla podpisywania serwerów SMB, a także protokołu SMB Server EPA. Dzięki temu klienci mogą ocenić swoje środowisko i zidentyfikować wszelkie potencjalne problemy ze zgodnością urządzenia lub oprogramowania przed wdrożeniem środków zaostrzania, które są już obsługiwane przez serwer SMB.
Tło
Serwer SMB może być podatny na ataki przekazywania w zależności od konfiguracji. Aby zapobiec tej luce w zabezpieczeniach, firma Microsoft wydała następujące środki łagodzące:
SMB Server EPA
-
Microsoft Security Advisory 973811 | Rozszerzona ochrona uwierzytelniania
-
Opis aktualizacji, która implementuje rozszerzoną ochronę uwierzytelniania w usłudze serwera
Podpisywanie serwerów SMB
Klienci muszą albo skonfigurować serwer SMB, aby wymagać podpisywania serwera SMB, albo włączyć protokół EPA serwera SMB, aby wzmocnić swoje systemy przed atakiem tej klasy.
Serwer SMB z włączonym szyfrowaniem globalnym oraz niezaszyfrowanym dostępem jest również chroniony przed atakami przekazywania. Aby uzyskać więcej informacji, zobacz Ulepszenia zabezpieczeń SMB.
Włączanie obsługi inspekcji podpisywania przez serwer SMB
Domyślnie inspekcja podpisywania serwera SMB jest wyłączona. Można to włączyć zarówno dla serwera SMBv1, jak i serwera SMB2/3 za pośrednictwem zasady grupy lub ustawienia rejestru.
Zasady grupy
|
Lokalizacja zasad |
Konfiguracja komputera\Szablony administracyjne\Sieć\Serwer Lanman |
|
Nazwa zasady |
Klient inspekcji nie obsługuje podpisywania |
|
Stany polityczne |
|
Rejestr
|
Lokalizacja rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Wartość) |
AuditClientSpnSupport |
|
Type (Typ) |
REG_DWORD |
|
Dane |
|
Podpisywanie zdarzeń inspekcji przez serwer SMB
|
Dziennik zdarzeń |
Microsoft-Windows-SMBServer/Audit |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Microsoft-Windows-SMBServer |
|
Identyfikator zdarzenia |
3021 |
|
Tekst zdarzenia |
Serwer SMB zauważył, że klient nie obsługuje podpisywania. Nazwa klienta: <> Nazwa użytkownika: <> Serwer wymaga podpisania: <> |
|
Dziennik zdarzeń |
Microsoft-Windows-SMBServer/Audit |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Microsoft-Windows-SMBServer |
|
Identyfikator zdarzenia |
3027 |
|
Tekst zdarzenia |
Serwer SMBv1 zauważył, że klient SMBv1 nie ma włączonego podpisywania. Nazwa klienta: <> Serwer wymaga podpisania: <> |
Wskazówki: To zdarzenie wskazuje, że klient SMBv1 może nie obsługiwać włączania obsługi inspekcji podpisywania SMB, ale z powodu ograniczeń protokołu nie można tego ustalić z całą pewnością. Zaleca się dalszą ocenę w celu zweryfikowania możliwości podpisywania klienta.
Przed systemem Windows Vista klienci SMBv1, którzy nie mieli jawnie włączonego podpisywania, nie mogli włączyć obsługi inspekcji dla podpisywania SMB.
To zachowanie zostało zmienione wraz z wydaniem systemu Windows Vista i było także backportowane do systemu Windows XP i Windows Server 2003 za pomocą aktualizacji. W przypadku tych zmian klienci SMB mogą obsługiwać podpisywanie, nawet jeśli nie jest jawnie włączone, pod warunkiem, że serwer tego wymaga.
Notatki
-
Klienci, którzy poprawnie zaimplementują podpisywanie, ale nie reklamują takiej pomocy technicznej, spowodują fałszywe wyniki dodatnie.
-
Klienci, którzy reklamują obsługę podpisywania, ale nie zaimplementują poprawnie obsługi spowoduje fałszywych negatywów.
Włączanie obsługi inspekcji dla protokołu EPA serwera SMB
Domyślnie inspekcja dla protokołu EPA serwera SMB jest wyłączona. Można to włączyć zarówno dla serwera SMBv1, jak i serwera SMB2/3 za pośrednictwem zasady grupy lub ustawienia rejestru.
Zasady grupy
|
Lokalizacja zasad |
Konfiguracja komputera\Szablony administracyjne\Sieć\Serwer Lanman |
|
Nazwa zasady |
Inspekcja obsługi sieci SPN klienta SMB |
|
Stany polityczne |
|
Rejestr
|
Lokalizacja rejestru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Wartość) |
AuditClientSpnSupport |
|
Type (Typ) |
REG_DWORD |
|
Dane |
|
Zdarzenia inspekcji EPA serwera SMB Server
|
Dziennik zdarzeń |
Microsoft-Windows-SMBServer/Audit |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Microsoft-Windows-SMBServer |
|
Identyfikator zdarzenia |
3024 |
|
Tekst zdarzenia |
Serwer SMB zauważył, że klient nie wysyłał spn podczas uwierzytelniania, co oznacza, że klient nie obsługuje rozszerzonej ochrony uwierzytelniania (EPA) lub że obsługa epa jest wyłączona. Nazwa klienta: <> Stan zapytania dodatku SPN: <> Włącz rozszerzoną ochronę zasad uwierzytelniania: <> |
|
Dziennik zdarzeń |
Microsoft-Windows-SMBServer/Audit |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Microsoft-Windows-SMBServer |
|
Identyfikator zdarzenia |
3025 |
|
Tekst zdarzenia |
Serwer SMB zaobserwował, że klient wysyłał nierozpoznaną spn podczas uwierzytelniania. Nazwa klienta: <> SPN: <> Włącz rozszerzoną ochronę zasad uwierzytelniania: <> |
|
Dziennik zdarzeń |
Microsoft-Windows-SMBServer/Audit |
|
Typ zdarzenia |
Ostrzeżenie |
|
Źródło zdarzenia |
Microsoft-Windows-SMBServer |
|
Identyfikator zdarzenia |
3026 |
|
Tekst zdarzenia |
Serwer SMB zauważył, że klient wysłał pustą nazwę SPN podczas uwierzytelniania, co wskazuje, że klient może wysłać spn, ale nie zdecydował się na jego dostarczenie. Nazwa klienta: <> Włącz rozszerzoną ochronę zasad uwierzytelniania: <> |
