MKD-CIRT National Centre for Computer Incident Response
Windows 11 ќе им дозволи на администраторите да наредат шифрирање на SMB-клиент за сите излезни врски, почнувајќи од денешната Windows 11 Insider Preview Build 25982 што ќе се појави на Insiders во каналот Canary.
Шифрирањето SMB обезбедува шифрирање на податоци од крај до крај и може да се овозможи на основа по споделување за целиот сервер на датотеки или при мапирање на дискови со помош на Windows Admin Center, Windows PowerShell или UNC Hardening.
Оваа способност за прв пат беше вклучена со SMB 3.0 на Windows 8 и Windows Server 2012, и воведе поддршка за криптографски пакети AES-256-GCM со Windows 11 и Windows Server 2022.
Со барање сите одредишни сервери да поддржуваат SMB 3.x и шифрирање, администраторите на Windows можат да се погрижат клиентите да воспостават врска само ако се исполнети овие услови за одбрана од напади од прислушување и пресретнување.
„Сега можете исто така да го конфигурирате клиентот SMB секогаш да бара шифрирање, без разлика што бара серверот, споделувањето, стврднувањето UNC или мапираниот диск“, рече главниот програмски менаџер на Microsoft, Нед Пајл.
„Ова значи дека администраторот може глобално да ја принуди машината со Windows да користи SMB шифрирање – а со тоа и SMB 3.x – на сите конекции и да одбие да се поврзе ако серверот SMB не поддржува ниту една од друга.
Новата опција може да се конфигурира со помош на PowerShell или групната политика „Потребно шифрирање“ под Конфигурација на компјутер \ Административни шаблони \ Мрежа \ работна станица Ланман.
Виндоус 11 групна политика „Бара шифрирање“ (Мајкрософт)
Почнувајќи со Windows 11 Insider Preview Build 25951, администраторите можат да ги конфигурираат системите на Windows за автоматско блокирање на испраќањето NTLM податоци преку SMB на далечински излезни конекции за да се спречат нападите со пропуштање, NTLM-реле или пробивање лозинка.
Кога е вклучено, спречува хашираната лозинка на корисникот да биде испратена до оддалечените сервери, ефикасно спречувајќи ги овие напади.
Со објавувањето на Windows 11 Insider Preview Build 25381 на Canary Channel, Мајкрософт, исто така, почна да бара потпишување SMB (познато како безбедносни потписи) стандардно за сите врски да се бранат од нападите на NTLM реле.
Потпишувањето SMB, воведено во Windows 98 и 2000, е ажурирано во Windows 11 и Windows Server 2022 за да се подобри заштитата и перформансите со значително зголемување на брзината на шифрирање на податоците.
„Шифрирањето на SMB има горни трошоци за перформанси и надземни трошоци за компатибилност, и треба да го балансирате со потпишувањето на SMB – кое има подобри перформанси и заштита од манипулации, но нема заштита од прислушување – или против воопшто не употреба на шифрирање или потпишување, што има најдобри перформанси, но нема безбедност. “, рече Пајл.
„Шифрирањето SMB го заменува потпишувањето на SMB и го обезбедува истото ниво на заштита од манипулации, што значи дека ако вашиот клиент SMC бара потпишување, шифрирањето SMB го исклучува; нема смисла да се бараат и двете бидејќи шифрирањето победува“.
Овие подобрувања се дел од пошироките напори за зајакнување на безбедноста на Windows и Windows Server, како што беше подвлечено од претходните најави од минатата година.
Во април 2022 година, Мајкрософт означи пресвртница со откривање на последната фаза на оневозможување на деценискиот протокол за споделување датотеки SMB1 за Windows 11 Home Insiders.
Надоврзувајќи се на овој напредок, компанијата, исто така , ја зајакна одбраната од напади со брутална сила со воведување ограничувач на стапката на автентикација на SMB, што го ублажува влијанието на неуспешните обиди за автентикација за влез во NTLM.
Извор:bleepingcomputer.com