Защита трафика SMB от перехвата

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

В этой статье вы узнаете о некоторых способах использования злоумышленником методов перехвата в протоколе SMB и способах устранения атаки. Основные понятия помогут вам разработать собственную стратегию защиты для протокола SMB.

Что такое атака перехвата?

Атака злоумышленника в середине (AITM) намерена изменить сетевое взаимодействие между клиентом и сервером, что позволяет субъекту угрозы перехватывать трафик. После перехвата злоумышленник может иметь возможность подделывать, изменять, раскрывать или запрещать доступ к данным организации или учетным данным учетной записи.

Многие организации используют SMB для обмена файлами между пользователями и поддержки других приложений или технологий, таких как службы домен Active Directory. Благодаря такому широкому внедрению SMB является как популярным объектом для злоумышленников, так и имеет потенциал для влияния на широкое предприятие.

Например, атака AITM может использоваться для промышленного или государственного шпионажа, вымогательства или поиска конфиденциальных данных безопасности, хранящихся в файлах. Он также может использоваться в рамках более широкой атаки, чтобы позволить злоумышленнику передвигаться в сети или нацеливать на несколько конечных точек.

Атаки постоянно развиваются, при этом злоумышленники часто используют комбинацию установленных и новых методов. При защите системы от перехвата SMB существует две основные цели:

• Уменьшите количество доступных методов атаки.
• Защитите пути, которые вы представляете пользователям.

Благодаря разнообразию технологий и клиентов во многих организациях, хорошо объединяемая защита будет сочетать несколько методов и будет следовать принципам нулевого доверия. Дополнительные сведения о нулевом доверии см. в статье "Что такое нулевое доверие?".

Теперь вы узнаете о некоторых типичных конфигурациях лучших практик, чтобы снизить риск перехвата SMB.

Уменьшение доступных методов атаки

Чтобы защитить систему от атак перехвата SMB, сначала необходимо уменьшить область атаки. Поверхности атак — это места, где ваша система уязвима для киберугроз и компрометации.

В следующих разделах мы обсудим некоторые из основных шагов, которые необходимо предпринять для уменьшения области атаки.

Установка обновлений

Регулярно устанавливайте все доступные обновления безопасности как на Windows Server, так и на клиентских системах, как можно скорее после их выпуска, насколько это позволяет ваша организация. Установка последних обновлений системы безопасности — самый быстрый и самый простой способ защитить системы от текущих известных уязвимостей безопасности, влияющих не только на SMB, но и на все продукты и службы Майкрософт.

Обновления системы безопасности можно установить с помощью нескольких различных методов в зависимости от требований организации. Типичные методы:

• Управление обновлениями Azure
• Центр обновления Windows
• Службы Windows Server Update Services (WSUS)
• Обновления программного обеспечения в Endpoint Configuration Manager

Рекомендуется подписываться на уведомления в руководстве по обновлению безопасности Центра безопасности Майкрософт (MSRC). Система уведомлений по обновлению безопасности сообщит вам, когда обновления программного обеспечения публикуются для решения новых и существующих распространенных уязвимостей и уязвимостей (CVEs).

Удалите SMB 1.0

Вы должны удалить или отключить функцию SMB 1.0 со всех серверов Windows и клиентов, которые не требуют его. Для систем, для которых требуется SMB 1.0, необходимо перейти к SMB 2.0 или выше как можно скорее. Начиная с Windows 10 Fall Creators Update и Windows Server 2019, SMB 1.0 больше не устанавливается по умолчанию.

Совет

Windows 10 Домашняя и Windows 10 Pro по-прежнему содержат клиент SMB 1.0 по умолчанию после чистой установки или обновления на месте. Это поведение изменится в Windows 11, дополнительные сведения см. в статье SMB1 теперь отключён по умолчанию для сборок Windows 11 для участников программы предварительной оценки (Home).

Удаление SMB 1.0 защищает ваши системы, устраняя несколько известных уязвимостей безопасности. SMB 1.0 не имеет функций безопасности SMB 2.0 и более поздних версий, которые помогают защитить от перехвата. Например, чтобы предотвратить скомпрометированное подключение, SMB версии 3.0 или более поздней использует целостность предварительной аутентификации, шифрование и подпись. Дополнительные сведения см. в статье об улучшениях безопасности SMB.

Перед удалением функции SMB 1.0 убедитесь, что ни одно из приложений или процессов на компьютере не зависит от нее. Дополнительные сведения об обнаружении и отключении SMB 1.0 см. в статье Обнаружение, включение и отключение SMBv1, SMBv2 и SMBv3 в Windows.

Вы также можете использовать средство файлов и обмена файлами Windows Admin Center , чтобы быстро включить аудит подключений клиентов SMB 1 и удалить SMB 1.

Отключить гостевую проверку подлинности и фолбэк

В SMB 1.0 при сбое учетных данных пользователя клиент SMB попытается получить гостевой доступ. Начиная с Windows 10 версии 1709 и Windows Server 2019, клиенты SMB2 и SMB3 больше не разрешают доступ к гостевой учетной записи или откат к гостевой учетной записи по умолчанию. Необходимо использовать SMB 2.0 или более поздней версии и отключить использование гостевого доступа SMB в любых системах, где гостевой доступ по умолчанию не отключен.

Совет

выпуски Windows 11 Домашняя и Pro не отличаются от предыдущего поведения по умолчанию; они разрешают проверку подлинности гостей по умолчанию.

Когда гостевой доступ отключен, это предотвращает попытки злоумышленников создать сервер и обмануть пользователей, используя гостевой доступ. Например, когда пользователь обращается к поддельной общей папке, их учетные данные не проходят проверку, и SMB 1.0 возвращается к использованию гостевого доступа. Отключение гостевого доступа останавливает подключение сеанса SMB, предотвращая доступ пользователя к общей папке и любым вредоносным файлам.

Чтобы предотвратить использование гостевого резервного механизма на клиентах Windows SMB, где гостевой доступ не отключён по умолчанию (включая Windows Server):

Групповая политика

1. Откройте Консоль управления групповыми политиками.
2. В дереве консоли выберите Конфигурация компьютера > Административные шаблоны > Сеть > Lanman Workstation.
3. Для параметра щелкните правой кнопкой мыши Включить небезопасные гостевые входы и выберите команду Изменить.
4. Выберите Включено и нажмите кнопку ОК.

PowerShell

В командной строке PowerShell с повышенными привилегиями выполните следующие команды:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $false -Confirm:$false 

Дополнительные сведения о поведении гостевого доступа по умолчанию см. в статье "Гостевой доступ" в SMB2 и SMB3, отключенных по умолчанию в Windows.

Отключение протокола WebDAV

Клиенты Windows могут не нуждаться в работе службы WebClient. Служба предоставляет протокол веб-распределенного разработки и управления версиями (WebDAV). Если клиенты не получают доступ к общим папкам SMB по протоколу HTTP или HTTPS с помощью WebDAV, можно отключить службу.

Когда пользователи получают доступ к файлам с помощью WebDAV, нет метода принудительного подключения на основе TLS через HTTPS. Например, сервер может быть настроен на требование подписи или шифрования SMB, однако веб-client может подключиться к HTTP/80, если WebDAV включен. Любое результирующее подключение будет незашифровано независимо от конфигурации SMB.

Параметры групповой политики можно использовать для отключения службы на большом количестве компьютеров, когда вы будете готовы к реализации. Дополнительные сведения о настройке параметров групповой политики см. в разделе "Настройка элемента службы".

Ограничьте исходящие адреса SMB

Блокировать исходящий трафик SMB на устройства за пределами сети как минимум. Блокировка исходящего SMB предотвращает отправку данных во внешние конечные точки. Злоумышленники часто прибегают к подделке, изменению или фишинговым атакам, пытаясь направить пользователей на вредоносные узлы, замаскированные под дружественные ссылки или ярлыки в электронных письмах или других файлах. Дополнительные сведения о блокировке исходящего доступа SMB см. в статье о защищенном трафике SMB в Windows Server .

Берите этот принцип дальше, введя микро-периметры и микро-сегментацию в архитектуру. Блокировка исходящего трафика SMB во внешних сетях помогает предотвратить прямую кражу данных в Интернет, однако современные атаки используют расширенные методы для косвенного получения доступа путем атак других систем, а затем бокового перемещения в вашей сети. Микро-периметры и микро-сегментация нацелены на сокращение числа систем и пользователей, которые могут напрямую подключаться к вашей общей папке SMB, если в этом нет явной необходимости. Узнайте больше о сегментации сети в рамках руководства по нулевому доверию.

Защита протокола

Вторая цель — обеспечить безопасность путей между пользователями и их данными, известной как защита от передачи данных. Защита от передачи данных обычно включает использование шифрования, защиты интерфейса и удаления небезопасных протоколов, чтобы повысить устойчивость к атаке.

В следующих разделах мы обсудим некоторые основные шаги, которые необходимо предпринять для защиты протокола SMB.

Использование SMB 3.1.1

Windows всегда согласовывает самый высокий доступный протокол, убедитесь, что устройства и компьютеры поддерживают SMB 3.1.1.

SMB 3.1.1 доступна начиная с Windows 10 и Windows Server 2016. SMB 3.1.1 включает новую обязательную функцию безопасности, называемую целостностью предаутентификации. Перед проверкой подлинности подписывает или шифрует ранние этапы подключений SMB, чтобы предотвратить изменение сообщений о настройке переговоров и сеансов с помощью криптографического хэширования.

Хэширование криптографических данных означает, что клиент и сервер могут взаимно доверять свойствам подключения и сеанса. Проверка целостности данных до аутентификации заменяет безопасное согласование диалекта введенное в SMB 3.0. Невозможно отключить целостность предварительной проверки подлинности, но если клиент использует более старый диалект, он не будет использоваться.

Вы можете дополнительно повысить уровень безопасности, обязав использовать SMB 3.1.1 как минимум. Чтобы задать минимальный диалект SMB 3.1.1, из командной строки PowerShell с повышенными привилегиями выполните следующие команды:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MinSMB2Dialect" -Value 0x000000311
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MaxSMB2Dialect" -Value 0x000000311

Дополнительные сведения о настройке минимального и максимального диалекта SMB, используемого в Windows Server и Windows, см. в разделе Управление диалектами SMB в Windows.

Использование защиты UNC для обязательной подписи, шифрования и взаимной проверки подлинности

Включите защиту UNC для всех общих папок SMB, требуя по крайней мере взаимной проверки подлинности (Kerberos) и целостности (подписывание SMB). Кроме того, следует рассмотреть возможность оценки конфиденциальности (шифрования SMB) вместо подписывания SMB. Нет необходимости настраивать как подпись SMB, так и шифрование, так как шифрование неявно включает подписи, используемые для подписывания.

Внимание

Шифрование SMB было введено с SMB 3 в Windows 8 и Windows Server 2012. Не следует требовать шифрования, если все компьютеры не поддерживают SMB 3.0 или более поздней версии, или если это сторонние устройства с поддержкой SMB 3 и шифрования. Если вы настраиваете шифрование SMB на клиентах или путях UNC, размещенных на серверах, не поддерживающих шифрование SMB, клиент SMB не сможет получить доступ к указанному пути. Кроме того, если вы настроите сервер для шифрования SMB и к нему обращаются клиенты, которые не поддерживают его, эти клиенты снова не смогут получить доступ к пути.

UNC Hardening дает возможность проверить UNC-пути для заданных параметров безопасности и отклонить подключение, если сервер не мог их удовлетворить. Начиная с Windows Server 2016 и Windows 10, UNC Hardening включен по умолчанию для общих папок SYSVOL и NETLOGON на контроллерах домена. Это очень эффективное средство против спуфинга и подделки, так как клиент может удостоверить подлинность сервера и проверить целостность полезных данных SMB.

При настройке защиты UNC можно указать различные UNC-шаблоны пути. Например:

• \\<Server>\<Share> — запись конфигурации применяется к ресурсу с указанным именем на указанном сервере.
• \\*\<Share> — Запись конфигурации применяется к общей папке с указанным именем на любом сервере.
• \\<Server>\* — Запись конфигурации применяется к любой общей папке на указанном сервере.

Групповую политику можно использовать для применения функции защиты UNC к большому количеству компьютеров, когда будете готовы внедрить её. Дополнительные сведения о настройке защиты UNC с помощью групповой политики см. в бюллетене по безопасности MS15-011.

Сопоставление дисков по запросу с обязательной подписью или шифрованием

Помимо защиты UNC, при сопоставлении сетевых дисков можно использовать подпись или шифрование. Начиная с Windows версии 1709 и более поздних версий, вы можете создавать зашифрованные или подписанные сопоставленные диски по требованию с помощью Windows PowerShell или командной строки. Для сопоставления дисков можно использовать NET USE команду или команду PowerShell New-SmbMapping , указав параметры RequireIntegrity (подпись) или RequirePrivacy (шифрование).

Команды можно использовать администраторами или включать в скрипты для автоматизации сопоставления дисков, требующих проверки шифрования или целостности.

Параметры не изменяют способ подписывания или шифрования, а также требования к диалекту. Если вы пытаетесь сопоставить диск, и сервер отказывается соблюдать ваши требования к подписи или шифрованию, сопоставление дисков завершится ошибкой, чтобы избежать небезопасного подключения.

Узнайте о синтаксисе и параметрах команды New-SmbMapping в справочной статье New-SmbMapping.

За пределами SMB

Остановите использование NTLM и увеличьте безопасность Kerberos. Сначала можно включить аудит для использования NTLM, а затем просмотреть журналы, чтобы найти, где используется NTLM.

Удаление NTLM помогает защитить вас от распространенных атак, таких как pass-the-hash, brute-force или радужные хэш-таблицы из-за использования более старой функции шифрования MD4/MD5. NTLM также не может проверить удостоверение сервера, в отличие от более современных протоколов, таких как Kerberos, что делает его уязвимым для атак ретранслятора NTLM. Многие из этих распространенных атак легко устраняются с помощью Kerberos.

Сведения об аудите NTLM в рамках усилий по началу перехода на Kerberos см. в статье об оценке использования NTLM. Вы также можете узнать об обнаружении небезопасных протоколов с помощью Azure Sentinel в статье блога Руководство по внедрению рабочей книги небезопасных протоколов Azure Sentinel.

Параллельно с удалением NTLM, рекомендуется добавить дополнительные уровни защиты против атак в автономном режиме и попыток захвата билетов. При повышении безопасности Kerberos используйте следующие элементы в качестве руководства.

1. Развертывание Windows Hello для бизнеса или смарт-карт — двухфакторная проверка подлинности с помощью Windows Hello для бизнеса добавляет весь новый уровень защиты. Узнайте о Windows Hello для бизнеса.
2. Применение длинных паролей и фраз - Мы рекомендуем использовать более длинные пароли, например, 15 символов или больше, чтобы снизить уязвимость к атакам методом перебора. Кроме того, следует избегать распространенных слов или фраз, чтобы сделать пароль еще сильнее.
3. Развертывание защиты паролей Microsoft Entra для служб домен Active Directory. Используйте защиту паролей идентификатора Майкрософт, чтобы заблокировать известные слабые пароли и термины, относящиеся к вашей организации. Дополнительные сведения см. в статье "Принудительное применение локальной защиты паролей Microsoft Entra Password Protection для служб домен Active Directory".
4. Использование групповых управляемых учетных записей служб (gMSA) — службы с поддержкой gMSA с их случайной конструкцией из 127 символов делают атаки перебора и на основе словаря для взлома паролей невероятно трудоемкими. Ознакомьтесь с тем, что такое gMSAs, в статье "Обзор управляемых сервисных учетных записей группы".
5. Укрепление Kerberos, известное как гибкая проверка подлинности с использованием Secure Tunneling (FAST) — FAST предотвращает Kerberoasting, так как данные предварительной проверки подлинности пользователя защищены и больше не подвергаются автономным атакам методом подбора или словаря. Он также предотвращает атаки по понижению уровня защиты от подделанных серверов KDC, чтобы узнать больше, изучите Kerberos Armoring.
6. Используйте Credential Guard в Защитнике Windows — Credential Guard усложняет локальное компрометирование билетов, предотвращая кражу билетов для получения и кэшированных сервисных билетов. Дополнительные сведения см. в статье о том, как работает Credential Guard в Windows Defender.
7. Рекомендуется использовать SCRIL: смарт-карта, необходимая для интерактивного входа . При развертывании SCRIL AD изменяет пароль пользователя на случайный 128-разрядный набор, который пользователи больше не могут использовать для входа в интерактивном режиме. SCRIL обычно подходит только для сред с определенными требованиями к безопасности. Дополнительные сведения о стратегиях без пароля см. в статье "Настройка учетных записей пользователей для запрета проверки подлинности паролей".

Следующие шаги

Теперь, когда вы узнали о некоторых средствах управления безопасностью и мерах по снижению рисков для предотвращения перехвата SMB, вы поймете, что не существует единственного шага для предотвращения всех атак перехвата. Цель заключается в создании продуманного, комплексного и приоритетного сочетания способов снижения рисков, охватывающих несколько технологий за счет многоуровневой защиты.

Дополнительные сведения об этих понятиях см. в следующих статьях.

• Безопасный трафик SMB в Windows Server.
• Улучшения системы безопасности SMB
• Целостность предаутентификации SMB 3.1.1 в Windows 10
• Безопасность SMB 2 и SMB 3 в Windows 10: анатомия подписи и криптографических ключей
• Центр рекомендаций по нулевому доверию