Исходная дата публикации: 9 сентября 2025г. ИДЕНТИФИКАТОР БАЗЫ ЗНАНИЙ: 5066913
Краткое содержание
Сервер SMB уже поддерживает два механизма защиты от атак ретранслятора:
-
Подписывание сервера SMB
-
Расширенная защита сервера SMB для проверки подлинности (EPA)
В некоторых клиентских средах применение любого из этих механизмов усиления защиты создает риски совместимости, так как некоторые устаревшие системы и сторонние реализации могут не поддерживать подписывание сервера SMB или EPA сервера SMB.
В рамках обновлений Windows, выпущенных с 9 сентября 2025 г. и позже (CVE-2025-55234), включена поддержка аудита совместимости клиентов SMB для подписывания сервера SMB, а также EPA сервера SMB. Это позволяет клиентам оценить свою среду и выявить любые потенциальные проблемы несовместимости устройств или программного обеспечения перед развертыванием мер усиления защиты, которые уже поддерживаются SMB Server.
Краткое описание ситуации
Сервер SMB может быть подвержен атакам ретранслятора в зависимости от конфигурации. Чтобы избежать этой уязвимости, корпорация Майкрософт выпустила следующие меры по устранению рисков:
EPA сервера SMB
-
Рекомендации по безопасности Майкрософт 973811 | Расширенная защита для проверки подлинности
-
Описание обновления, реализующего расширенную защиту для проверки подлинности в службе сервера
Подписывание сервера SMB
Клиенты должны либо настроить SMB Server, чтобы требовать подписывание SMB Server, либо включить SMB Server EPA для защиты своих систем от этого класса атак.
Сервер SMB с включенным шифрованием глобально, а также не разрешающий незашифрованный доступ, также защищен от атак ретранслятора. Дополнительные сведения см. в разделе Улучшения безопасности SMB.
Включение поддержки аудита для подписывания сервера SMB
По умолчанию аудит подписывания сервера SMB отключен. Это можно включить как для сервера SMBv1, так и для сервера SMB2/3 с помощью групповая политика или параметра реестра.
Групповая политика
|
Расположение политики |
Конфигурация компьютера\Административные шаблоны\Сеть\Сервер Lanman |
|
Название политики |
Клиент аудита не поддерживает подписывание |
|
Состояния политики |
|
Реестр
|
Расположение реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Значение) |
AuditClientSpnSupport |
|
Type (Тип) |
REG_DWORD |
|
Data (Данные) |
|
События аудита подписывания сервера SMB
|
Журнал событий |
Microsoft-Windows-SMBServer/Audit |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Microsoft-Windows-SMBServer |
|
Идентификатор события |
3021 |
|
Текст события |
Сервер SMB заметил, что клиент не поддерживает подписывание. Имя клиента: <> Имя пользователя: <> Для сервера требуется подпись: <> |
|
Журнал событий |
Microsoft-Windows-SMBServer/Audit |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Microsoft-Windows-SMBServer |
|
Идентификатор события |
3027 |
|
Текст события |
Сервер SMBv1 заметил, что для клиента SMBv1 не включено подписывание. Имя клиента: <> Для сервера требуется подпись: <> |
Руководство. Это событие указывает на то, что клиент SMBv1 может не поддерживать включение поддержки аудита для подписывания SMB, но из-за ограничений протокола это невозможно определить с определенностью. Для проверки возможностей подписывания клиента рекомендуется выполнить дальнейшую оценку.
До Windows Vista клиенты SMBv1, для которых не было явно включено подписывание, не могли выполнять включение поддержки аудита для подписывания SMB.
Это поведение было изменено с выпуском Windows Vista, а также было добавлено в Windows XP и Windows Server 2003 через обновления. С помощью этих изменений клиенты SMB могут поддерживать подписывание, даже если она не включена явным образом, при условии, что она требуется серверу.
Заметки
-
Клиенты, которые правильно реализуют подписывание, но не объявляют такую поддержку, приводят к ложноположительным результатам.
-
Клиенты, которые объявляют о поддержке подписывания, но неправильно реализуют поддержку, приводят к ложноотрицательному результату.
Включение поддержки аудита для EPA сервера SMB
По умолчанию аудит для SMB Server EPA отключен. Это можно включить как для сервера SMBv1, так и для сервера SMB2/3 с помощью групповая политика или параметра реестра.
Групповая политика
|
Расположение политики |
Конфигурация компьютера\Административные шаблоны\Сеть\Сервер Lanman |
|
Название политики |
Аудит поддержки имени субъекта-службы клиента SMB |
|
Состояния политики |
|
Реестр
|
Расположение реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Значение) |
AuditClientSpnSupport |
|
Type (Тип) |
REG_DWORD |
|
Data (Данные) |
|
События аудита сервера SMB EPA
|
Журнал событий |
Microsoft-Windows-SMBServer/Audit |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Microsoft-Windows-SMBServer |
|
Идентификатор события |
3024 |
|
Текст события |
Сервер SMB заметил, что клиент не отправил имя субъекта-службы во время проверки подлинности, указывая, что клиент не поддерживает расширенную защиту для проверки подлинности (EPA) или что поддержка EPA отключена. Имя клиента: <> Состояние запроса имени субъекта-службы: <> Включение расширенной защиты для политики проверки подлинности: <> |
|
Журнал событий |
Microsoft-Windows-SMBServer/Audit |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Microsoft-Windows-SMBServer |
|
Идентификатор события |
3025 |
|
Текст события |
Сервер SMB заметил, что клиент отправил нераспознанное имя субъекта-службы во время проверки подлинности. Имя клиента: <> Имя субъекта-службы: <> Включение расширенной защиты для политики проверки подлинности: <> |
|
Журнал событий |
Microsoft-Windows-SMBServer/Audit |
|
Тип мероприятия |
Предупреждение |
|
Источник события |
Microsoft-Windows-SMBServer |
|
Идентификатор события |
3026 |
|
Текст события |
Сервер SMB заметил, что клиент отправил пустое имя субъекта-службы во время проверки подлинности, что указывает, что клиент может отправлять имя субъекта-службы, но не предоставляет его. Имя клиента: <> Включение расширенной защиты для политики проверки подлинности: <> |
