Τα Windows 11 απαιτούν υπογραφή SMB για την αποτροπή επιθέσεων αναμετάδοσης NTLM

Η Microsoft λέει ότι η υπογραφή SMB (γνωστή και ως υπογραφές ασφαλείας) θα απαιτείται από προεπιλογή για όλες τις συνδέσεις για προστασία από επιθέσεις αναμετάδοσης NTLM, ξεκινώντας από τη σημερινή έκδοση των Windows που θα κυκλοφορήσει στους Insiders στο Κανάρι Κανάλι.

Σε τέτοιες επιθέσεις, οι παράγοντες απειλών αναγκάζουν τις συσκευές δικτύου (συμπεριλαμβανομένων των ελεγκτών τομέα) να ελέγχουν την ταυτότητα από κακόβουλους διακομιστές που βρίσκονται υπό τον έλεγχο των εισβολέων για να τους μιμηθούν και να αυξήσουν τα δικαιώματα για να αποκτήσουν πλήρη έλεγχο στον τομέα των Windows.

Η Microsoft

είπε

.

Η υπογραφή SMB βοηθά στον αποκλεισμό κακόβουλων αιτημάτων ελέγχου ταυτότητας επιβεβαιώνοντας την ταυτότητα του αποστολέα και του παραλήπτη μέσω υπογραφών και κατακερματισμών που ενσωματώνονται στο τέλος κάθε μηνύματος.

Οι διακομιστές SMB και τα απομακρυσμένα κοινόχρηστα στοιχεία όπου η υπογραφή SMB είναι απενεργοποιημένη θα ενεργοποιήσουν σφάλματα σύνδεσης με διάφορα μηνύματα, όπως “Η κρυπτογραφική υπογραφή δεν είναι έγκυρη”, “STATUS_INVALID_SIGNATURE”, “0xc000a000” ή “-1073700864”.

Αυτός ο μηχανισμός ασφαλείας είναι διαθέσιμος εδώ και λίγο καιρό, ξεκινώντας από τα Windows 98 και 2000, και έχει ενημερωθεί στα Windows 11 και στον Windows Server 2022 για βελτίωση της απόδοσης και της προστασίας επιταχύνοντας σημαντικά την κρυπτογράφηση δεδομένων.

Μειονεκτήματα της βελτιωμένης ασφάλειας

Ενώ ο αποκλεισμός των επιθέσεων αναμετάδοσης NTLM θα πρέπει να βρίσκεται στην κορυφή της λίστας για οποιαδήποτε ομάδα ασφαλείας, οι διαχειριστές των Windows ενδέχεται να διαφωνήσουν με αυτήν την προσέγγιση, καθώς θα μπορούσε να οδηγήσει σε χαμηλότερες ταχύτητες αντιγραφής SMB.

“Η υπογραφή SMB μπορεί να μειώσει την απόδοση των λειτουργιών αντιγραφής SMB. Μπορείτε να το μετριαστείτε με περισσότερους φυσικούς πυρήνες CPU ή εικονικές CPU καθώς και νεότερες, ταχύτερες CPU”, προειδοποίησε η Microsoft.

Ωστόσο, οι διαχειριστές έχουν την επιλογή να απενεργοποιήσουν την απαίτηση υπογραφής SMB στις συνδέσεις διακομιστή και πελάτη εκτελώντας τις ακόλουθες εντολές από ένα υπερυψωμένο τερματικό Windows PowerShell:

Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false

Αν και δεν απαιτείται επανεκκίνηση του συστήματος μετά την έκδοση αυτών των εντολών, οι ήδη ανοιχτές συνδέσεις SMB θα συνεχίσουν να χρησιμοποιούν την υπογραφή μέχρι να κλείσουν.

“Αναμένετε ότι αυτή η προεπιλεγμένη αλλαγή για την υπογραφή θα έρθει στο Pro, το Education και άλλες εκδόσεις των Windows κατά τους επόμενους μήνες, καθώς και στον Windows Server. Ανάλογα με το πώς πάνε τα πράγματα στα Insiders, θα αρχίσει να εμφανίζεται σε μεγάλες εκδόσεις.”

είπε

Ο κύριος διευθυντής προγράμματος της Microsoft Ned Pyle.

Η σημερινή ανακοίνωση αποτελεί μέρος μιας ευρύτερης κίνησης για τη βελτίωση της ασφάλειας των Windows και των Windows Server, όπως φάνηκε κατά τη διάρκεια του περασμένου έτους.

Τον Απρίλιο του 2022, η Microsoft ανακοίνωσε την τελική φάση της απενεργοποίησης του SMB1 στα Windows απενεργοποιώντας το 30χρονο πρωτόκολλο κοινής χρήσης αρχείων από προεπιλογή για τα Windows 11 Home Insiders.

Πέντε μήνες αργότερα, η εταιρεία ανακοίνωσε καλύτερη προστασία από επιθέσεις ωμής βίας με την εισαγωγή ενός περιοριστή ρυθμού ελέγχου ταυτότητας SMB για την αντιμετώπιση αποτυχημένων προσπαθειών ελέγχου ταυτότητας εισερχόμενων NTLM.