应用对象
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

原始发布日期: 2025 年 9 月 9 日KB ID: 5066913

摘要

SMB 服务器已支持两种机制来强化以抵御中继攻击: 

  • SMB 服务器签名

  • 用于身份验证的 SMB 服务器扩展保护 (EPA)

在某些客户环境中,强制实施上述任一强化机制会带来兼容性风险,因为某些旧系统和第三方实现可能不支持 SMB 服务器签名或 SMB 服务器 EPA。 

作为 2025 年 9 月 9 日及之后发布的 Windows 更新的一部分, (CVE-2025-55234) ,支持审核 SMB 服务器签名和 SMB 服务器 EPA 的 SMB 客户端兼容性。 这样,客户就可以在部署 SMB Server 已支持的强化措施之前评估其环境并识别任何潜在的设备或软件不兼容问题。

背景信息

SMB 服务器可能会受到中继攻击,具体取决于配置。 为了防止此漏洞,Microsoft发布了以下缓解措施: 

SMB 服务器 EPA

SMB 服务器签名

客户必须将 SMB 服务器配置为要求 SMB 服务器签名,或启用 SMB 服务器 EPA 以强化其系统,以防范此类攻击。 ​​​​​​​​​​​​​​

全局启用加密且不允许未加密访问的 SMB 服务器也受到保护,免受中继攻击。 有关详细信息,请参阅 SMB 安全增强功能

启用对 SMB 服务器签名的审核支持

默认情况下,SMB 服务器签名的审核处于禁用状态。 可以通过组策略或注册表设置为 SMBv1 服务器和 SMB2/3 服务器启用此功能。

组策略

策略位置

计算机配置\管理模板\网络\Lanman 服务器

策略名称

审核客户端不支持签名

策略状态

  • 已禁用 – 禁用审核

  • 已启用 – 启用审核

  • 未配置 (默认) – 遵循注册表配置

注册表

注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

AuditClientSpnSupport

类型

REG_DWORD

数据

  • 0 (默认) – 禁用审核

  • 1 - 启用审核

SMB 服务器签名审核事件

事件日志

Microsoft-Windows-SMBServer/Audit

事件类型

警告

事件源

Microsoft-Windows-SMBServer

事件 ID

3021

事件文本

SMB 服务器观察到客户端不支持签名。 

客户端名称: <>

用户名: <>

服务器需要签名: <>

事件日志

Microsoft-Windows-SMBServer/Audit

事件类型

警告

事件源

Microsoft-Windows-SMBServer

事件 ID

3027

事件文本

SMBv1 服务器观察到 SMBv1 客户端未启用签名。

客户端名称: <>

服务器需要签名: <>

指导:此事件表示 SMBv1 客户端可能不支持为 SMB 签名启用审核支持,但由于协议限制,无法确定这一点。 建议进一步评估以验证客户端的签名功能。 

在 Windows Vista 之前,未显式启用签名的 SMBv1 客户端无法对 SMB 签名执行启用审核支持。 

此行为随 Windows Vista 的发布而更改,并通过更新向后移植到 Windows XP 和 Windows Server 2003。 通过这些更改,即使未显式启用,SMB 客户端也可能支持签名,前提是服务器需要签名。 

便笺

  • 正确实现签名但不播发此类支持的客户端将导致误报。

  • 播发对签名的支持但未正确实现支持的客户端将导致误报。

为 SMB 服务器 EPA 启用审核支持

默认情况下,禁用对 SMB 服务器 EPA 的审核。 可以通过组策略或注册表设置为 SMBv1 服务器和 SMB2/3 服务器启用此功能。

组策略

策略位置

计算机配置\管理模板\网络\Lanman 服务器

策略名称

审核 SMB 客户端 SPN 支持

策略状态

  • 已禁用 – 禁用审核

  • 已启用 – 启用审核

  • 未配置 (默认) – 遵循注册表配置

注册表

注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

AuditClientSpnSupport

类型

REG_DWORD

数据

  • 0 (默认) – 禁用 SPN 审核

  • 1 - 启用 SPN 审核

SMB 服务器 EPA 审核事件

事件日志

Microsoft-Windows-SMBServer/Audit

事件类型

警告

事件源

Microsoft-Windows-SMBServer

事件 ID

3024

事件文本

SMB 服务器观察到客户端在身份验证期间未发送 SPN,指示客户端不支持对身份验证 (EPA) 的扩展保护,或者禁用了对 EPA 的支持。 

客户端名称: <>

SPN 查询状态: <>

为身份验证策略启用扩展保护: <>

事件日志

Microsoft-Windows-SMBServer/Audit

事件类型

警告

事件源

Microsoft-Windows-SMBServer

事件 ID

3025

事件文本

SMB 服务器观察到客户端在身份验证期间发送了无法识别的 SPN。 

客户端名称: <>

SPN: <>

为身份验证策略启用扩展保护: <>

事件日志

Microsoft-Windows-SMBServer/Audit

事件类型

警告

事件源

Microsoft-Windows-SMBServer

事件 ID

3026

事件文本

SMB 服务器观察到客户端在身份验证期间发送了空 SPN,这表明客户端能够发送 SPN,但选择不提供 SPN。 

客户端名称: <>

为身份验证策略启用扩展保护: <>
订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心