Вихідна дата публікації: 9 вересня 2025KB ID: 5066913
Зведення
Сервер SMB вже підтримує два механізми захисту від атак реле:
-
Підписування сервера SMB
-
Розширений захист сервера SMB для автентифікації (EPA)
У деяких середовищах клієнтів застосування будь-яких з цих механізмів затятовування створює ризики сумісності, оскільки деякі застарілі системи та сторонні реалізації можуть не підтримувати підписування SMB Server або SMB Server EPA.
У рамках оновлень Windows, випущених 9 вересня 2025 року та після них (CVE-2025-55234), активовано підтримку перевірки сумісності клієнта SMB для підписування SMB Server, а також SMB Server EPA. Це дає змогу клієнтам оцінити своє середовище та визначити будь-які потенційні проблеми несумісності пристрою або програмного забезпечення перед розгортанням заходів, які вже підтримуються сервером SMB Server.
Основні відомості
Сервер SMB може бути сприйнятливий до атак ретранслятора залежно від конфігурації. Щоб запобігти цій вразливості, корпорація Майкрософт випустила такі послаблення ризиків:
SMB Server EPA
-
Microsoft Security Advisory 973811 | Розширений захист для автентифікації
-
Опис оновлення, яке впроваджує розширений захист для автентифікації в службі сервера
Підписування сервера SMB
Клієнти повинні або налаштувати SMB Server вимагати підписування SMB Server або дозволити SMB Server EPA, щоб захистити свої системи від цього класу атаки.
Сервер SMB з увімкнутим шифруванням у всьому світі, а також не дозволяє незашифрований доступ, також захищений від атак ретранслятора. Докладні відомості див. в статті Удосконалення системи безпеки SMB.
Увімкнення підтримки аудиту для підписування SMB Server
За замовчуванням аудит для підписування SMB Server вимкнуто. Цю функцію можна ввімкнути як для сервера SMBv1, так і для сервера SMB2/3 за допомогою параметра Групова політика або реєстру.
Групова політика
|
Розташування політики |
Конфігурація комп'ютера\Адміністративні шаблони\Мережа\Сервер Lanman |
|
Ім'я політики |
Клієнт аудиту не підтримує підписування |
|
Стани політики |
|
Реєстру
|
Розташування реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Значення) |
AuditClientSpnSupport |
|
Type (Тип) |
REG_DWORD |
|
Data (Дані) |
|
Події аудиту підпису сервера SMB Server
|
Журнал подій |
Microsoft-Windows-SMBServer/Audit |
|
Тип події |
Попередження |
|
Джерело події |
Microsoft-Windows-SMBServer |
|
Ідентифікатор події |
3021 |
|
Текст події |
Сервер SMB помітив, що клієнт не підтримує підписування. Ім'я клієнта: <> Ім'я користувача: <> Сервер вимагає підписання: <> |
|
Журнал подій |
Microsoft-Windows-SMBServer/Audit |
|
Тип події |
Попередження |
|
Джерело події |
Microsoft-Windows-SMBServer |
|
Ідентифікатор події |
3027 |
|
Текст події |
Сервер SMBv1 помітив, що в клієнті SMBv1 не активовано підписування. Ім'я клієнта: <> Сервер вимагає підписання: <> |
Рекомендації: Ця подія вказує на те, що клієнт SMBv1 може не підтримувати ввімкнення підтримки аудиту для підписування SMB, але через обмеження протоколу це не може бути визначено з певністю. Для перевірки можливостей підписування клієнта рекомендовано провести подальшу оцінку.
До Windows Vista клієнти SMBv1, у яких не було явно активовано підписування, не могли виконати активацію підтримки аудиту для підписування SMB.
Ця поведінка була змінена у випуску Windows Vista, а також була повернута до Windows XP та Windows Server 2003 за допомогою оновлень. З цими змінами клієнти SMB можуть підтримувати підписування, навіть якщо його явно не ввімкнуто, за умови, що для цього потрібен сервер.
Нотатки
-
Клієнти, які правильно впроваджують підписування, але не рекламують таку підтримку, призводять до помилкових результатів.
-
Клієнти, які рекламують підтримку підписання, але неправильно впроваджують підтримку, призводять до помилкових негативних результатів.
Увімкнення підтримки аудиту для SMB Server EPA
За замовчуванням аудит для SMB Server EPA вимкнуто. Цю функцію можна ввімкнути як для сервера SMBv1, так і для сервера SMB2/3 за допомогою параметра Групова політика або реєстру.
Групова політика
|
Розташування політики |
Конфігурація комп'ютера\Адміністративні шаблони\Мережа\Сервер Lanman |
|
Ім'я політики |
Підтримка клієнта SMB аудиту SPN |
|
Стани політики |
|
Реєстру
|
Розташування реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Value (Значення) |
AuditClientSpnSupport |
|
Type (Тип) |
REG_DWORD |
|
Data (Дані) |
|
Події аудиту EPA сервера SMB Server
|
Журнал подій |
Microsoft-Windows-SMBServer/Audit |
|
Тип події |
Попередження |
|
Джерело події |
Microsoft-Windows-SMBServer |
|
Ідентифікатор події |
3024 |
|
Текст події |
Сервер SMB помітив, що клієнт не надсилав SPN під час автентифікації, що вказує на те, що клієнт не підтримує розширений захист для автентифікації (EPA) або що підтримку EPA вимкнуто. Ім'я клієнта: <> Стан запиту SPN: <> Увімкнути розширений захист для політики автентифікації: <> |
|
Журнал подій |
Microsoft-Windows-SMBServer/Audit |
|
Тип події |
Попередження |
|
Джерело події |
Microsoft-Windows-SMBServer |
|
Ідентифікатор події |
3025 |
|
Текст події |
Сервер SMB помітив, що клієнт надіслав нерозпізнаний SPN під час автентифікації. Ім'я клієнта: <> SPN: <> Увімкнути розширений захист для політики автентифікації: <> |
|
Журнал подій |
Microsoft-Windows-SMBServer/Audit |
|
Тип події |
Попередження |
|
Джерело події |
Microsoft-Windows-SMBServer |
|
Ідентифікатор події |
3026 |
|
Текст події |
Сервер SMB помітив, що клієнт надіслав пустий SPN під час автентифікації, що вказує на те, що клієнт може надіслати SPN, але вирішив не вказати один. Ім'я клієнта: <> Увімкнути розширений захист для політики автентифікації: <> |
