Microsoft повышает защиту Windows против атак с ретрансляцией NTLM

Microsoft повышает защиту Windows против атак с ретрансляцией NTLM

«Скорость или безопасность?» — администраторы вскоре столкнутся с дилеммой.

image

Компания Microsoft объявила , что со второго июня для всех подключений к сетевым ресурсам в инсайдерской сборке Windows 25381 будет по умолчанию требоваться подпись SMB (SMB Signing). Это мера предосторожности против ретрансляционных NTLM атак (атак типа NTLM Relay), при которых злоумышленники могут подделывать идентификацию устройств в сети и получать полный контроль над доменом Windows.

«Это изменяет прежнее поведение, когда Windows 10 и 11 требовали подпись SMB по умолчанию только при подключении к общим папкам SYSVOL и NETLOGON, а доменные контроллеры Active Directory требовали подписи SMB при любом подключении к ним», — сообщила Microsoft.

Подпись SMB позволяет блокировать злонамеренные запросы на аутентификацию, подтверждая личность отправителя и получателя с помощью специальных кодов, встроенных в конец каждого сообщения.

Серверы и удаленные папки SMB, на которых отключена подпись SMB, будут вызывать ошибки подключения с различными сообщениями, такими как «Криптографическая подпись недействительна», «STATUS_INVALID_SIGNATURE», «0xc000a000» или «-1073700864».

Этот механизм безопасности был доступен уже очень давно, начиная с Windows 98 и 2000, однако в Windows 11 и Windows Server 2022 он был обновлён для повышения уровня безопасности.

Хотя блокировка атак с ретрансляцией NTLM должна быть приоритетом для любой команды защиты, администраторы Windows могут не одобрить этот подход. Всё дело в снижении скорости передачи данных по SMB-протоколу.

«Подпись SMB может снизить производительность операций копирования по SMB. Вы можете смягчить это с помощью большего количества физических или виртуальных ядер процессора, а также более новых и быстрых процессоров», — предупредила Microsoft.

«Ожидайте, что это изменение по умолчанию для подписи появится в Pro, Education и других изданиях Windows в течение следующих нескольких месяцев, а также в Windows Server. В зависимости от того, как пойдут дела у Insiders, оно затем начнет появляться в основных релизах», — заявил главный менеджер программ Microsoft Нед Пайл.

Если администраторы считают, что требования подписи SMB в конкретных подключениях не требуется, специалисты Microsoft предусмотрели лазейку для отключения нововведения. Выполнение следующих команд из терминала PowerShell с повышенными полномочиями отключит проверку подписи SMB:

Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false

После выполнения данных команд не требуется перезагрузка системы, но уже открытые подключения SMB будут продолжать использовать подпись до их закрытия.

Данное нововведение редмондовской компании является частью более широкого движения по улучшению безопасности Windows и Windows Server, начавшееся ещё в прошлом году. Так, в апреле 2022 года Microsoft объявила о заключительном этапе отказа от протокола SMB1 в Windows, отключив его по умолчанию для Windows 11 Home Insiders. А пять месяцев спустя объявила об улучшенной защите от атак методом перебора с введением ограничителя скорости аутентификации SMB для устранения неудачных попыток проверки подлинности NTLM при входе.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.