Data de publicação original: ID da BDC de 9 de setembro de 2025: 5066913
Resumo
O Servidor SMB já suporta dois mecanismos de proteção contra ataques de reencaminhamento:
-
Assinatura do Servidor SMB
-
Proteção Alargada do Servidor SMB para Autenticação (EPA)
Em alguns ambientes de cliente, a imposição de um destes mecanismos de proteção representa riscos de compatibilidade, uma vez que alguns sistemas legados e implementações de terceiros podem não suportar a assinatura do Servidor SMB ou o SMB Server EPA.
Como parte das atualizações do Windows lançadas em e depois de 9 de setembro de 2025 (CVE-2025-55234), o suporte está ativado para auditoria da compatibilidade do cliente SMB para assinatura do Servidor SMB, bem como OPA do Servidor SMB. Isto permite que os clientes avaliem o seu ambiente e identifiquem potenciais problemas de incompatibilidade de dispositivos ou software antes de implementarem as medidas de proteção que já são suportadas pelo Servidor SMB.
Contexto
O Servidor SMB pode ser suscetível a ataques de reencaminhamento, dependendo da configuração. Para evitar esta vulnerabilidade, a Microsoft lançou as seguintes mitigações:
SERVIDOR SMB EPA
-
973811 de Aconselhamento de Segurança da Microsoft | Proteção Alargada para Autenticação
-
Descrição da atualização que implementa a Proteção Expandida para Autenticação no serviço Servidor
Assinatura do Servidor SMB
Os clientes têm de configurar o Servidor SMB para exigir a assinatura do Servidor SMB ou ativar a EPA do Servidor SMB para proteger os seus sistemas contra esta classe de ataque.
O servidor SMB com encriptação ativada globalmente, além de não permitir o acesso não encriptado, também está protegido contra ataques de reencaminhamento. Para obter mais informações, veja Melhoramentos de Segurança do SMB.
Ativar o Suporte de auditoria para assinatura do Servidor SMB
Por predefinição, a auditoria da assinatura do Servidor SMB está desativada. Isto pode ser ativado para o servidor SMBv1 e para o servidor SMB2/3 através da definição de registo ou Política de Grupo.
Política de Grupo
|
Localização da política |
Configuração do Computador\Modelos Administrativos\Rede\Servidor Lanman |
|
Nome da política |
O cliente de auditoria não suporta a assinatura |
|
Estados da política |
|
Registro
|
Local do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Valor |
AuditClientSpnSupport |
|
Tipo |
REG_DWORD |
|
Dados |
|
Eventos de auditoria de assinatura do Servidor SMB
|
Log de Eventos |
Microsoft-Windows-SMBServer/Audit |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Microsoft-Windows-SMBServer |
|
ID de Evento |
3021 |
|
Texto do Evento |
O servidor SMB observou que o cliente não suporta a assinatura. Nome do cliente: <> Nome de utilizador: <> O servidor requer assinatura: <> |
|
Log de Eventos |
Microsoft-Windows-SMBServer/Audit |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Microsoft-Windows-SMBServer |
|
ID de Evento |
3027 |
|
Texto do Evento |
O servidor SMBv1 observou que o cliente SMBv1 não tem a assinatura ativada. Nome do cliente: <> O servidor requer assinatura: <> |
Orientação: este evento indica que o cliente SMBv1 pode não suportar a Ativação do Suporte de Auditoria para assinatura SMB, mas, devido às limitações do protocolo, não pode ser determinado com certeza. Recomenda-se uma avaliação adicional para verificar as capacidades de assinatura do cliente.
Antes do Windows Vista, os clientes SMBv1 que não tinham a assinatura explicitamente ativada não podiam efetuar a Ativação do Suporte de Auditoria para assinatura SMB.
Este comportamento foi alterado com o lançamento do Windows Vista e também foi suportado no Windows XP e Windows Server 2003 através de atualizações. Com estas alterações, os clientes SMB podem suportar a assinatura mesmo que não esteja explicitamente ativada, desde que o servidor o necessite.
Anotações
-
Os clientes que implementam corretamente a assinatura, mas não publicitam esse suporte, resultarão em falsos positivos.
-
Os clientes que publicitam suporte para assinatura, mas não implementam corretamente o suporte, resultarão em falsos negativos.
Ativar o Suporte de auditoria para o Servidor SMB EPA
Por predefinição, a auditoria da EPA do Servidor SMB está desativada. Isto pode ser ativado para o servidor SMBv1 e para o servidor SMB2/3 através da definição de registo ou Política de Grupo.
Política de Grupo
|
Localização da política |
Configuração do Computador\Modelos Administrativos\Rede\Servidor Lanman |
|
Nome da política |
Auditar o suporte do SPN do cliente SMB |
|
Estados da política |
|
Registro
|
Local do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Valor |
AuditClientSpnSupport |
|
Tipo |
REG_DWORD |
|
Dados |
|
Eventos de Auditoria da EPA do Servidor SMB
|
Log de Eventos |
Microsoft-Windows-SMBServer/Audit |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Microsoft-Windows-SMBServer |
|
ID de Evento |
3024 |
|
Texto do Evento |
O servidor SMB observou que o cliente não enviou um SPN durante a autenticação, indicando que o cliente não suporta a Proteção Expandida para Autenticação (EPA) ou que o suporte para EPA está desativado. Nome do cliente: <> Estado da Consulta SPN: <> Ativar a Proteção Alargada para a Política de Autenticação: <> |
|
Log de Eventos |
Microsoft-Windows-SMBServer/Audit |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Microsoft-Windows-SMBServer |
|
ID de Evento |
3025 |
|
Texto do Evento |
O servidor SMB observou que o cliente enviou um SPN não reconhecido durante a autenticação. Nome do cliente: <> SPN: <> Ativar a Proteção Alargada para a Política de Autenticação: <> |
|
Log de Eventos |
Microsoft-Windows-SMBServer/Audit |
|
Tipo de Evento |
Aviso |
|
Origem do evento |
Microsoft-Windows-SMBServer |
|
ID de Evento |
3026 |
|
Texto do Evento |
O servidor SMB observou que o cliente enviou um SPN vazio durante a autenticação, o que indica que o cliente é capaz de enviar um SPN, mas optou por não fornecer um. Nome do cliente: <> Ativar a Proteção Alargada para a Política de Autenticação: <> |
