Теперь администраторы могут контролировать безопасность соединения и избежать утечки данных.
В последнем обновлении Windows 11 Insider Preview Build 25982 для участников программы Canary Channel Microsoft внесла значительные улучшения в систему безопасности, касающиеся шифрования SMB (Server Message Block). Теперь администраторы Windows могут требовать шифрование для всех исходящих соединений SMB, что предоставляет возможность обеспечивать сквозное шифрование данных (End-to-End Encryption, E2EE). Шифрование можно активировать для каждого отдельного ресурса или для всего файлового сервера через Windows Admin Center, Windows PowerShell или UNC Hardening.
Хотя возможность шифрования SMB была впервые представлена в SMB 3.0 на Windows 8 и Windows Server 2012, поддержка криптографических наборов AES-256-GCM была добавлена только в Windows 11 и Windows Server 2022.
Новую опцию можно настроить с помощью PowerShell или групповой политики «Требовать шифрование» в разделе «Конфигурация компьютера» \ «Административные шаблоны» \ «Сеть» \ «Рабочая станция Lanman (Lanman Workstation)».
Групповая политика Windows 11 «Require encryption»
Представитель Microsoft отметил в блоге, что администратор теперь может принудительно включить шифрование SMB на всех соединениях и отказать в подключении, если сервер SMB не поддерживает такое шифрование. Такая мера предназначена для защиты от попыток перехвата данных
Дополнительно, начиная со сборки Windows 11 Insider Preview Build 25951, администраторы могут настраивать системы таким образом, чтобы автоматически блокировать отправку данных NTLM через SMB, предотвращая атаки Pass-the-Hash, NTLM Relay и попытки взлома паролей.
С выпуском Windows 11 Insider Preview Build 25381 в Canary Channel, Microsoft также стала требовать подпись SMB по умолчанию для всех соединений. В Microsoft подчеркнули, что шифрование SMB предоставляет тот же уровень защиты от несанкционированного доступа, что и подпись SMB. Если клиент SMB требует подписи, шифрование SMB ее отключает – нет смысла требовать и того, и другого, потому что шифрование в приоритете.
Такие улучшения являются частью более широкой инициативы по усилению безопасности Windows и Windows Server. На фоне нововведений компания также усилила защиту от атак перебора путем введения ограничения скорости аутентификации SMB, снижая риски от неудачных попыток аутентификации NTLM.
5778 К? Пф! У нас градус знаний зашкаливает!