Data de publicare inițială: ID KB 9 septembrie 2025: 5066913
Rezumat
Serverul SMB acceptă deja două mecanisme de întărire împotriva atacurilor de tip releu:
-
Semnare server SMB
-
SMB Server Extended Protection for Authentication (EPA)
În unele medii de client, impunerea unuia dintre aceste mecanisme de consolidare prezintă riscuri de compatibilitate, deoarece unele sisteme moștenite și implementări de la terți pot să nu accepte semnarea SMB Server sau SMB Server EPA.
Ca parte a actualizărilor Windows lansate la și după 9 septembrie 2025 (CVE-2025-55234), suportul este activat pentru auditarea compatibilității clientului SMB pentru semnarea SMB Server și pentru SMB Server EPA. Acest lucru le permite clienților să-și evalueze mediul și să identifice orice probleme potențiale de incompatibilitate a dispozitivului sau software-ului înainte de a implementa măsurile de consolidare care sunt deja acceptate de SMB Server.
Fundal
Serverul SMB poate fi susceptibil la atacuri de tip releu, în funcție de configurație. Pentru a preveni această vulnerabilitate, Microsoft a lansat următoarele atenuări:
SMB Server EPA
-
Sfatul Microsoft de securitate 973811 | Protecție extinsă pentru autentificare
-
Descrierea actualizării care implementează Protecția extinsă la autentificare în serviciul Server
Semnare server SMB
Clienții trebuie fie să configureze SMB Server pentru a solicita semnarea SMB Server, fie să activeze SMB Server EPA pentru a-și intari sistemele împotriva acestei clase de atac.
Serverul SMB cu criptare activată la nivel global, împreună cu nepermiterea accesului necriptat, este, de asemenea, protejat împotriva atacurilor de tip releu. Pentru mai multe informații, consultați Îmbunătățirile de securitate SMB.
Activarea suportului de audit pentru semnarea SMB Server
În mod implicit, auditarea pentru semnarea SMB Server este dezactivată. Acest lucru poate fi activat atât pentru serverul SMBv1, cât și pentru serverul SMB2/3 prin Politică de grup sau setări de registry.
Politica de grup
|
Locație politică |
Configurație computer\Șabloane administrative\Rețea\Lanman Server |
|
Nume politică |
Clientul de auditare nu acceptă semnarea |
|
Stări de politică |
|
Registru
|
Locație registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Valoare |
AuditClientSpnSupport |
|
Tip |
REG_DWORD |
|
Date |
|
Evenimente de auditare semnare SMB Server
|
Jurnal de evenimente |
Microsoft-Windows-SMBServer/Audit |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Microsoft-Windows-SMBServer |
|
ID eveniment |
3021 |
|
Text eveniment |
Serverul SMB a observat că clientul nu acceptă semnarea. Nume client: <> Nume utilizator: <> Serverul necesită semnare: <> |
|
Jurnal de evenimente |
Microsoft-Windows-SMBServer/Audit |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Microsoft-Windows-SMBServer |
|
ID eveniment |
3027 |
|
Text eveniment |
Serverul SMBv1 a observat că clientul SMBv1 nu are activată semnarea. Nume client: <> Serverul necesită semnare: <> |
Instrucțiuni: Acest eveniment indică faptul că clientul SMBv1 poate să nu accepte activarea suportului de audit pentru semnarea SMB, dar, din cauza limitărilor protocolului, acest lucru nu poate fi determinat cu certitudine. Se recomandă o evaluare suplimentară pentru a verifica capacitățile de semnare ale clientului.
Înainte de Windows Vista, clienții SMBv1 care nu aveau semnarea activată în mod explicit nu puteau efectua activarea suportului de audit pentru semnarea SMB.
Acest comportament a fost modificat odată cu lansarea Windows Vista și a fost, de asemenea, transmis către Windows XP și Windows Server 2003 prin intermediul actualizărilor. Cu aceste modificări, clienții SMB pot accepta semnarea chiar dacă nu este activat în mod explicit, cu condiția ca serverul să o necesite.
Note
-
Clienții care implementează corect semnarea, dar nu fac publicitate, vor avea ca rezultat rezultate fals pozitive.
-
Clienții care anunță asistență pentru semnare, dar nu implementează corect asistența vor avea ca rezultat rezultate fals negative.
Activarea suportului de audit pentru SMB Server EPA
În mod implicit, auditarea pentru SMB Server EPA este dezactivată. Acest lucru poate fi activat atât pentru serverul SMBv1, cât și pentru serverul SMB2/3 prin Politică de grup sau setări de registry.
Politica de grup
|
Locație politică |
Configurație computer\Șabloane administrative\Rețea\Lanman Server |
|
Nume politică |
Asistență SPN client audit SMB |
|
Stări de politică |
|
Registru
|
Locație registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Valoare |
AuditClientSpnSupport |
|
Tip |
REG_DWORD |
|
Date |
|
Evenimente de audit EPA SMB Server
|
Jurnal de evenimente |
Microsoft-Windows-SMBServer/Audit |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Microsoft-Windows-SMBServer |
|
ID eveniment |
3024 |
|
Text eveniment |
Serverul SMB a observat că clientul nu a trimis un SPN în timpul autentificării, indicând că clientul nu acceptă Protecția extinsă la autentificare (EPA) sau că suportul pentru EPA este dezactivat. Nume client: <> Stare interogare SPN: <> Activați protecția extinsă pentru politica de autentificare: <> |
|
Jurnal de evenimente |
Microsoft-Windows-SMBServer/Audit |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Microsoft-Windows-SMBServer |
|
ID eveniment |
3025 |
|
Text eveniment |
Serverul SMB a observat că clientul a trimis un SPN nerecunoscut în timpul autentificării. Nume client: <> SPN: <> Activați protecția extinsă pentru politica de autentificare: <> |
|
Jurnal de evenimente |
Microsoft-Windows-SMBServer/Audit |
|
Tip eveniment |
Avertisment |
|
Sursa de eveniment |
Microsoft-Windows-SMBServer |
|
ID eveniment |
3026 |
|
Text eveniment |
Serverul SMB a observat că clientul a trimis un SPN gol în timpul autentificării, ceea ce indică faptul că clientul este capabil să trimită un SPN, dar a ales să nu furnizeze unul. Nume client: <> Activați protecția extinsă pentru politica de autentificare: <> |
