圖片來源: 

Sunrise King on unsplash

微軟最新Windows 11更新測試版將讓Windows裝置要求以SMB簽章登入才能連線,以防範NTLM Relay攻擊。但管理員需有網路效能降低的心理準備。

最新的Windows 11 Insider Preview Build企業版25381上周釋出到Canary通道。從這個版本開始,Windows伺服器或用戶端都會預設要求所有連線都需使用SMB簽章。SMB簽章又稱安全性簽章(security signature)。

SMB(Server Message Block)通訊協定是用於檔案與印表機共用,以及遠端Windows機器等網路環境的管理。為防止SMB封包傳輸時遭中間人攻擊(man-in-the-middle,MITM),SMB協定可支援SMB封包的簽章。啟用SMB簽章登入可防範攻擊者冒充合法用戶端電腦或伺服器,以攔截會話(session)取得重要用戶憑證接管網域,或在網路Windows用戶端植入惡意程式,像是2020年Zerologon或是2021年稱為PetitPotam的Windows NTLM漏洞

在最新宣布之前,管理員可設定(最低為SMBv2的)Windows用戶端及伺服器端是不是強制要求外部裝置以SMB簽章登入。Windows10或11原本預設,只有在連到名為Sysvol或Netlogon的網路磁碟機,以及AD網域控制器對欲連線的電腦才要求SMB安全登入。

現在所有Windows用戶端及伺服器都已支援SMB簽章登入,但第三方伺服器或服務可能會關閉或不支援。如果用戶想登入不允許SMB登入的遠端共用服務,會接到錯誤訊息。微軟建議用戶最好設定第三方共用服務的SMB伺服器支援,而不應關閉Windows上的SMB簽章登入,或使用微軟已經不支援的SMB1。微軟警告,不支援SMB安全登入的裝置,會造成惡意人士攔截訊息或中繼攻擊(relay attack)。

不過啟用SMB簽章讓每個SMB訊息都包含一個以會話金鑰(session key)產生的簽章,這也會造成網路效能下降。微軟建議管理員增加實體或虛擬CPU核心,或用更快、更新的CPU。

雖然不建議用戶關閉Windows用戶端及伺服器的SMB簽章,但微軟還是提供了檢視SMB登入設定,以及在Windows用戶端及伺服器關閉SMB安全登入要求的PowerShell指令。

熱門新聞

Advertisement