Windows 11 потребует подписи SMB для предотвращения атак ретрансляции NTLM

Microsoft заявляет, что подпись SMB (также известная как подписи безопасности) будет требоваться по умолчанию для всех соединений для защиты от атак ретрансляции NTLM, начиная с сегодняшней сборки Windows (версия Enterprise), распространяемой для инсайдеров в Канарском канале.

В таких атаках злоумышленники заставляют сетевые устройства (включая контроллеры домена) проходить аутентификацию на вредоносных серверах, находящихся под контролем злоумышленников, чтобы выдать себя за них и повысить привилегии для получения полного контроля над доменом Windows.

«Это меняет устаревшее поведение, когда Windows 10 и 11 требовали подписи SMB по умолчанию только при подключении к общим ресурсам с именами SYSVOL и NETLOGON, а контроллеры домена Active Directory требовали подписи SMB при подключении к ним любого клиента», — заявили в Microsoft.

Подписание SMB помогает блокировать вредоносные запросы аутентификации, подтверждая личности отправителя и получателя с помощью подписей и хэшей, встроенных в конец каждого сообщения.

Серверы SMB и удаленные общие ресурсы, где подпись SMB отключена, будут вызывать ошибки подключения с различными сообщениями, включая «Криптографическая подпись недействительна», «STATUS_INVALID_SIGNATURE», «0xc000a000» или «-1073700864».

Этот механизм безопасности доступен уже некоторое время, начиная с Windows 98 и 2000, и он был обновлен в Windows 11 и Windows Server 2022 для повышения производительности и защиты за счет значительного ускорения шифрования данных.

Хотя блокирование атак ретрансляции NTLM должно быть в верхней части списка для любой группы безопасности, администраторы Windows могут не согласиться с этим подходом, поскольку он может привести к снижению скорости копирования SMB.

«Подписание SMB может снизить производительность операций копирования SMB. Вы можете смягчить это с помощью большего количества физических ядер ЦП или виртуальных ЦП, а также более новых, более быстрых ЦП», — предупредила Microsoft.

Однако администраторы имеют возможность отключить требование подписи SMB в соединениях сервера и клиента, выполнив следующие команды из терминала Windows PowerShell с повышенными привилегиями:

Хотя после ввода этих команд перезагрузка системы не требуется, уже открытые соединения SMB будут продолжать использовать подпись до тех пор, пока они не будут закрыты.

«Ожидайте, что это изменение по умолчанию для подписи появится в версиях Pro, Education и других выпусках Windows в течение следующих нескольких месяцев, а также в Windows Server. В зависимости от того, как пойдут дела у инсайдеров, оно затем начнет появляться в основных выпусках». сказал главный менеджер программы Microsoft Нед Пайл.

Сегодняшнее объявление является частью более широкого шага по улучшению безопасности Windows и Windows Server, как это было показано в прошлом году.

В апреле 2022 года Microsoft объявила о заключительном этапе отключения SMB1 в Windows, отключив протокол обмена файлами 30-летней давности по умолчанию для инсайдеров Windows 11 Home.

Пять месяцев спустя компания объявила об улучшении защиты от атак методом перебора, представив ограничитель скорости аутентификации SMB для предотвращения неудачных попыток входящей аутентификации NTLM.

Windows 11 позволит просматривать фотографии телефона в проводнике

В Windows 11 наконец-то появился режим «никогда не объединять кнопки панели задач»

Microsoft тестирует улучшенную панель сведений в Проводнике, Windows Spotlight

Microsoft по умолчанию включает защиту LSA в сборке Windows Canary

Cisco не будет исправлять уязвимость RCE нулевого дня в устаревших VPN-маршрутизаторах