微軟Windows 11用戶端及伺服器將要求SMB簽章登入

微軟最新Windows 11更新測試版將讓Windows裝置要求以SMB簽章登入才能連線，以防範NTLM Relay攻擊。但管理員需有網路效能降低的心理準備。

最新的Windows 11 Insider Preview Build企業版25381上周釋出到Canary通道。從這個版本開始，Windows伺服器或用戶端都會預設要求所有連線都需使用SMB簽章。SMB簽章又稱安全性簽章（security signature）。

SMB（Server Message Block）通訊協定是用於檔案與印表機共用，以及遠端Windows機器等網路環境的管理。為防止SMB封包傳輸時遭中間人攻擊（man-in-the-middle，MITM），SMB協定可支援SMB封包的簽章。啟用SMB簽章登入可防範攻擊者冒充合法用戶端電腦或伺服器，以攔截會話（session）取得重要用戶憑證接管網域，或在網路Windows用戶端植入惡意程式，像是2020年Zerologon或是2021年稱為PetitPotam的Windows NTLM漏洞。

在最新宣布之前，管理員可設定（最低為SMBv2的）Windows用戶端及伺服器端是不是強制要求外部裝置以SMB簽章登入。Windows10或11原本預設，只有在連到名為Sysvol或Netlogon的網路磁碟機，以及AD網域控制器對欲連線的電腦才要求SMB安全登入。

現在所有Windows用戶端及伺服器都已支援SMB簽章登入，但第三方伺服器或服務可能會關閉或不支援。如果用戶想登入不允許SMB登入的遠端共用服務，會接到錯誤訊息。微軟建議用戶最好設定第三方共用服務的SMB伺服器支援，而不應關閉Windows上的SMB簽章登入，或使用微軟已經不支援的SMB1。微軟警告，不支援SMB安全登入的裝置，會造成惡意人士攔截訊息或中繼攻擊（relay attack）。

不過啟用SMB簽章讓每個SMB訊息都包含一個以會話金鑰（session key）產生的簽章，這也會造成網路效能下降。微軟建議管理員增加實體或虛擬CPU核心，或用更快、更新的CPU。

雖然不建議用戶關閉Windows用戶端及伺服器的SMB簽章，但微軟還是提供了檢視SMB登入設定，以及在Windows用戶端及伺服器關閉SMB安全登入要求的PowerShell指令。