套用到
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

原始出版日期: 2025年9月9日KB ID:5066913

變更日期

變更描述

2025年12月26日

  • 已將登錄檔值名稱從 AuditClientSpnSupport 修正為 AuditClientDoesNotSupportSigning,在「啟用 SMB 伺服器簽署的稽核支援」部分。

摘要

SMB 伺服器已支援兩種防禦中繼攻擊的機制: 

  • SMB 伺服器簽章

  • 美國環保署(EPA)) SMB伺服器認證擴充保護 (

在某些客戶環境中,強制執行上述任一強化機制會帶來相容性風險,因為部分舊有系統及第三方實作可能不支援 SMB 伺服器簽章或 SMB Server EPA。 

作為 2025 年 9 月 9 日及之後釋出的 Windows 更新 (CVE-2025-55234) 的一部分,已啟用對 SMB 用戶端相容性進行 SMB 伺服器簽署及 EPA 的審核。 這讓客戶能評估環境並識別潛在的裝置或軟體不相容問題,然後再部署 SMB Server 已支援的強化措施。

背景

SMB 伺服器可能因配置而易受中繼攻擊。 為防止此漏洞,Microsoft 發布了以下緩解措施: 

中小企業伺服器 EPA

SMB 伺服器簽章

客戶必須設定 SMB 伺服器要求 SMB 伺服器簽署,或啟用 SMB Server EPA 以加強系統對此類攻擊的防禦。 ​​​​​​​​​​​​​​

全局啟用加密且不允許未加密存取的 SMB 伺服器,同時也受到中繼攻擊的保護。 欲了解更多資訊,請參閱中小企業安全增強。

啟用 SMB 伺服器簽章的稽核支援

預設情況下,SMB 伺服器簽署的審計功能是被關閉的。 此功能可透過群組原則或登錄檔設定,對 SMBv1 伺服器與 SMB2/3 伺服器啟用。

群組原則

政策位置

電腦配置\管理範本\網路\蘭曼伺服器

原則名稱

審計客戶不支援簽署

政策狀態

  • 停用 – 關閉稽核

  • 啟用 – 啟用稽核

  • 未設定 (預設) – 請依照登錄檔設定

登錄

登錄位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

AuditClientDoesNotSupportSigning

Type (類型)

REG_DWORD

資料

  • 0 (預設) – 停用稽核

  • 1 – 啟用審計

SMB 伺服器簽署審核事件

事件記錄檔

Microsoft-Windows-SMBServer/Audit

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3021

事件文字

SMB 伺服器發現該用戶端不支援簽署。 

客戶名稱: <>

使用者名稱: <>

伺服器需要簽名: <>

事件記錄檔

Microsoft-Windows-SMBServer/Audit

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3027

事件文字

SMBv1 伺服器發現 SMBv1 用戶端未啟用簽章功能。

客戶名稱: <>

伺服器需要簽名: <>

指引:此事件表示 SMBv1 用戶端可能不支援 SMB 簽署啟用審計支援,但因協定限制,無法確定。 建議進一步評估以驗證客戶的簽署能力。 

在 Windows Vista 之前,未明確啟用簽約的 SMBv1 用戶端無法執行 SMB 簽章的啟用稽核支援。 

此行為隨著 Windows Vista 的發行而改變,並透過更新回移植至 Windows XP 與 Windows Server 2003。 透過這些變更,SMB 用戶端即使未明確啟用,只要伺服器要求,也能支援簽署。 

注意事項

  • 正確實作簽約但未宣傳此類支援的客戶端,將導致誤報。

  • 那些宣稱支援簽署但未正確實作支援的客戶,會導致誤報。

啟用 SMB Server EPA 的稽核支援

預設情況下,SMB 伺服器 EPA 的稽核功能是被關閉的。 此功能可透過群組原則或登錄檔設定,對 SMBv1 伺服器與 SMB2/3 伺服器啟用。

群組原則

政策位置

電腦配置\管理範本\網路\蘭曼伺服器

原則名稱

審核中小企業客戶端 SPN 支援

政策狀態

  • 停用 – 關閉稽核

  • 啟用 – 啟用稽核

  • 未設定 (預設) – 請依照登錄檔設定

登錄

登錄位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

AuditClientSpnSupport

Type (類型)

REG_DWORD

資料

  • 0 (預設) – 停用 SPN 審計

  • 1 – 啟用 SPN 審計

中小企業伺服器 EPA 稽核活動

事件記錄檔

Microsoft-Windows-SMBServer/Audit

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3024

事件文字

SMB 伺服器觀察到客戶端在驗證過程中未發送 SPN,表示該客戶端不支援 EPA) (Extended Protection for Authentication 或是 EPA 支援被停用。 

客戶名稱: <>

SPN 查詢狀態: <>

啟用認證政策的擴展保護: <>

事件記錄檔

Microsoft-Windows-SMBServer/Audit

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3025

事件文字

SMB 伺服器觀察到客戶端在認證過程中傳送了一個未被識別的 SPN。 

客戶名稱: <>

SPN: <>

啟用認證政策的擴展保護: <>

事件記錄檔

Microsoft-Windows-SMBServer/Audit

事件類型

警告

事件來源

Microsoft-Windows-SMBServer

事件識別碼

3026

事件文字

SMB 伺服器觀察到客戶端在認證時發送了一個空的 SPN,表示該客戶端有能力發送 SPN,但選擇不提供。 

客戶名稱: <>

啟用認證政策的擴展保護: <>
Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心