Primenjuje se na
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Originalni datum objavljivanja: 9. septembar 2025. ID KB: 5066913

Rezime

SMB Server već podržava dva mehanizma za ojačavanje od relejnih napada: 

  • Potpisivanje SMB servera

  • Proširena zaštita SMB servera za potvrdu identiteta (EPA)

U nekim korisničkim okruženjima, nametanje bilo kojih od ovih ojačanih mehanizama predstavlja rizik kompatibilnosti jer neki zastareli sistemi i primene nezavisnih proizvođača možda ne podržavaju potpisivanje SMB servera ili SMB Server EPA. 

U sklopu ispravki za Windows objavljenih 9. septembra 2025. (CVE-2025-55234), podrška je omogućena za nadzor kompatibilnosti SMB klijenta za potpisivanje SMB servera, kao i za SMB Server EPA. To omogućava klijentima da procene okruženje i identifikuju potencijalne probleme sa nekompatibilnošću uređaja ili softvera pre primene otežanih mera koje SMB Server već podržava.

Pozadina

SMB Server je možda podložno prenošenju napada u zavisnosti od konfiguracije. Da bi sprečio ovu ranjivost, Microsoft je objavio sledeća umanjivanja: 

SMB Server EPA

Potpisivanje SMB servera

Klijenti moraju konfigurisati SMB Server tako da zahteva potpisivanje SMB servera ili da omoguće SMB Server EPA da očvrsnu sisteme u odnosu na ovu klasu napada. ​​​​​​​​​​​​​​

SMB server sa omogućenim šifrovanjem globalno, zajedno sa nešifrovanim pristupom, zaštićen je i od relaj napada. Više informacija potražite u članku Poboljšanja SMB bezbednosti.

Omogućavanje podrške za nadzor za potpisivanje SMB servera

Nadzor za potpisivanje SMB servera je podrazumevano onemogućen. To može da se omogući za SMBv1 server i SMB2/3 server putem Smernice grupe ili postavke registratora.

Smernice grupe

Lokacija smernica

Konfiguracija računara\Administrativni predlošci\Mreža\Lanman Server

Ime smernica

Klijent za nadzor ne podržava potpisivanje

Stanja smernica

  • Onemogućeno – onemogućavanje nadzora

  • Omogućeno – omogućavanje nadzora

  • Nije konfigurisano (podrazumevano) – pratite konfiguraciju registratora

Registratora

Lokacija registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Vrednost

AuditClientSpnSupport

Tip

REG_DWORD

Podaci

  • 0 (podrazumevano) – onemogućavanje nadzora

  • 1 – Omogućavanje nadzora

Događaji nadzora potpisivanja SMB servera

Evidencija događaja

Microsoft-Windows-SMBServer/Audit

Tip događaja

Upozorenje

Izvor događaja

Microsoft-Windows-SMBServer

ID događaja

3021

Tekst događaja

SMB server je uočio da klijent ne podržava potpisivanje. 

Ime klijenta: <>

Korisničko ime: <>

Server zahteva potpisivanje: <>

Evidencija događaja

Microsoft-Windows-SMBServer/Audit

Tip događaja

Upozorenje

Izvor događaja

Microsoft-Windows-SMBServer

ID događaja

3027

Tekst događaja

SMBv1 server je primetio da SMBv1 klijent nema omogućeno potpisivanje.

Ime klijenta: <>

Server zahteva potpisivanje: <>

Uputstva: Ovaj događaj ukazuje na to da SMBv1 klijent možda ne podržava omogućavanje podrške za nadzor za SMB potpisivanje, ali zbog ograničenja protokola, to se ne može utvrditi sa određeno vreme. Preporučuje se dalja procena kako bi se proverile mogućnosti potpisivanja klijenta. 

Pre operativnog sistema Windows Vista, SMBv1 klijenti koji nisu imali izričito omogućeno potpisivanje nisu mogli da vrše omogućavanje podrške za nadzor za SMB potpisivanje. 

Ovo ponašanje je promenjeno uz izdanje operativnog sistema Windows Vista i takođe je preneto u Windows XP i Windows Server 2003 putem ispravki. Uz ove promene, SMB klijenti mogu da podrže potpisivanje, čak i ako nije izričito omogućeno, ako to server zahteva. 

Beleške

  • Klijenti koji ispravno primenjuju potpisivanje, ali ne oglašavaju takvu podršku, dovešću do potvrđenih netačnih rezultata.

  • Klijenti koji oglašavaju podršku za potpisivanje, ali ne primenjuju ispravno, podrška će dovesti do netačnih negativnih vrednosti.

Omogućavanje podrške za nadzor za EPA za SMB Server

Nadzor za EPA SMB Server EPA je podrazumevano onemogućen. To može da se omogući za SMBv1 server i SMB2/3 server putem Smernice grupe ili postavke registratora.

Smernice grupe

Lokacija smernica

Konfiguracija računara\Administrativni predlošci\Mreža\Lanman Server

Ime smernica

Podrška za SMB klijent za nadzor SPN klijenta

Stanja smernica

  • Onemogućeno – onemogućavanje nadzora

  • Omogućeno – omogućavanje nadzora

  • Nije konfigurisano (podrazumevano) – pratite konfiguraciju registratora

Registratora

Lokacija registratora

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Vrednost

AuditClientSpnSupport

Tip

REG_DWORD

Podaci

  • 0 (podrazumevano) – onemogućavanje SPN nadzora

  • 1 – Omogućavanje SPN nadzora

Događaji nadzora za SMB Server EPA

Evidencija događaja

Microsoft-Windows-SMBServer/Audit

Tip događaja

Upozorenje

Izvor događaja

Microsoft-Windows-SMBServer

ID događaja

3024

Tekst događaja

SMB server je primetio da klijent nije slao SPN tokom potvrde identiteta, ukazujući na to da klijent ne podržava proširenu zaštitu za potvrdu identiteta (EPA) ili da je podrška za EPA onemogućena. 

Ime klijenta: <>

Status SPN upita: <>

Omogući proširenu zaštitu za smernice za potvrdu identiteta: <>

Evidencija događaja

Microsoft-Windows-SMBServer/Audit

Tip događaja

Upozorenje

Izvor događaja

Microsoft-Windows-SMBServer

ID događaja

3025

Tekst događaja

SMB server je uočio da je klijent poslao neprepoznatljiv SPN tokom potvrde identiteta. 

Ime klijenta: <>

SPN: <>

Omogući proširenu zaštitu za smernice za potvrdu identiteta: <>

Evidencija događaja

Microsoft-Windows-SMBServer/Audit

Tip događaja

Upozorenje

Izvor događaja

Microsoft-Windows-SMBServer

ID događaja

3026

Tekst događaja

SMB server je uočio da je klijent tokom potvrde identiteta poslao prazan SPN, što ukazuje na to da je klijent sposoban da pošalje SPN, ali je izabrao da ga ne obezbedi. 

Ime klijenta: <>

Omogući proširenu zaštitu za smernice za potvrdu identiteta: <>
Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost