Ngày phát hành ban đầu: NGÀY 9 tháng 9 năm 2025KB ID: 5066913
Tóm tắt
Máy chủ SMB đã hỗ trợ hai cơ chế để củng cố chống lại các cuộc tấn công chuyển tiếp:
-
Ký SMB Server
-
SMB Server Extended Protection for Authentication (EPA)
Trong một số môi trường khách hàng, việc thực thi một trong các cơ chế cứng này gây ra rủi ro về khả năng tương thích vì một số hệ thống kế thừa và việc triển khai của bên thứ ba có thể không hỗ trợ ký SMB Server hoặc SMB Server EPA.
Là một phần của các bản cập nhật Windows được phát hành vào và sau ngày 9 tháng 9 năm 2025 (CVE-2025-55234), hỗ trợ được kích hoạt để kiểm tra tính tương thích máy khách SMB cho việc ký SMB Server cũng như SMB Server EPA. Điều này cho phép khách hàng đánh giá môi trường của họ và xác định mọi sự cố tiềm ẩn về tính không tương thích của thiết bị hoặc phần mềm trước khi triển khai các biện pháp c cứng đã được Máy chủ SMB hỗ trợ.
Bối cảnh
SMB Server có thể dễ bị tấn công chuyển tiếp tùy thuộc vào cấu hình. Để ngăn chặn lỗ hổng này, Microsoft phát hành các biện pháp giảm nhẹ sau đây:
SMB Server EPA
-
Tư vấn Bảo mật của Microsoft 973811 | Bảo vệ Xác thực Mở rộng
-
Mô tả về bản cập nhật triển khai Bảo vệ Xác thực Mở rộng trong dịch vụ Máy chủ
Ký SMB Server
Khách hàng phải cấu hình Máy chủ SMB để yêu cầu ký máy chủ SMB hoặc bật SMB Server EPA để cấu hình hệ thống của họ chống lại loại tấn công này.
Máy chủ SMB với mã hóa được kích hoạt toàn cầu cùng với việc không cho phép truy cập không mã hóa, cũng được bảo vệ chống lại các cuộc tấn công chuyển tiếp. Để biết thêm thông tin, hãy xem Cải tiến Bảo mật SMB.
Cho phép Hỗ trợ kiểm tra cho việc ký SMB Server
Theo mặc định, tính năng kiểm tra ký SMB Server bị tắt. Điều này có thể được kích hoạt cho cả máy chủ SMBv1 và máy chủ SMB2/3 thông qua cài chính sách nhóm hoặc đăng ký.
Chính sách Nhóm
|
Vị trí chính sách |
Cấu hình Máy tính\Mẫu Quản trị\Mạng\Máy chủ Lanman |
|
Tên chính sách |
Máy khách kiểm tra không hỗ trợ ký |
|
Trạng thái chính sách |
|
Registry
|
Vị trí đăng ký |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Giá trị |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Data |
|
Sự kiện Kiểm tra ký máy chủ SMB
|
Nhật ký Sự kiện |
Microsoft-Windows-SMBServer/Audit |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Microsoft-Windows-SMBServer |
|
ID Sự kiện |
3021 |
|
Văn bản Sự kiện |
Máy chủ SMB nhận thấy máy khách không hỗ trợ ký. Tên máy khách: <> Tên người dùng: <> Máy chủ yêu cầu đăng nhập: <> |
|
Nhật ký Sự kiện |
Microsoft-Windows-SMBServer/Audit |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Microsoft-Windows-SMBServer |
|
ID Sự kiện |
3027 |
|
Văn bản Sự kiện |
Máy chủ SMBv1 nhận thấy máy khách SMBv1 chưa kích hoạt đăng nhập. Tên máy khách: <> Máy chủ yêu cầu đăng nhập: <> |
Hướng dẫn: Sự kiện này cho biết rằng máy khách SMBv1 có thể không hỗ trợ Cho phép Hỗ trợ Kiểm tra cho việc ký SMB, nhưng do giới hạn giao thức, điều này không thể được xác định chắc chắn. Chúng tôi khuyên bạn nên đánh giá thêm để xác minh khả năng ký của máy khách.
Trước khi Windows Vista, các máy khách SMBv1 không ký được bật rõ ràng không thể thực hiện Cho phép Hỗ trợ Kiểm tra để ký SMB.
Hành vi này đã được thay đổi với bản phát hành của Windows Vista và cũng được hỗ trợ cho Windows XP và Windows Server 2003 thông qua các bản cập nhật. Với những thay đổi này, máy khách SMB có thể hỗ trợ ký ngay cả khi không được bật rõ ràng, miễn là máy chủ yêu cầu điều đó.
Ghi chú
-
Khách hàng thực hiện ký kết đúng cách nhưng không quảng cáo hỗ trợ như vậy sẽ dẫn đến dương tính giả.
-
Khách hàng quảng cáo hỗ trợ ký nhưng không thực hiện chính xác hỗ trợ sẽ dẫn đến phủ nhận sai.
Cho phép Hỗ trợ kiểm tra cho SMB Server EPA
Theo mặc định, tính năng kiểm tra cho SMB Server EPA bị tắt. Điều này có thể được kích hoạt cho cả máy chủ SMBv1 và máy chủ SMB2/3 thông qua cài chính sách nhóm hoặc đăng ký.
Chính sách Nhóm
|
Vị trí chính sách |
Cấu hình Máy tính\Mẫu Quản trị\Mạng\Máy chủ Lanman |
|
Tên chính sách |
Hỗ trợ SPN máy khách SMB kiểm tra |
|
Trạng thái chính sách |
|
Registry
|
Vị trí đăng ký |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
|
Giá trị |
AuditClientSpnSupport |
|
Type |
REG_DWORD |
|
Data |
|
Sự kiện Kiểm tra EPA máy chủ SMB
|
Nhật ký Sự kiện |
Microsoft-Windows-SMBServer/Audit |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Microsoft-Windows-SMBServer |
|
ID Sự kiện |
3024 |
|
Văn bản Sự kiện |
Máy chủ SMB nhận thấy máy khách không gửi SPN trong quá trình xác thực, cho biết rằng máy khách không hỗ trợ Bảo vệ Xác thực Mở rộng (EPA) hoặc hỗ trợ cho EPA bị tắt. Tên máy khách: <> Trạng thái Truy vấn SPN: <> Bật Bảo vệ Xác thực Mở rộng: <> |
|
Nhật ký Sự kiện |
Microsoft-Windows-SMBServer/Audit |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Microsoft-Windows-SMBServer |
|
ID Sự kiện |
3025 |
|
Văn bản Sự kiện |
Máy chủ SMB quan sát thấy máy khách đã gửi SPN không xác định trong quá trình xác thực. Tên máy khách: <> SPN: <> Bật Bảo vệ Xác thực Mở rộng: <> |
|
Nhật ký Sự kiện |
Microsoft-Windows-SMBServer/Audit |
|
Loại Sự kiện |
Cảnh báo |
|
Nguồn Sự kiện |
Microsoft-Windows-SMBServer |
|
ID Sự kiện |
3026 |
|
Văn bản Sự kiện |
Máy chủ SMB quan sát thấy rằng máy khách đã gửi một SPN trống trong quá trình xác thực, cho biết máy khách có khả năng gửi SPN nhưng đã chọn không cung cấp một SPN. Tên máy khách: <> Bật Bảo vệ Xác thực Mở rộng: <> |
