Sunucu İleti Bloğu imzalamaya genel bakış

Bu makalede Sunucu İleti Bloğu (SMB) 2.x ve 3.x imzalaması ve SMB imzalamanın gerekli olup olmadığının nasıl belirleneceği açıklanır.

Giriş

SMB imzalama (güvenlik imzaları olarak da bilinir), SMB protokolündeki bir güvenlik mekanizmasıdır. SMB imzalama, her SMB iletisinin oturum anahtarı kullanılarak oluşturulan bir imza içerdiği anlamına gelir. İstemci, tüm iletinin karması SMB üst bilgisinin imza alanına yerleştirir.

SMB imzalama ilk olarak Microsoft Windows 2000, Microsoft Windows NT 4.0 ve Microsoft Windows 98'de göründü. İmzalama algoritmaları zaman içinde gelişti. SMB 2.02 imzalama, SMB1'de kullanılan 1990'ların sonundaki eski MD5 yönteminin yerine karma tabanlı ileti kimlik doğrulama kodu (HMAC) SHA-256'nın eklenmesiyle geliştirilmiştir. SMB 3.0, AES-CMAC algoritmaları ekledi. Windows Server 2022 ve Windows 11'da AES-128-GMAC imzalama hızlandırmasını ekledik. En iyi performans ve koruma birleşimini istiyorsanız en son Windows sürümlerine yükseltmeyi göz önünde bulundurun.

SMB imzalama bağlantıyı nasıl korur?

İletim sırasında birisi ileti değiştirirse karma eşleşmez ve SMB, birinin verileri kurcaladığını anlar. İmza, gönderenin ve alıcının kimliklerini de onaylar. Bu, geçiş saldırılarını önler. İdeal olarak, oturum anahtarınızın güçlü başlaması için NTLMv2 yerine Kerberos kullanıyorsunuz. PAYLAŞıMlara IP adreslerini kullanarak bağlanma ve CNAME kayıtlarını kullanma yoksa Kerberos yerine NTLM kullanırsınız. Bunun yerine Kerberos kullanın. Daha fazla bilgi için bkz. DNS CNAME Kayıtları yerine Bilgisayar Adı Diğer Adlarını Kullanma .

SMB imzalama için ilke konumları

SMB imzalama ilkeleri, Bilgisayar Yapılandırması>Windows AyarlarıGüvenlik Ayarları>>Yerel İlkeler>Güvenlik Seçenekleri'nde bulunur.

• Microsoft ağ istemcisi: İletişimleri dijital olarak imzalama (her zaman)
  Kayıt defteri anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
  Kayıt defteri değeri: RequireSecuritySignature
  Veri Türü: REG_DWORD
  Veri: 0 (devre dışı), 1 (etkinleştir)
• Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse)
  Kayıt defteri anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
  Kayıt defteri değeri: EnableSecuritySignature
  Veri Türü: REG_DWORD
  Veri: 0 (devre dışı), 1 (etkinleştir)
• Microsoft ağ sunucusu: İletişimleri dijital olarak imzalama (her zaman)
  Kayıt defteri anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
  Kayıt defteri değeri: RequireSecuritySignature
  Veri Türü: REG_DWORD
  Veri: 0 (devre dışı), 1 (etkinleştir)
• Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse)
  Kayıt defteri anahtarı: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
  Kayıt defteri değeri: EnableSecuritySignature
  Veri Türü: REG_DWORD
  Veri: 0 (devre dışı), 1 (etkinleştir)

Not Bu ilkelerde "always", SMB imzalamanın gerekli olduğunu gösterir ve "sunucu kabul ederse" veya "istemci kabul ederse", SMB imzalamanın etkinleştirildiğini gösterir.

"RequireSecuritySignature" ve "EnableSecuritySignature" özelliklerini anlama

SMB2+ istemcisi ve SMB2+ sunucusu için EnableSecuritySignature kayıt defteri ayarı yoksayılır. Bu nedenle, SMB1 kullanmadığınız sürece bu ayar hiçbir şey yapmaz. SMB 2.02 ve üzeri imzalama yalnızca gerekli olup olmadığıyla denetlenmektedir. Bu ayar, sunucu veya istemci SMB imzalaması gerektirdiğinde kullanılır. Yalnızca her ikisinde de imzalama 0 olarak ayarlanmışsa imzalama gerçekleşmez.

Başvuru

SMB İmzalama'nın Güvenle Yapılandırılması

SMB İstemci Savunması Aracılığıyla Kullanıcıları Kesme Saldırılarına Karşı Savunma

Windows 10 SMB 2 ve SMB 3 güvenliği: imzalama ve şifreleme anahtarlarının anatomisi

SMBv1, Windows 10 sürüm 1709, Windows Server sürüm 1709 ve sonraki sürümlerde varsayılan olarak yüklenmez

Netdom bilgisayar adı