Uygulandığı Öğe
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Özgün yayımlama tarihi: 9 Eylül 2025KB Kimliği: 5066913

Özet

SMB Sunucusu geçiş saldırılarına karşı sağlamlaştırmaya yönelik iki mekanizmayı zaten destekler: 

  • SMB Sunucusu imzalama

  • Kimlik Doğrulaması için SMB Sunucusu Genişletilmiş Koruması (EPA)

Bazı müşteri ortamlarında, bazı eski sistemler ve üçüncü taraf uygulamaları SMB Sunucusu imzalamayı veya SMB Sunucusu EPA'yı desteklemeyebileceği için bu sağlamlaştırma mekanizmalarından birinin uygulanması uyumluluk riskleri oluşturur. 

9 Eylül 2025 tarihinde ve sonrasında (CVE-2025-55234) yayımlanan Windows güncelleştirmelerinin bir parçası olarak, SMB Sunucusu imzalama ve SMB Server EPA için SMB istemci uyumluluğunu denetleme desteği etkinleştirilir. Bu, müşterilerin SMB Sunucusu tarafından zaten desteklenen sağlamlaştırma önlemlerini dağıtmadan önce ortamlarını değerlendirmelerine ve olası cihaz veya yazılım uyumsuzluk sorunlarını belirlemelerine olanak tanır.

Arka Plan

SMB Sunucusu, yapılandırmaya bağlı olarak geçiş saldırılarına karşı hassas olabilir. Microsoft, bu güvenlik açığını önlemek için aşağıdaki risk azaltmaları yayımladı: 

SMB Sunucusu EPA'sı

SMB Sunucusu imzalama

Müşterilerin SMB Sunucusu'nu SMB Sunucusu imzalamasını gerektirecek şekilde yapılandırmaları veya sistemlerini bu saldırı sınıfına karşı sağlamlaştırmak için SMB Server EPA'yı etkinleştirmeleri gerekir. ​​​​​​​​​​​​​​

Şifrelemesi genel olarak etkinleştirilen ve şifrelenmemiş erişime izin verilmeyen SMB sunucusu da geçiş saldırılarına karşı korunur. Daha fazla bilgi için bkz. SMB Güvenlik Geliştirmeleri.

SMB Sunucusu imzalama için Denetim desteğini etkinleştirme

Varsayılan olarak, SMB Sunucusu imzalama denetimi devre dışı bırakılır. Bu, grup ilkesi veya kayıt defteri ayarı aracılığıyla hem SMBv1 sunucusu hem de SMB2/3 sunucusu için etkinleştirilebilir.

Grup İlkesi

İlke konumu

Bilgisayar Yapılandırması\Yönetim Şablonları\Ağ\Lanman Sunucusu

İlke adı

Denetim istemcisi imzalamayı desteklemiyor

İlke durumları

  • Devre Dışı – Denetimi Devre Dışı Bırak

  • Etkin – Denetimi Etkinleştir

  • Yapılandırılmadı (varsayılan) – Kayıt defteri yapılandırmasını izleyin

Kayıt Defteri Girişi

Kayıt defteri konumu

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Değer

AuditClientSpnSupport

Tür

REG_DWORD

Veri

  • 0 (varsayılan) – Denetimi Devre Dışı Bırak

  • 1 – Denetimi Etkinleştirme

SMB Sunucusu denetim olaylarını imzalama

Olay Günlüğü

Microsoft-Windows-SMBServer/Denetim

Olay Türü

Uyarı

Olay Kaynağı

Microsoft-Windows-SMBServer

Olay Kimliği

3021

Olay Metni

SMB sunucusu, istemcinin imzalamayı desteklemediğini gözlemledi. 

İstemci adı: <>

Kullanıcı adı: <>

Sunucu imzalama gerektirir: <>

Olay Günlüğü

Microsoft-Windows-SMBServer/Denetim

Olay Türü

Uyarı

Olay Kaynağı

Microsoft-Windows-SMBServer

Olay Kimliği

3027

Olay Metni

SMBv1 sunucusu, SMBv1 istemcisinde imzalamanın etkin olmadığını gözlemledi.

İstemci adı: <>

Sunucu imzalama gerektirir: <>

Rehberlik: Bu olay, SMBv1 istemcisinin SMB imzalama için Denetim Desteğini Etkinleştirmeyi desteklemeyebileceğini, ancak protokol sınırlamaları nedeniyle bunun kesin olarak belirlenemeyeceğini gösterir. İstemcinin imzalama özelliklerini doğrulamak için daha fazla değerlendirme önerilir. 

Windows Vista'da, açıkça etkinleştirilmemiş SMBv1 istemcileri SMB imzalama için Denetim Desteğini Etkinleştirme işlemini gerçekleştiremedi. 

Bu davranış Windows Vista sürümüyle değiştirilmiştir ve güncelleştirmeler aracılığıyla Windows XP ve Windows Server 2003'e de geri aktarılmıştır. Bu değişikliklerle SMB istemcileri, sunucunun gerektirmesi koşuluyla açıkça etkinleştirilmemiş olsa bile imzalamayı destekleyemeyebilir. 

Notlar

  • İmzalamayı doğru uygulayan ancak bu desteği tanıtmayan istemciler hatalı pozitif sonuçlara neden olur.

  • İmzalama için destek veren ancak desteği doğru şekilde uygulamayan istemciler hatalı negatif sonuçlara neden olur.

SMB Sunucusu EPA için Denetim desteğini etkinleştirme

Varsayılan olarak, SMB Sunucusu EPA denetimi devre dışıdır. Bu, grup ilkesi veya kayıt defteri ayarı aracılığıyla hem SMBv1 sunucusu hem de SMB2/3 sunucusu için etkinleştirilebilir.

Grup İlkesi

İlke konumu

Bilgisayar Yapılandırması\Yönetim Şablonları\Ağ\Lanman Sunucusu

İlke adı

SMB istemcisi SPN desteğini denetleme

İlke durumları

  • Devre Dışı – Denetimi Devre Dışı Bırak

  • Etkin – Denetimi Etkinleştir

  • Yapılandırılmadı (varsayılan) – Kayıt defteri yapılandırmasını izleyin

Kayıt Defteri Girişi

Kayıt defteri konumu

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Değer

AuditClientSpnSupport

Tür

REG_DWORD

Veri

  • 0 (varsayılan) – SPN Denetimini Devre Dışı Bırak

  • 1 – SPN Denetimini Etkinleştirme

SMB Sunucusu EPA Denetim olayları

Olay Günlüğü

Microsoft-Windows-SMBServer/Denetim

Olay Türü

Uyarı

Olay Kaynağı

Microsoft-Windows-SMBServer

Olay Kimliği

3024

Olay Metni

SMB sunucusu, istemcinin kimlik doğrulaması sırasında SPN göndermediğini gözlemleyerek, istemcinin Kimlik Doğrulaması için Genişletilmiş Koruma'yı (EPA) desteklemediğini veya EPA desteğinin devre dışı bırakıldığını gösterir. 

İstemci adı: <>

SPN Sorgu Durumu: <>

Kimlik Doğrulama İlkesi için Genişletilmiş Korumayı Etkinleştirme: <>

Olay Günlüğü

Microsoft-Windows-SMBServer/Denetim

Olay Türü

Uyarı

Olay Kaynağı

Microsoft-Windows-SMBServer

Olay Kimliği

3025

Olay Metni

SMB sunucusu, istemcinin kimlik doğrulaması sırasında tanınmayan bir SPN gönderdiğini gözlemledi. 

İstemci adı: <>

SPN: <>

Kimlik Doğrulama İlkesi için Genişletilmiş Korumayı Etkinleştirme: <>

Olay Günlüğü

Microsoft-Windows-SMBServer/Denetim

Olay Türü

Uyarı

Olay Kaynağı

Microsoft-Windows-SMBServer

Olay Kimliği

3026

Olay Metni

SMB sunucusu, kimlik doğrulaması sırasında istemcinin boş bir SPN gönderdiğini gözlemlediğinden, istemci spn gönderebiliyor ancak sağlanmıyor. 

İstemci adı: <>

Kimlik Doğrulama İlkesi için Genişletilmiş Korumayı Etkinleştirme: <>
Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi