Compartilhar via


Proteger o tráfego SMB contra interceptação

Neste artigo, você aprenderá mais sobre algumas das maneiras pelas quais um invasor pode usar técnicas de interceptação no protocolo SMB e como você pode atenuar um ataque. Os conceitos darão suporte ao desenvolvimento da sua estratégia de proteção detalhada para o protocolo SMB.

O que é um ataque de interceptação?

Um ataque AITM adversary-in-the-middle) pretende modificar a comunicação de rede entre um cliente e um servidor, permitindo que um ator de ameaça intercepte o tráfego. Após a interceptação, um ator mal-intencionado pode ter a capacidade de falsificar, adulterar, divulgar ou negar acesso aos dados ou às credenciais de conta da sua organização.

Muitas organizações dependem do SMB para compartilhar arquivos entre usuários e para dar suporte a outros aplicativos ou tecnologias, como o Active Directory Domain Services. Com uma adoção tão ampla, o SMB é um alvo popular para invasores e tem o potencial de impacto em todo o negócio.

Por exemplo, um ataque AITM pode ser usado para espionagem de nível industrial ou de estado, extorsão ou localização de dados confidenciais de segurança armazenados em arquivos. Também pode ser usado como parte de um ataque mais amplo para permitir que o invasor se mova lateralmente na rede ou para atingir vários pontos de extremidade.

Os ataques estão em constante evolução, com os invasores geralmente usando uma combinação de técnicas estabelecidas e novas. Ao proteger seu sistema contra a interceptação SMB, há duas metas principais:

  • Reduzir o número de métodos de ataque disponíveis.
  • Proteger os caminhos que você apresenta aos usuários.

Devido à diversidade de tecnologia e clientes em muitas organizações, uma defesa variada combinará vários métodos e seguirá os princípios de Confiança Zero. Saiba mais sobre a Confiança Zero no artigo O que é a Confiança Zero?.

Agora você conhecerá algumas das configurações típicas de boas práticas para reduzir o risco de interceptação SMB.

Como reduzir os métodos de ataque disponíveis

Para proteger seu sistema contra ataques de interceptação SMB, sua primeira etapa deverá ser reduzir a superfície de ataque. As superfícies de ataque são locais em que o seu sistema está vulnerável a ameaças cibernéticas e comprometimento.

Nas seções a seguir, discutiremos algumas das etapas básicas que você deve seguir para reduzir a superfície de ataque.

Instalar as atualizações

Instale regularmente todas as atualizações de segurança disponíveis nos sistemas Windows Server e cliente o mais próximo da versão quanto a sua organização permita. Instalar as atualizações de segurança mais recentes é a maneira mais rápida e fácil de proteger seus sistemas contra vulnerabilidades de segurança conhecidas atuais que afetam não apenas o SMB, mas todos os produtos e serviços da Microsoft.

Você pode instalar atualizações de segurança usando alguns métodos diferentes, dependendo dos requisitos da sua organização. Os métodos típicos são:

Considere a possibilidade de assinar notificações no Guia de Atualização de Segurança do MSRC (Microsoft Security Response Center). O Sistema de Notificação do Guia de Atualização de Segurança informará quando as atualizações de software forem publicadas para resolver CVEs (Vulnerabilidades e Exposições Comuns) novas e existentes.

Remover o SMB 1.0

Você deve remover ou desabilitar o recurso SMB 1.0 em todos os Windows Servers e nos clientes que não o exigem. Para os sistemas que exigem o SMB 1.0, você deve migrar para o SMB 2.0 ou superior o mais rápido possível. A partir do Windows 10 Fall Creators Update e do Windows Server 2019, o SMB 1.0 não é mais instalado por padrão.

Dica

O Windows 10 Home e Windows 10 Pro ainda contêm o cliente SMB 1.0 por padrão após uma instalação limpa ou atualização in-loco. Esse comportamento está mudando no Windows 11. Leia mais no artigo SMB 1 já desabilitado por padrão para builds do Windows 11 Home Insiders.

A remoção do SMB 1.0 protege seus sistemas eliminando várias vulnerabilidades de segurança conhecidas. O SMB 1.0 não tem os recursos de segurança do SMB 2.0 e posterior que ajudam na proteção contra interceptação. Por exemplo, para evitar uma conexão comprometida, o SMB 3.0 ou posterior usa integridade, criptografia e assinatura de pré-autenticação. Saiba mais no artigo Aprimoramentos de segurança do SMB.

Antes de remover o recurso SMB 1.0, verifique se nenhum aplicativo e processo no computador precisa dele. Para obter mais informações sobre como detectar e desabilitar o SMB 1.0, confira o artigo Como detectar, habilitar e desabilitar o SMBv1, o SMBv2 e o SMBv3 no Windows.

Use também a ferramenta Arquivos e compartilhamento de arquivos do Windows Admin Center para habilitar rapidamente a auditoria de conexões de cliente SMB 1 e desinstalar o SMB 1.

Desabilitar a autenticação de convidado e o fallback

No SMB 1.0, quando houver uma falha nas credenciais de um usuário, o cliente SMB tentará o acesso de convidado. A partir do Windows 10, versão 1709 e do Windows Server 2019, os clientes SMB2 e SMB3 não permitem mais o acesso de conta convidado ou o fallback à conta convidado por padrão. Você deve usar o SMB 2.0 ou superior e desabilitar o uso do acesso de convidado via SMB em qualquer sistema em que o acesso de convidado não esteja desabilitado por padrão.

Dica

As edições Windows 11 Home e Pro permanecem inalteradas em relação ao comportamento padrão anterior: elas permitem a autenticação de convidado por padrão.

Quando o acesso de convidado é desabilitado, isso impede que um ator mal-intencionado crie um servidor e engane os usuários a acessá-lo usando o acesso de convidado. Por exemplo, quando um usuário acessa o compartilhamento falsificado, as credenciais dele falham e o SMB 1.0 recorre ao uso do acesso de convidado. Desabilitar o acesso de convidado impede que a sessão SMB se conecte, impedindo que o usuário acesse o compartilhamento e qualquer arquivo mal-intencionado.

Para impedir o uso do fallback de convidado em clientes SMB do Windows em que o acesso de convidado não é desabilitado por padrão (incluindo o Windows Server):

  1. Abra o Console de Gerenciamento de Diretiva de Grupo.
  2. Na árvore de console, selecione Configuração do Computador > Modelos Administrativos > Rede > Estação de Trabalho Lanman.
  3. Para a configuração, clique com o botão direito do mouse em Habilitar logons de convidado não seguros e selecione Editar.
  4. Selecione Habilitado e OK.

Para saber mais sobre o comportamento padrão de acesso de convidado, leia o artigo Acesso de convidado no SMB2 e no SMB3 desabilitado por padrão no Windows.

Desabilitar o protocolo WebDAV

Talvez os clientes Windows não exijam que o serviço WebClient esteja em execução. O serviço fornece o protocolo WebDAV. Se os clientes não estiverem acessando compartilhamentos SMB via HTTP ou HTTPS por meio do WebDAV, você poderá desabilitar o serviço.

Quando os usuários acessam arquivos por meio do WebDAV, não há nenhum método para forçar uma conexão baseada em TLS via HTTPS. Por exemplo, seu servidor pode estar configurado para exigir a assinatura ou a criptografia SMB, porém, o Webclient poderá se conectar a HTTP/80 se o WebDAV tiver sido habilitado. Qualquer conexão resultante será descriptografada, independentemente da configuração do SMB.

Use a opção Preferências de Política de Grupo para desabilitar o serviço em um grande número de computadores quando estiver pronto para implementação. Para obter mais informações sobre como configurar as Preferências da Política de Grupo, consulte Configurar um item de serviço.

Restringir os destinos SMB de saída

Bloqueie o tráfego SMB de saída para os dispositivos fora da rede como um requisito mínimo. Bloquear o SMB de saída impede que os dados sejam enviados para pontos de extremidade externos. Em geral, os atores mal-intencionados tentam usar ataques de falsificação, adulteração ou phishing que tentam enviar os usuários para pontos de extremidade mal-intencionados disfarçados de links amigáveis ou atalhos em emails ou em outros arquivos. Para saber mais sobre como bloquear o acesso SMB de saída, leia o artigo Proteger o tráfego SMB no Windows Server.

Leve esse princípio adiante introduzindo microperímetros e microssegmentação na sua arquitetura. Bloquear o tráfego SMB de saída para redes externas ajuda a evitar a exfiltração direta dos dados para a Internet. No entanto, ataques modernos usam técnicas avançadas para obter acesso indiretamente atacando outros sistemas e, em seguida, movendo-se lateralmente dentro da rede. Os microperímetros e a microssegmentação visam a reduzir o número de sistemas e usuários que podem se conectar diretamente ao compartilhamento SMB, a menos que eles precisem disso explicitamente. Saiba mais sobre a Segmentação de rede como parte das nossas Diretrizes de Confiança Zero.

Proteger o protocolo

Sua segunda meta é proteger os caminhos entre os usuários e os respectivos dados, conhecido como proteção de dados em trânsito. A proteção de dados em trânsito normalmente envolve o uso de criptografia, a proteção de interface e a remoção de protocolos não seguros para aprimorar sua resistência a ataques.

Nas seções a seguir, discutiremos algumas das etapas básicas que você deve seguir para proteger o protocolo SMB.

Usar o SMB 3.1.1

O Windows sempre negocia com o protocolo mais alto disponível. Verifique se os dispositivos e os computadores dão suporte ao SMB 3.1.1.

O SMB 3.1.1 está disponível a partir do Windows 10 e do Windows Server 2016. O SMB 3.1.1 inclui um novo recurso de segurança obrigatório chamado integridade de pré-autenticação. A integridade de pré-autenticação assina ou criptografa as fases iniciais das conexões SMB para evitar a adulteração de mensagens de Negociação e Instalação de Sessão usando um hash de criptografia.

O hash de criptografia significa que o cliente e o servidor podem confiar mutuamente nas propriedades da conexão e da sessão. A integridade de pré-autenticação substitui a negociação de dialeto seguro introduzida no SMB 3.0. Não é possível desativar a integridade de pré-autenticação, mas se um cliente usar um dialeto mais antigo, ele não será usado.

Você pode aprimorar ainda mais sua postura de segurança forçando o uso do SMB 3.1.1 como um requisito mínimo. Para definir o dialeto SMB mínimo como 3.1.1, em um prompt do PowerShell com privilégios elevados, execute os seguintes comandos:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MinSMB2Dialect" -Value 0x000000311
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MaxSMB2Dialect" -Value 0x000000311

Para aprender a definir o dialeto SMB mínimo e máximo usado no Windows Server e no Windows, consulte Gerenciar dialetos SMB no Windows.

Usar a proteção UNC para exigir a assinatura, a criptografia e a autenticação mútua

Habilite a proteção UNC para todos os compartilhamentos SMB exigindo, no mínimo, a autenticação mútua (Kerberos) e a integridade (assinatura SMB). Você também deve considerar a possibilidade de avaliar a privacidade (criptografia SMB) em vez de a assinatura SMB. Não é necessário configurar a assinatura e a criptografia SMB, porque a criptografia inclui implicitamente as assinaturas usadas pela assinatura.

Cuidado

A criptografia SMB foi introduzida com o SMB 3 no Windows 8 e no Windows Server 2012. Você não deve exigir a criptografia, a menos que todos os computadores deem suporte ao SMB 3.0 ou posterior ou sejam terceiros com suporte à criptografia e ao SMB 3. Se você configurar a criptografia SMB em clientes ou caminhos UNC hospedados por servidores que não dão suporte à criptografia SMB, o cliente SMB não poderá acessar o caminho especificado. Além disso, se você configurar seu servidor para a criptografia SMB e ele for acessado por clientes que não dão suporte a ela, esses clientes não poderão acessar o caminho novamente.

A proteção UNC oferece a capacidade de verificar caminhos UNC em busca de configurações de segurança obrigatórias e se recusará a se conectar se um servidor não puder segui-las. A partir do Windows Server 2016 e do Windows 10, a proteção UNC é habilitada por padrão para compartilhamentos SYSVOL e NETLOGON em controladores de domínio. É uma ferramenta altamente eficaz contra falsificação e adulteração, porque o cliente pode autenticar a identidade do servidor e validar a integridade das cargas SMB.

Ao configurar a proteção UNC, você pode especificar vários padrões de caminho UNC. Por exemplo:

  • \\<Server>\<Share> – A entrada de configuração se aplica ao compartilhamento que tem o nome especificado no servidor especificado.
  • \\*\<Share> – A entrada de configuração se aplica ao compartilhamento que tem o nome especificado em qualquer servidor.
  • \\<Server>\* – A entrada de configuração se aplica a qualquer compartilhamento no servidor especificado.

Use a Política de Grupo para aplicar o recurso de proteção UNC a um grande número de computadores quando estiver pronto para implementá-lo. Para obter mais informações sobre como configurar a proteção UNC por meio da Política de Grupo, confira o boletim de segurança MS15-011.

Mapear unidades sob demanda com assinatura ou criptografia obrigatória

Além da proteção UNC, você pode usar a assinatura ou a criptografia ao mapear unidades de rede. A partir do Windows versão 1709 e posterior, você pode criar unidades mapeadas criptografadas ou assinadas sob demanda usando o Windows PowerShell ou o prompt de comando. Use o comando NET USE ou o comando New-SmbMapping do PowerShell para mapear unidades especificando os parâmetros RequireIntegrity (assinatura) ou RequirePrivacy (criptografia).

Os comandos podem ser usados por administradores ou incluídos em scripts para automatizar o mapeamento de unidades que exigem verificações de criptografia ou de integridade.

Os parâmetros não alteram a forma como a assinatura ou a criptografia funciona nem os requisitos do dialeto. Se você tentar mapear uma unidade e o servidor se recusar a atender às suas necessidades de assinatura ou de criptografia, o mapeamento de unidade falhará em vez de se conectar de maneira não segura.

Saiba mais sobre a sintaxe e os parâmetros do comando New-SmbMapping no artigo de referência New-SmbMapping.

Requisitos além do SMB

Pare de usar o NTLM e aumente a segurança do Kerberos. Você pode começar habilitando a auditoria para uso do NTLM e examinando os logs para descobrir os locais em que o NTLM é usado.

A remoção do NTLM ajuda a proteger você contra ataques comuns, como Pass-the-Hash, força bruta ou tabelas de hash arco-íris devido ao uso da função de hash de criptografia MD4/MD5 mais antiga. O NTLM também não pode verificar a identidade do servidor, ao contrário de protocolos mais recentes, como Kerberos, tornando-o vulnerável também a ataques de retransmissão NTLM. Muitos desses ataques comuns são atenuados de maneira fácil com o Kerberos.

Para saber como auditar o NTLM como parte do seu esforço para iniciar a transição para o Kerberos, confira o artigo Como avaliar o uso do NTLM. Além disso, leia mais sobre como detectar protocolos não seguros usando o Azure Sentinel no artigo do blog Guia de Implementação da Pasta de Trabalho de Protocolos não Seguros do Azure Sentinel.

Em paralelo à remoção do NTLM, você deve considerar a possibilidade adicionar mais camadas de proteção para ataques offline e de passagem de tíquetes. Use os itens a seguir como um guia ao aprimorar a segurança do Kerberos.

  1. Implantar o Windows Hello para Empresas ou os cartões inteligentes – A autenticação de dois fatores com o Windows Hello para Empresas adiciona uma nova camada inteira de proteção. Saiba mais sobre o Windows Hello para Empresas.
  2. Impor senhas e frases longas – Incentivamos o uso de comprimentos de senha mais longos, como 15 caracteres ou mais, para reduzir sua resistência a ataques de força bruta. Você também deve evitar usar palavras ou frases comuns para tornar sua senha ainda mais forte.
  3. Implantar a proteção por senha do Microsoft Entra para Serviços de Domínio do Active Directory do Azure: use a Proteção de senha local do Microsoft Entra ID para bloquear senhas fracas conhecidas e termos específicos da sua organização. Para saber mais, consulte Impor Proteção de senha local do Microsoft Entra ID para o Domínio do Active Directory.
  4. Usar a gMSA (contas de serviço gerenciado por grupo) – Os serviços habilitados para gMSA com a construção de 127 caracteres aleatórios tornam incrivelmente demorados os ataques de força bruta e de dicionário destinados a adivinhar senhas. Leia sobre o que são gMSAs no artigo Visão geral das contas de serviço gerenciado por grupo.
  5. Kerberos Armoring, conhecido como FAST (Flexible Authentication Secure Tunneling) – O FAST impede o Kerberoasting, porque os dados de pré-autenticação do usuário ficam protegidos e não estão mais sujeitos a ataques de força bruta ou de dicionário offline. Ele também impede ataques de downgrade de KDCs falsificados. Para saber mais, confira Kerberos Armoring.
  6. Usar o Windows Defender Credential Guard – O Credential Guard dificulta o comprometimento local dos tíquetes, impedindo que a concessão de tíquetes e os tíquetes de serviço armazenados em cache sejam roubados. Saiba mais no artigo Como funciona o Windows Defender Credential Guard.
  7. Considere a exigência do SCRIL: Cartão Inteligente Necessário para Logon Interativo – Quando você implanta o SCRIL, o AD altera a senha do usuário para um conjunto aleatório de 128 bits que os usuários não podem mais usar para se conectar de maneira interativa. Normalmente, o SCRIL é adequado apenas para ambientes com requisitos de segurança específicos. Para saber mais sobre as estratégias sem senha, confira Como configurar contas de usuário para não permitir a autenticação de senha.

Próximas etapas

Agora que você aprendeu sobre alguns dos controles de segurança e mitigações para evitar a interceptação SMB, entenderá que não há uma só etapa para evitar todos os ataques de interceptação. A meta é criar uma combinação equilibrada, holística e priorizada de mitigações de risco que abrangem várias tecnologias por meio de defesas em camadas.

Continue aprendendo mais sobre esses conceitos nos artigos abaixo.