Applies To
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

原始發布日期: 2025 年 9 月 9 日KB ID:5066913

摘要

SMB 伺服器已支援兩種針對轉送攻擊的強化機制: 

  • SMB 伺服器簽署

  • SMB 伺服器擴充保護 (適用於 EPA) 驗證 (

在某些客戶環境中,強制執行其中任何一個強化機制都會帶來相容性風險,因為某些舊版系統和第三方實作可能不支援 SMB 伺服器簽署或 SMB 伺服器 EPA。 

作為 2025 年 9 月 9 日及之後發行的 Windows 更新 (CVE-2025-55234) 的一部分,已啟用對 SMB 伺服器簽署和 SMB 伺服器 EPA 的 SMB 用戶端相容性的稽核支援。 這可讓客戶在部署 SMB Server 已支援的強化措施之前,評估其環境並識別任何潛在的裝置或軟體不相容問題。

背景

SMB 伺服器可能容易受到轉送攻擊,視設定而定。 為了防止此弱點,Microsoft 發行了下列風險降低: 

SMB 伺服器 EPA

SMB 伺服器簽署

客戶必須將 SMB 伺服器設定為需要 SMB 伺服器簽署,或啟用 SMB 伺服器 EPA 來強化其系統以抵禦此類攻擊。 ​​​​​​​​​​​​​​

全域啟用加密且不允許未加密存取的 SMB 伺服器也受到保護,可抵禦中繼攻擊。 如需詳細資訊,請參閱 SMB 安全性增強功能

啟用 SMB 伺服器簽署的稽核支援

根據預設,SMB 伺服器簽署的稽核會停用。 您可以透過群組原則或登錄設定,針對 SMBv1 伺服器和 SMB2/3 伺服器啟用此功能。

群組原則

政策位置

電腦設定\系統管理範本\網路\Lanman 伺服器

原則名稱

稽核用戶端不支援簽署

原則狀態

  • 已停用 — 停用稽核

  • 已啟用 — 啟用稽核

  • 未設定 (預設) – 遵循登錄設定

登錄

登錄位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

AuditClientSpn支援

Type (類型)

REG_DWORD

資料

  • 0 (預設) – 停用稽核

  • 1 – 啟用審計

SMB 伺服器簽署稽核事件

事件記錄檔

Microsoft-Windows-SMBServer/稽核

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3021

事件文字

SMB 伺服器觀察到用戶端不支援簽署。 

客戶名稱: <>

用戶名稱: <>

伺服器需要簽章: <>

事件記錄檔

Microsoft-Windows-SMBServer/稽核

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3027

事件文字

SMBv1 伺服器觀察到 SMBv1 用戶端未啟用簽署。

客戶名稱: <>

伺服器需要簽章: <>

指引:此事件表示 SMBv1 用戶端可能不支援啟用 SMB 簽署的稽核支援,但由於通訊協定限制,無法確定這一點。 建議進一步評估以驗證用戶端的簽署能力。 

在 Windows Vista 之前,未明確啟用簽署的 SMBv1 用戶端無法執行啟用 SMB 簽署的稽核支援。 

此行為會隨著 Windows Vista 的發行而變更,而且也會透過更新向後移植至 Windows XP 和 Windows Server 2003。 透過這些變更,SMB 用戶端可能會支援簽署,即使未明確啟用,只要伺服器需要。 

記事​​

  • 正確實作簽署但未公告這類支援的用戶端將導致誤報。

  • 公告簽署支援但未正確實作支援的用戶端將導致誤報。

啟用 SMB 伺服器 EPA 的稽核支援

依預設,SMB 伺服器 EPA 的稽核會停用。 您可以透過群組原則或登錄設定,針對 SMBv1 伺服器和 SMB2/3 伺服器啟用此功能。

群組原則

政策位置

電腦設定\系統管理範本\網路\Lanman 伺服器

原則名稱

稽核 SMB 用戶端 SPN 支援

原則狀態

  • 已停用 — 停用稽核

  • 已啟用 — 啟用稽核

  • 未設定 (預設) – 遵循登錄設定

登錄

登錄位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

AuditClientSpn支援

Type (類型)

REG_DWORD

資料

  • 0 (預設) – 停用 SPN 稽核

  • 1 – 啟用 SPN 稽核

SMB 伺服器 EPA 稽核事件

事件記錄檔

Microsoft-Windows-SMBServer/稽核

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3024

事件文字

SMB 伺服器觀察到用戶端在驗證期間未傳送 SPN,表示用戶端不支援驗證 (EPA) 的延伸保護,或已停用 EPA 的支援。 

客戶名稱: <>

SPN 查詢狀態: <>

啟用驗證原則的延伸保護: <>

事件記錄檔

Microsoft-Windows-SMBServer/稽核

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3025

事件文字

SMB伺服器觀察到客戶端在身份驗證期間傳送了無法識別的SPN。 

客戶名稱: <>

SPN: <>

啟用驗證原則的延伸保護: <>

事件記錄檔

Microsoft-Windows-SMBServer/稽核

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3026

事件文字

SMB伺服器觀察到客戶端在身份驗證期間傳送了空的SPN,這表示客戶端能夠傳送SPN,但選擇不提供SPN。 

客戶名稱: <>

啟用驗證原則的延伸保護: <>
Facebook LinkedIn Email
SUBSCRIBE RSS FEEDS

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心