Datum izvirne objave: 9. september 2025KB ID: 5066913
Povzetek
Strežnik SMB že podpira dva mehanizma za utrjevanje pred napadi releja:
-
Podpisovanje strežnika SMB
-
Razširjena zaščita strežnika SMB Za preverjanje pristnosti (EPA)
V nekaterih okoljih strank uveljavljanje enega od teh mehanizmov za utrjevanje predstavlja tveganja glede združljivosti, saj nekateri starejši sistemi in izvedbe drugih ponudnikov morda ne podpirajo podpisovanja strežnika SMB Server ali pogodbe OGP strežnika SMB Server.
Kot del posodobitev sistema Windows, izdanih 9. septembra 2025 in po tem (CVE-2025-55234), je podpora omogočena za nadzor združljivosti odjemalca SMB za podpisovanje strežnika SMB Server in SMB Server EPA. Tako lahko stranke ocenijo svoje okolje in prepoznajo morebitne težave z nezdružljivostjo naprave ali programske opreme, preden uvedejo ukrepe za utrjevanje, ki jih strežnik SMB Server že podpira.
Ozadje
Strežnik SMB je morda dovzeten za napade s posredovanjem, odvisno od konfiguracije. Da bi preprečili to ranljivost, je Microsoft izdal te ublažitve posledic:
EPA za strežnik SMB
-
Microsoft Security Advisory 973811 | Razširjena zaščita za preverjanje pristnosti
-
Opis posodobitve, ki uvaja razširjeno zaščito za preverjanje pristnosti v strežniški storitvi
Podpisovanje strežnika SMB
Stranke morajo konfigurirati strežnik SMB tako, da zahteva podpisovanje strežnika SMB Server, ali omogočiti SMB Server EPA, da otežijo svoje sisteme pred tem razredom napada.
Strežnik SMB z omogočenim šifriranjem po vsem svetu, poleg tega pa ne dovoli nešifrskega dostopa, je prav tako zaščiten pred napadi s posredovanjem. Če želite več informacij, glejte Izboljšave varnosti SMB.
Omogočanje podpore za nadzor za podpisovanje strežnika SMB
Nadzor za podpisovanje strežnika SMB je privzeto onemogočen. To je mogoče omogočiti tako za strežnik SMBv1 kot tudi za strežnik SMB2/3 pravilnik skupine ali nastavitvijo registra.
Pravilnik skupine
|
Mesto pravilnika |
Konfiguracija računalnika\Skrbniške predloge\Omrežje\Strežnik Lanman |
|
Ime pravilnika |
Odjemalec nadzora ne podpira podpisovanja |
|
Stanja pravilnika |
|
Registracija
|
Mesto registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Vrednost) |
AuditClientSpnSupport |
|
Vrsta |
REG_DWORD |
|
Podatki |
|
Dogodki nadzora podpisovanja strežnika SMB
|
Dnevnik dogodkov |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Microsoft-Windows-SMBServer |
|
ID dogodka |
3021 |
|
Besedilo dogodka |
Strežnik SMB je opazil, da odjemalec ne podpira podpisovanja. Ime odjemalca: <> Uporabniško ime: <> Strežnik zahteva podpisovanje: <> |
|
Dnevnik dogodkov |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Microsoft-Windows-SMBServer |
|
ID dogodka |
3027 |
|
Besedilo dogodka |
Strežnik SMBv1 je opazil, da odjemalec SMBv1 nima omogočenega podpisovanja. Ime odjemalca: <> Strežnik zahteva podpisovanje: <> |
Navodila: Ta dogodek pomeni, da odjemalec SMBv1 morda ne podpira omogočanja podpore nadzora za podpisovanje SMB, vendar zaradi omejitev protokola tega ni mogoče gotovo določiti. Priporočamo dodatno vrednotenje, da preverite zmogljivosti podpisovanja odjemalca.
Pred sistemom Windows Vista odjemalci SMBv1, ki niso imeli izrecno omogočenega podpisovanja, niso mogli izvesti omogočanja podpore nadzora za podpisovanje sporočilnega prostora.
To vedenje je bilo spremenjeno z izdajo sistema Windows Vista in je bilo tudi podprto v sistemih Windows XP in Windows Server 2003 prek posodobitev. S temi spremembami lahko odjemalci SMB podpirajo podpisovanje, tudi če ni izrecno omogočen, če to zahteva strežnik.
Opombe
-
Odjemalci, ki pravilno izvajajo podpisovanje, vendar ne oglašujejo takšne podpore, izvedejo napačne pozitivne prepoznav.
-
Odjemalci, ki oglašujejo podporo za podpisovanje, vendar ne izvajajo pravilno podpore, izvedejo lažno negativno vrednost.
Omogočanje podpore za nadzor za SMB Server EPA
Nadzor za EPA strežnika SMB je privzeto onemogočen. To je mogoče omogočiti tako za strežnik SMBv1 kot tudi za strežnik SMB2/3 pravilnik skupine ali nastavitvijo registra.
Pravilnik skupine
|
Mesto pravilnika |
Konfiguracija računalnika\Skrbniške predloge\Omrežje\Strežnik Lanman |
|
Ime pravilnika |
Podpora za SPN odjemalca za SMB nadzora |
|
Stanja pravilnika |
|
Registracija
|
Mesto registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Vrednost) |
AuditClientSpnSupport |
|
Vrsta |
REG_DWORD |
|
Podatki |
|
Dogodki nadzora SMB Server EPA
|
Dnevnik dogodkov |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Microsoft-Windows-SMBServer |
|
ID dogodka |
3024 |
|
Besedilo dogodka |
Strežnik SMB je opazil, da odjemalec med preverjanjem pristnosti ni poslal SPN, kar pomeni, da odjemalec ne podpira razširjene zaščite za preverjanje pristnosti (EPA) ali da je podpora za EPA onemogočena. Ime odjemalca: <> Stanje poizvedbe SPN: <> Omogočanje razširjene zaščite pravilnika za preverjanje pristnosti: <> |
|
Dnevnik dogodkov |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Microsoft-Windows-SMBServer |
|
ID dogodka |
3025 |
|
Besedilo dogodka |
Strežnik SMB je med preverjanjem pristnosti opazil, da je odjemalec poslal neprepoznano SPN. Ime odjemalca: <> SPN: <> Omogočanje razširjene zaščite pravilnika za preverjanje pristnosti: <> |
|
Dnevnik dogodkov |
Microsoft-Windows-SMBServer/Audit |
|
Vrsta dogodka |
Opozorilo |
|
Vir dogodka |
Microsoft-Windows-SMBServer |
|
ID dogodka |
3026 |
|
Besedilo dogodka |
Strežnik SMB je opazil, da je odjemalec med preverjanjem pristnosti poslal prazen SPN, kar označuje, da odjemalec lahko pošlje SPN, vendar je izbral, da je ne bo poslal. Ime odjemalca: <> Omogočanje razširjene zaščite pravilnika za preverjanje pristnosti: <> |
