วันที่เผยแพร่ต้นฉบับ: 9 กันยายน 2025KB ID: 5066913
บทสรุป
SMB Server สนับสนุนกลไกสองอย่างสําหรับการแข็งตัวจากการโจมตีรีเลย์:
-
การเซ็นชื่อเซิร์ฟเวอร์ SMB
-
SMB Server Extended Protection for Authentication (EPA)
ในสภาพแวดล้อมของลูกค้าบางประเภท การบังคับใช้กลไกการแข็งตัวเหล่านี้อาจทําให้เกิดความเสี่ยงด้านความเข้ากันได้เนื่องจากระบบดั้งเดิมบางระบบและการใช้งานของบริษัทภายนอกอาจไม่รองรับการลงชื่อใน SMB Server หรือ SMB Server EPA
ในฐานะส่วนหนึ่งของการอัปเดต Windows ที่เผยแพร่ในวันที่ 9 กันยายน 2025 และหลังจากนั้น (CVE-2025-55234) มีการเปิดใช้งานการสนับสนุนสําหรับการตรวจสอบความเข้ากันได้ของไคลเอ็นต์ SMB สําหรับการลงชื่อใน SMB Server และ SMB Server EPA ซึ่งช่วยให้ลูกค้าสามารถประเมินสภาพแวดล้อมของตนและระบุปัญหาความเข้ากันไม่ได้ของอุปกรณ์หรือซอฟต์แวร์ที่อาจเกิดขึ้นก่อนที่จะปรับใช้มาตรการชุบแข็งที่ได้รับการสนับสนุนโดย SMB Server อยู่แล้ว
พื้นหลัง
SMB Server อาจอ่อนไหวต่อการโจมตีรีเลย์โดยขึ้นอยู่กับการกําหนดค่า เพื่อป้องกันช่องโหว่นี้ Microsoft จึงเผยแพร่วิธีการแก้ไขต่อไปนี้:
SMB Server EPA
-
973811 คําแนะนําด้านความปลอดภัยของ Microsoft | การป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง
-
คําอธิบายของการอัปเดตที่ปรับใช้การป้องกันที่ขยายเวลาสําหรับการรับรองความถูกต้องในบริการเซิร์ฟเวอร์
การเซ็นชื่อเซิร์ฟเวอร์ SMB
ลูกค้าต้องกําหนดค่า SMB Server ให้ต้องการการเซ็นชื่อเซิร์ฟเวอร์ SMB หรือเปิดใช้งาน SMB Server EPA เพื่อทําให้ระบบของตนปลอดภัยจากการโจมตีในคลาสนี้
เซิร์ฟเวอร์ SMB ที่มีการเข้ารหัสลับที่เปิดใช้งานทั่วโลก พร้อมกับไม่อนุญาตให้มีการเข้าถึงแบบไม่เข้ารหัส ลับ ยังได้รับการป้องกันจากการโจมตีรีเลย์ด้วย ดูข้อมูลเพิ่มเติมได้ที่ การปรับปรุงความปลอดภัย SMB
การเปิดใช้งานการสนับสนุนการตรวจสอบสําหรับการเซ็นชื่อในเซิร์ฟเวอร์ SMB
ตามค่าเริ่มต้น การตรวจสอบการเซ็นชื่อเซิร์ฟเวอร์ SMB จะถูกปิดใช้งาน ซึ่งสามารถเปิดใช้งานได้ทั้งเซิร์ฟเวอร์ SMBv1 และเซิร์ฟเวอร์ SMB2/3 ผ่านนโยบายกลุ่มหรือการตั้งค่ารีจิสทรี
นโยบายกลุ่ม
|
ตําแหน่งที่ตั้งของนโยบาย |
Computer Configuration\Administrative Templates\Network\Lanman Server |
|
ชื่อนโยบาย |
ไคลเอ็นต์การตรวจสอบไม่สนับสนุนการเซ็นชื่อ |
|
สถานะนโยบาย |
|
รีจิสทรี
|
ตําแหน่งที่ตั้งของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
ค่า |
AuditClientSpnSupport |
|
ชนิด |
REG_DWORD |
|
ข้อมูล |
|
เหตุการณ์การตรวจสอบการเซ็นชื่อในเซิร์ฟเวอร์ SMB
|
บันทึกเหตุการณ์ |
Microsoft-Windows-SMBServer/Audit |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Microsoft-Windows-SMBServer |
|
ID เหตุการณ์ |
3021 |
|
ข้อความเหตุการณ์ |
เซิร์ฟเวอร์ SMB สังเกตเห็นว่าไคลเอ็นต์ไม่สนับสนุนการเซ็นชื่อ ชื่อลูกค้า: <> ชื่อผู้ใช้: <> เซิร์ฟเวอร์ต้องการการเซ็นชื่อ: <> |
|
บันทึกเหตุการณ์ |
Microsoft-Windows-SMBServer/Audit |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Microsoft-Windows-SMBServer |
|
ID เหตุการณ์ |
3027 |
|
ข้อความเหตุการณ์ |
เซิร์ฟเวอร์ SMBv1 สังเกตเห็นว่าไคลเอ็นต์ SMBv1 ไม่ได้เปิดใช้งานการเซ็นชื่อ ชื่อลูกค้า: <> เซิร์ฟเวอร์ต้องการการเซ็นชื่อ: <> |
คําแนะนํา: เหตุการณ์นี้ระบุว่าไคลเอ็นต์ SMBv1 อาจไม่สนับสนุนการเปิดใช้งานการสนับสนุนการตรวจสอบสําหรับการลงลายมือชื่อใน SMB แต่เนื่องจากข้อจํากัดของโพรโทคอล จึงไม่สามารถระบุได้อย่างแน่นอน ขอแนะนําให้ทําการประเมินเพิ่มเติมเพื่อตรวจสอบความสามารถในการเซ็นชื่อของลูกค้า
ก่อนที่ Windows Vista ไคลเอ็นต์ SMBv1 ที่ไม่ได้เปิดใช้งานการเซ็นชื่ออย่างชัดเจนไม่สามารถดําเนินการเปิดใช้งานการสนับสนุนการตรวจสอบสําหรับการเซ็นชื่อใน SMB ได้
ลักษณะการทํางานนี้เปลี่ยนแปลงไปจากการเผยแพร่ Windows Vista และได้รับการปรับกลับเป็น Windows XP และ Windows Server 2003 ผ่านการอัปเดตเช่นกัน ด้วยการเปลี่ยนแปลงเหล่านี้ ไคลเอ็นต์ SMB อาจสนับสนุนการเซ็นชื่อแม้ว่าจะไม่ได้เปิดใช้งานอย่างชัดเจน แต่เซิร์ฟเวอร์จําเป็นต้องใช้
บันทึกย่อ
-
ไคลเอ็นต์ที่ใช้การเซ็นชื่ออย่างถูกต้อง แต่ไม่โฆษณาการสนับสนุนดังกล่าวจะส่งผลให้เกิดผลลัพธ์ที่ผิด
-
ไคลเอ็นต์ที่โฆษณาการสนับสนุนสําหรับการเซ็นชื่อ แต่ไม่ได้รับการสนับสนุนอย่างถูกต้องจะส่งผลให้เกิดผลลบที่ผิด
การเปิดใช้งานการสนับสนุนการตรวจสอบสําหรับ SMB Server EPA
ตามค่าเริ่มต้น การตรวจสอบ SMB Server EPA จะถูกปิดใช้งาน ซึ่งสามารถเปิดใช้งานได้ทั้งเซิร์ฟเวอร์ SMBv1 และเซิร์ฟเวอร์ SMB2/3 ผ่านนโยบายกลุ่มหรือการตั้งค่ารีจิสทรี
นโยบายกลุ่ม
|
ตําแหน่งที่ตั้งของนโยบาย |
Computer Configuration\Administrative Templates\Network\Lanman Server |
|
ชื่อนโยบาย |
ตรวจสอบการสนับสนุน SPN ไคลเอ็นต์ SMB |
|
สถานะนโยบาย |
|
รีจิสทรี
|
ตําแหน่งที่ตั้งของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
ค่า |
AuditClientSpnSupport |
|
ชนิด |
REG_DWORD |
|
ข้อมูล |
|
เหตุการณ์การตรวจสอบ EPA ของเซิร์ฟเวอร์ SMB
|
บันทึกเหตุการณ์ |
Microsoft-Windows-SMBServer/Audit |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Microsoft-Windows-SMBServer |
|
ID เหตุการณ์ |
3024 |
|
ข้อความเหตุการณ์ |
เซิร์ฟเวอร์ SMB สังเกตเห็นว่าไคลเอ็นต์ไม่ได้ส่ง SPN ระหว่างการรับรองความถูกต้อง ที่ระบุว่าไคลเอ็นต์ไม่สนับสนุนการป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง (EPA) หรือการสนับสนุนสําหรับ EPA ถูกปิดใช้งาน ชื่อลูกค้า: <> สถานะคิวรี SPN: <> เปิดใช้งานนโยบายการป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง: <> |
|
บันทึกเหตุการณ์ |
Microsoft-Windows-SMBServer/Audit |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Microsoft-Windows-SMBServer |
|
ID เหตุการณ์ |
3025 |
|
ข้อความเหตุการณ์ |
เซิร์ฟเวอร์ SMB สังเกตเห็นว่าไคลเอ็นต์ส่ง SPN ที่ไม่รู้จักระหว่างการรับรองความถูกต้อง ชื่อลูกค้า: <> SPN: <> เปิดใช้งานนโยบายการป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง: <> |
|
บันทึกเหตุการณ์ |
Microsoft-Windows-SMBServer/Audit |
|
ชนิดเหตุการณ์ |
คำเตือน |
|
แหล่งของเหตุการณ์ |
Microsoft-Windows-SMBServer |
|
ID เหตุการณ์ |
3026 |
|
ข้อความเหตุการณ์ |
เซิร์ฟเวอร์ SMB สังเกตเห็นว่าไคลเอ็นต์ส่ง SPN ว่างระหว่างการรับรองความถูกต้อง ซึ่งระบุว่าไคลเอ็นต์สามารถส่ง SPN แต่เลือกที่จะไม่ใส่หนึ่ง ชื่อลูกค้า: <> เปิดใช้งานนโยบายการป้องกันเพิ่มเติมสําหรับการรับรองความถูกต้อง: <> |
