Ursprungligt publiceringsdatum: 9 september 2025KB-ID: 5066913
Sammanfattning
SMB-servern stöder redan två mekanismer för härdning mot reläattacker:
-
SMB-serversignering
-
SMB Server Extended Protection for Authentication (EPA)
I vissa kundmiljöer innebär tvingande någon av dessa härdningsmetoder kompatibilitetsrisker eftersom vissa äldre system och implementeringar från tredje part kanske inte stöder SMB Server-signering eller SMB Server EPA.
Som en del av Windows-uppdateringarna som släpptes den 9 september 2025 (CVE-2025-55234) aktiveras stöd för granskning av SMB-klientkompatibilitet för SMB Server-signering samt SMB Server EPA. Detta gör det möjligt för kunderna att bedöma sin miljö och identifiera potentiella problem med enhets- eller programvarukompatibilitet innan de distribuerar de härdningsåtgärder som redan stöds av SMB Server.
Bakgrund
SMB Server kan vara mottaglig för reläattacker beroende på konfigurationen. För att förhindra den här säkerhetsrisken släppte Microsoft följande lösningar:
SMB Server EPA
-
Microsoft Security Advisory 973811 | Utökat autentiseringsskydd
-
Beskrivning av uppdateringen som implementerar utökat autentiseringsskydd i servertjänsten
SMB-serversignering
Kunderna måste antingen konfigurera SMB Server för att kräva SMB-serversignering eller aktivera SMB Server EPA för att härda sina system mot denna attackklass.
SMB-server med kryptering aktiverat globalt tillsammans med att inte tillåta okrypterad åtkomst är också skyddad mot reläattacker. Mer information finns i Säkerhetsförbättringar för SMB.
Aktivera granskningsstöd för SMB-serversignering
Som standard inaktiveras granskning av SMB-serversignering. Detta kan aktiveras för både SMBv1-server och SMB2/3-server via grupprincip eller registerinställning.
Grupprincip
|
Principplats |
Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Server |
|
Principnamn |
Granskningsklienten stöder inte signering |
|
Policytillstånd |
|
Register
|
Registerplats |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Värde |
AuditClientSpnSupport |
|
Type (Typ) |
REG_DWORD |
|
Data |
|
Granskningshändelser för SMB-serversignering
|
Händelselogg |
Microsoft-Windows-SMBServer/Audit |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Microsoft-Windows-SMBServer |
|
Händelse-ID |
3021 |
|
Händelsetext |
SMB-servern observerade att klienten inte stöder signering. Klientnamn: <> Användarnamn: <> Servern kräver signering: <> |
|
Händelselogg |
Microsoft-Windows-SMBServer/Audit |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Microsoft-Windows-SMBServer |
|
Händelse-ID |
3027 |
|
Händelsetext |
SMBv1-servern observerade att SMBv1-klienten inte har signering aktiverat. Klientnamn: <> Servern kräver signering: <> |
Vägledning: Den här händelsen anger att SMBv1-klienten kanske inte stöder aktivering av granskningsstöd för SMB-signering, men på grund av protokollbegränsningar kan detta inte fastställas med säkerhet. Ytterligare utvärdering rekommenderas för att verifiera klientens signeringsfunktioner.
Före Windows Vista kunde INTE SMBv1-klienter som inte hade uttrycklig signering aktiverad utföra Aktivering av granskningsstöd för SMB-signering.
Det här beteendet ändrades i och med lanseringen av Windows Vista och har även backporterats till Windows XP och Windows Server 2003 via uppdateringar. Med dessa ändringar kan SMB-klienter stödja signering även om det inte uttryckligen är aktiverat, förutsatt att servern kräver det.
Anteckningar
-
Klienter som implementerar signering korrekt men inte annonserar sådan support kommer att resultera i falska positiva identifieringar.
-
Klienter som annonserar stöd för signering men inte implementerar support korrekt kommer att resultera i falska negativa.
Aktivera granskningsstöd för SMB Server EPA
Som standard är granskning för SMB Server EPA inaktiverad. Detta kan aktiveras för både SMBv1-server och SMB2/3-server via grupprincip eller registerinställning.
Grupprincip
|
Principplats |
Datorkonfiguration\Administrativa mallar\Nätverk\Lanman Server |
|
Principnamn |
Granska SPN-stöd för SMB-klient |
|
Policytillstånd |
|
Register
|
Registerplats |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Värde |
AuditClientSpnSupport |
|
Type (Typ) |
REG_DWORD |
|
Data |
|
SMB Server EPA-granskningshändelser
|
Händelselogg |
Microsoft-Windows-SMBServer/Audit |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Microsoft-Windows-SMBServer |
|
Händelse-ID |
3024 |
|
Händelsetext |
SMB-servern observerade att klienten inte skickade ett SPN under autentiseringen, vilket indikerar att klienten inte stöder Extended Protection for Authentication (EPA) eller att stöd för EPA är inaktiverat. Klientnamn: <> SPN-frågestatus: <> Aktivera principen utökat skydd för autentisering: <> |
|
Händelselogg |
Microsoft-Windows-SMBServer/Audit |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Microsoft-Windows-SMBServer |
|
Händelse-ID |
3025 |
|
Händelsetext |
SMB-servern observerade att klienten skickade ett okänt SPN under autentiseringen. Klientnamn: <> SPN: <> Aktivera principen utökat skydd för autentisering: <> |
|
Händelselogg |
Microsoft-Windows-SMBServer/Audit |
|
Händelsetyp |
Varning! |
|
Händelsekälla |
Microsoft-Windows-SMBServer |
|
Händelse-ID |
3026 |
|
Händelsetext |
SMB-servern observerade att klienten skickade ett tomt SPN under autentiseringen, vilket anger att klienten kan skicka ett SPN men valt att inte leverera ett. Klientnamn: <> Aktivera principen utökat skydd för autentisering: <> |
