Vzťahuje sa na
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Pôvodný dátum publikovania: 9. septembra 2025KB ID: 5066913

Súhrn

SMB Server už podporuje dva mechanizmy pre spevnenie proti relé útoky: 

  • Podpisovanie SMB Servera

  • SMB Server Extended Protection for Authentication (EPA)

V niektorých zákazníckych prostrediach presadzovanie niektorého z týchto mechanizmov stvrdnutia predstavuje riziko kompatibility, pretože niektoré staršie systémy a implementácie tretích strán nepodporujú podpisovanie SMB Servera alebo SMB Server EPA. 

V rámci aktualizácií Windowsu vydaných 9. septembra 2025 a po ich skončení (CVE-2025-55234) je povolená podpora auditovania kompatibility klienta SMB pre podpisovanie SMB Servera, ako aj SMB Server EPA. To umožňuje zákazníkom vyhodnotiť svoje prostredie a identifikovať všetky potenciálne problémy s nekompatibilnosťou zariadenia alebo softvéru pred nasadením opatrení na vytvrdenie, ktoré už podporuje SMB Server.

Pozadie

SMB Server môže byť náchylný na prenos útokov v závislosti na konfigurácii. Aby sa zabránilo tomuto nedostatočnému použitiu, spoločnosť Microsoft vydala nasledujúce obmedzenia rizík: 

SMB Server EPA

Podpisovanie SMB Servera

Zákazníci musia buď nakonfigurovať SMB Server požadovať podpisovanie SMB Server alebo povoliť SMB Server EPA stvrdnúť ich systémy proti tejto triede útoku. ​​​​​​​​​​​​​​

Server SMB s povoleným šifrovaním globálne spolu s nepovoleným nešifrovaným prístupom je tiež chránený pred útokmi na prenos údajov. Ďalšie informácie nájdete v téme Vylepšenia zabezpečenia SMB.

Povolenie podpory auditu pre podpisovanie SMB Servera

Predvolene je auditovanie podpisovania na SMB Serveri zakázané. Túto možnosť je možné povoliť pre server SMBv1 aj server SMB2/3 prostredníctvom skupinová politika alebo nastavenia databázy Registry.

Skupinová politika

Umiestnenie politiky

Konfigurácia počítača\Šablóny na správu\Sieť\Lanman Server

Názov politiky

Klient auditu nepodporuje podpisovanie

Stavy politiky

  • Zakázané – zakázanie auditovania

  • Povolené – povoliť auditovanie

  • Nenakonfigurované (predvolené) – postupujte podľa konfigurácie databázy Registry

databáza Registry

Umiestnenie databázy Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Hodnota

AuditClientSpnSupport

Typ

REG_DWORD

Údaje

  • 0 (predvolené) – vypnutie auditovania

  • 1 – Povoliť auditovanie

Udalosti auditu podpisu servera SMB

Denník udalostí

Microsoft-Windows-SMBServer/Audit

Typ udalosti

Upozornenie

Zdroj udalosti

Microsoft-Windows-SMBServer

Identifikačné číslo udalosti

3021

Text udalosti

Server SMB zistil, že klient nepodporuje podpisovanie. 

Názov klienta: <>

Meno používateľa: <>

Server vyžaduje podpisovanie: <>

Denník udalostí

Microsoft-Windows-SMBServer/Audit

Typ udalosti

Upozornenie

Zdroj udalosti

Microsoft-Windows-SMBServer

Identifikačné číslo udalosti

3027

Text udalosti

Server SMBv1 zistil, že klient SMBv1 nemá povolené podpisovanie.

Názov klienta: <>

Server vyžaduje podpisovanie: <>

Sprievodný materiál: Táto udalosť naznačuje, že klient SMBv1 nemusí podporovať povolenie podpory auditu pre podpisovanie SMB, ale z dôvodu obmedzení protokolu sa to nedá určiť s istotou. Na overenie možností podpisovania klienta sa odporúča ďalšie hodnotenie. 

Pred systémom Windows Vista klienti SMBv1, ktorí explicitne nepodpísali, nemohli vykonať povolenie podpory auditu pre podpisovanie SMB. 

Toto správanie sa zmenilo s vydaním systému Windows Vista a bol tiež spätne portovaný na Windows XP a Windows Server 2003 prostredníctvom aktualizácií. Pri týchto zmenách môžu klienti SMB podporovať podpisovanie aj v prípade, že nie je explicitne povolené, za predpokladu, že to server vyžaduje. 

Poznámky

  • Klienti, ktorí správne implementujú podpisovanie, ale neinzerujú takúto podporu, budú mať za následok nesprávne pozitívne výsledky.

  • Klienti, ktorí inzerujú podporu podpisovania, ale neimplementujú podporu správne, budú mať za následok nesprávne negatívne výsledky.

Povolenie podpory auditu pre SMB Server EPA

Auditovanie pre SMB Server EPA je predvolene zakázané. Túto možnosť je možné povoliť pre server SMBv1 aj server SMB2/3 prostredníctvom skupinová politika alebo nastavenia databázy Registry.

Skupinová politika

Umiestnenie politiky

Konfigurácia počítača\Šablóny na správu\Sieť\Lanman Server

Názov politiky

Auditovanie podpory spn klienta SMB

Stavy politiky

  • Zakázané – zakázanie auditovania

  • Povolené – povoliť auditovanie

  • Nenakonfigurované (predvolené) – postupujte podľa konfigurácie databázy Registry

databáza Registry

Umiestnenie databázy Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Hodnota

AuditClientSpnSupport

Typ

REG_DWORD

Údaje

  • 0 (predvolené) – vypnutie auditovania hlavného názvu služby

  • 1 – Povolenie auditovania hlavného názvu služby

Udalosti auditu SMB Server EPA

Denník udalostí

Microsoft-Windows-SMBServer/Audit

Typ udalosti

Upozornenie

Zdroj udalosti

Microsoft-Windows-SMBServer

Identifikačné číslo udalosti

3024

Text udalosti

Server SMB zistil, že klient neodoslal spN počas overovania, čo naznačuje, že klient nepodporuje rozšírenú ochranu pre overovanie (EPA) alebo že podpora EPA je zakázaná. 

Názov klienta: <>

Stav dotazu SPN: <>

Povoliť rozšírenú ochranu pre politiku overovania: <>

Denník udalostí

Microsoft-Windows-SMBServer/Audit

Typ udalosti

Upozornenie

Zdroj udalosti

Microsoft-Windows-SMBServer

Identifikačné číslo udalosti

3025

Text udalosti

Server SMB zistil, že klient odoslal nerozpoznaný hlavný názov služby počas overovania. 

Názov klienta: <>

SPN: <>

Povoliť rozšírenú ochranu pre politiku overovania: <>

Denník udalostí

Microsoft-Windows-SMBServer/Audit

Typ udalosti

Upozornenie

Zdroj udalosti

Microsoft-Windows-SMBServer

Identifikačné číslo udalosti

3026

Text udalosti

Server SMB zistil, že klient odoslal počas overovania prázdny hlavný názov služby, čo znamená, že klient je schopný odoslať hlavný názov služby, ale rozhodol sa ho nezadať. 

Názov klienta: <>

Povoliť rozšírenú ochranu pre politiku overovania: <>
Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania