Защита трафика SMB от перехвата

В этой статье вы узнаете о некоторых способах использования злоумышленником методов перехвата в протоколе SMB и способах устранения атаки. Основные понятия помогут вам разработать собственную стратегию защиты для протокола SMB.

Что такое атака перехвата?

Атака злоумышленника в середине (AITM) намерена изменить сетевое взаимодействие между клиентом и сервером, что позволяет субъекту угрозы перехватывать трафик. После перехвата злоумышленник может иметь возможность подделывать, изменять, раскрывать или запрещать доступ к данным организации или учетным данным учетной записи.

Многие организации используют SMB для обмена файлами между пользователями и поддержки других приложений или технологий, таких как службы домен Active Directory. Благодаря такому широкому внедрению SMB является как популярным объектом для злоумышленников, так и имеет потенциал для влияния на широкое предприятие.

Например, атака AITM может использоваться для промышленного или государственного шпионажа, вымогательства или поиска конфиденциальных данных безопасности, хранящихся в файлах. Он также может использоваться в рамках более широкой атаки, чтобы позволить злоумышленнику передвигаться в сети или нацеливать на несколько конечных точек.

Атаки постоянно развиваются, при этом злоумышленники часто используют комбинацию установленных и новых методов. При защите системы от перехвата SMB существует две основные цели:

• Уменьшите количество доступных методов атаки.
• Защитите пути, которые вы представляете пользователям.

Благодаря разнообразию технологий и клиентов во многих организациях, хорошо объединяемая защита будет сочетать несколько методов и будет следовать принципам нулевого доверия. Дополнительные сведения о нулевом доверии см. в статье "Что такое нулевое доверие?".

Теперь вы узнаете о некоторых типичных конфигурациях рекомендаций, чтобы снизить риск перехвата SMB.

Уменьшение доступных методов атаки

Чтобы защитить систему от атак перехвата SMB, сначала необходимо уменьшить область атаки. Поверхности атак — это места, где ваша система уязвима для киберугроз и компрометации.

В следующих разделах мы обсудим некоторые из основных шагов, которые необходимо предпринять для уменьшения области атаки.

Установка обновлений

Регулярно устанавливайте все доступные обновления безопасности как в windows Server, так и в клиентских системах как близко к их выпуску, так как ваша организация разрешает. Установка последних обновлений системы безопасности — самый быстрый и самый простой способ защитить системы от текущих известных уязвимостей безопасности, влияющих не только на SMB, но и на все продукты и службы Майкрософт.

Обновления системы безопасности можно установить с помощью нескольких различных методов в зависимости от требований организации. Типичные методы:

• Управление обновлениями Azure
• Центр обновления Windows
• Службы Windows Server Update Services (WSUS)
• Обновления программного обеспечения в Endpoint Configuration Manager

Рекомендуется подписываться на уведомления в руководстве по обновлению безопасности Центра безопасности Майкрософт (MSRC). Система уведомлений по обновлению безопасности сообщит вам, когда обновления программного обеспечения публикуются для решения новых и существующих распространенных уязвимостей и уязвимостей (CVEs).

Удаление SMB 1.0

Вы должны удалить или отключить функцию SMB 1.0 со всех серверов Windows и клиентов, которые не требуют его. Для систем, для которых требуется SMB 1.0, необходимо перейти к SMB 2.0 или выше как можно скорее. Начиная с Windows 10 Fall Creators Update и Windows Server 2019, SMB 1.0 больше не устанавливается по умолчанию.

Совет

Windows 10 Домашняя и Windows 10 Pro по-прежнему содержат клиент SMB 1.0 по умолчанию после чистой установки или обновления на месте. Это поведение меняется в Windows 11, дополнительные сведения см. в статье SMB1 теперь отключены по умолчанию для сборок Windows 11 Домашняя программы предварительной оценки.

Удаление SMB 1.0 защищает ваши системы, устраняя несколько известных уязвимостей безопасности. SMB 1.0 не имеет функций безопасности SMB 2.0 и более поздних версий, которые помогают защитить от перехвата. Например, чтобы предотвратить скомпрометированное подключение SMB 3.0 или более поздней версии, использует целостность предварительной проверки подлинности, шифрование и подпись. Дополнительные сведения см. в статье об улучшениях безопасности SMB.

Перед удалением функции SMB 1.0 убедитесь, что приложения и процессы на компьютере не требуются. Дополнительные сведения об обнаружении и отключении SMB 1.0 см. в статье "Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows.

Вы также можете использовать средство обмена файлами и файлами Windows Admin Center, чтобы быстро включить аудит клиентских подключений SMB1 и удалить SMB 1.

Отключение гостевой проверки подлинности и резервное восстановление

В SMB 1.0 при сбое учетных данных пользователя клиент SMB попытается получить гостевой доступ. Начиная с Windows 10 версии 1709 и Windows Server 2019, клиенты SMB2 и SMB3 больше не разрешают доступ к гостевой учетной записи или откат к гостевой учетной записи по умолчанию. Необходимо использовать SMB 2.0 или более поздней версии и отключить использование гостевого доступа SMB в любых системах, где гостевой доступ по умолчанию не отключен.

Совет

выпуски Windows 11 Домашняя и Pro не отличаются от предыдущего поведения по умолчанию; они разрешают проверку подлинности гостей по умолчанию.

При отключении гостевого доступа злоумышленник не позволяет злоумышленнику создавать сервер и обманываться пользователям о доступе к нему с помощью гостевого доступа. Например, когда пользователь обращается к спуфиндной общей папке, их учетные данные завершаются ошибкой, и SMB 1.0 будет возвращаться к использованию гостевого доступа. Отключение гостевого доступа останавливает подключение сеанса SMB, предотвращая доступ пользователя к общей папке и любым вредоносным файлам.

Чтобы предотвратить использование резервного размещения гостей на клиентах Windows SMB, где гостевой доступ не отключен по умолчанию (включая Windows Server):

Групповая политика

1. Откройте Консоль управления групповыми политиками.
2. В дереве консоли выберите сетевую рабочую станцию Lanman для > административных шаблонов > конфигурации > компьютера.
3. Для параметра щелкните правой кнопкой мыши Включить небезопасные гостевые входы и выберите команду Изменить.
4. Выберите Включено и нажмите кнопку ОК.

PowerShell

В командной строке PowerShell с повышенными привилегиями выполните следующие команды:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $false -Confirm:$false 

Дополнительные сведения о поведении гостевого доступа по умолчанию см. в статье "Гостевой доступ" в SMB2 и SMB3, отключенных по умолчанию в Windows.

Отключение протокола WebDAV

Клиенты Windows могут не требовать WebClient запуска службы. Служба предоставляет протокол веб-распределенного разработки и управления версиями (WebDAV). Если клиенты не получают доступ к общим папкам SMB по протоколу HTTP или HTTPS с помощью WebDAV, можно отключить службу.

Когда пользователи получают доступ к файлам с помощью WebDAV, нет метода принудительного подключения на основе TLS через HTTPS. Например, сервер может быть настроен на требование подписи или шифрования SMB, однако веб-client может подключиться к HTTP/80, если WebDAV включен. Любое результирующее подключение будет незашифровано независимо от конфигурации SMB.

Параметры групповой политики можно использовать для отключения службы на большом количестве компьютеров, когда вы будете готовы к реализации. Дополнительные сведения о настройке параметров групповой политики см. в разделе "Настройка элемента службы".

Ограничение исходящих назначений SMB

Блокировать исходящий трафик SMB на устройства за пределами сети как минимум. Блокировка исходящего SMB предотвращает отправку данных во внешние конечные точки. Вредоносные субъекты часто пытаются спуфинировать, изменить или фишинговые атаки, которые пытаются отправить пользователей в вредоносные конечные точки, замаскированные как дружественные ссылки или ярлыки в сообщениях электронной почты или других файлах. Дополнительные сведения о блокировке исходящего доступа SMB см. в статье о защищенном трафике SMB в Windows Server .

Берите этот принцип дальше, введя микро-периметры и микро-сегментацию в архитектуру. Блокировка исходящего трафика SMB во внешних сетях помогает предотвратить прямую кражу данных в Интернет, однако современные атаки используют расширенные методы для косвенного получения доступа путем атак других систем, а затем бокового перемещения в вашей сети. Микро-периметры и микро-сегментация нацелены на сокращение количества систем и пользователей, которые могут напрямую подключаться к общей папке SMB, если только это явно не нужно. Узнайте больше о сегментации сети в рамках руководства по нулевому доверию.

Защита протокола

Вторая цель — обеспечить безопасность путей между пользователями и их данными, известной как защита от передачи данных. Защита от передачи данных обычно включает использование шифрования, защиты интерфейса и удаления небезопасных протоколов, чтобы повысить устойчивость к атаке.

В следующих разделах мы обсудим некоторые основные шаги, которые необходимо предпринять для защиты протокола SMB.

Использование SMB 3.1.1

Windows всегда согласовывает самый высокий доступный протокол, убедитесь, что устройства и компьютеры поддерживают SMB 3.1.1.

SMB 3.1.1 доступна начиная с Windows 10 и Windows Server 2016. SMB 3.1.1 включает новую обязательную функцию безопасности, называемую целостностью предварительной проверки подлинности. Перед проверкой подлинности подписывает или шифрует ранние этапы подключений SMB, чтобы предотвратить изменение сообщений о настройке переговоров и сеансов с помощью криптографического хэширования.

Хэширование криптографических данных означает, что клиент и сервер могут взаимно доверять свойствам подключения и сеанса. Целостность предварительной проверки подлинности заменяет безопасное согласование диалекта , введенное в SMB 3.0. Невозможно отключить целостность предварительной проверки подлинности, но если клиент использует более старый диалект, он не будет использоваться.

Вы можете повысить уровень безопасности дальше, заставив использовать SMB 3.1.1 как минимум. Чтобы задать минимальный диалект SMB 3.1.1, из командной строки PowerShell с повышенными привилегиями выполните следующие команды:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MinSMB2Dialect" -Value 0x000000311
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MaxSMB2Dialect" -Value 0x000000311

Дополнительные сведения о настройке минимального и максимального диалекта SMB, используемого в Windows Server и Windows, см. в статье "Управление диалектами SMB в Windows".

Использование защиты UNC для обязательной подписи, шифрования и взаимной проверки подлинности

Включите защиту UNC для всех общих папок SMB, требуя по крайней мере взаимной проверки подлинности (Kerberos) и целостности (подписывание SMB). Кроме того, следует рассмотреть возможность оценки конфиденциальности (шифрования SMB) вместо подписывания SMB. Нет необходимости настраивать как подписывание SMB, так и шифрование, так как шифрование неявно включает подписи, используемые подписями.

Внимание

Шифрование SMB было введено с SMB 3 в Windows 8 и Windows Server 2012. Не следует требовать шифрования, если только все компьютеры не поддерживают SMB 3.0 или более поздней версии, или сторонние пользователи с поддержкой SMB 3 и шифрования. Если вы настраиваете шифрование SMB на клиентах или путях UNC, размещенных на серверах, не поддерживающих шифрование SMB, клиент SMB не сможет получить доступ к указанному пути. Кроме того, если вы настроите сервер для шифрования SMB и к нему обращаются клиенты, которые не поддерживают его, эти клиенты снова не смогут получить доступ к пути.

UNC Hardening дает возможность проверить UNC-пути для заданных параметров безопасности и отклонить подключение, если сервер не мог их удовлетворить. Начиная с Windows Server 2016 и Windows 10, UNC Hardening включен по умолчанию для общих папок SYSVOL и NETLOGON на контроллерах домена. Это очень эффективное средство для спуфингирования и изменения, так как клиент может пройти проверку подлинности удостоверения сервера и проверить целостность полезных данных SMB.

При настройке защиты UNC можно указать различные UNC-шаблоны пути. Например:

• \\<Server>\<Share> — запись конфигурации применяется к общей папке с указанным именем на указанном сервере.
• \\*\<Share> — Запись конфигурации применяется к общей папке с указанным именем на любом сервере.
• \\<Server>\* — Запись конфигурации применяется к любой общей папке на указанном сервере.

Групповую политику можно использовать для применения функции защиты UNC к большому количеству компьютеров, когда вы будете готовы к реализации. Дополнительные сведения о настройке защиты UNC с помощью групповой политики см. в бюллетене по безопасности MS15-011.

Сопоставление дисков по запросу с обязательной подписью или шифрованием

Помимо защиты UNC, при сопоставлении сетевых дисков можно использовать подписывание или шифрование. Начиная с Windows версии 1709 и более поздних версий, вы можете создавать зашифрованные или подписанные сопоставленные диски по требованию с помощью Windows PowerShell или командной строки. Для сопоставления дисков можно использовать NET USE команду или команду PowerShell New-SmbMapping , указав параметры RequireIntegrity (подпись) или RequirePrivacy (шифрование).

Команды можно использовать администраторами или включать в скрипты для автоматизации сопоставления дисков, требующих проверки шифрования или целостности.

Параметры не изменяют способ подписывания или шифрования, а также требования к диалекту. Если вы пытаетесь сопоставить диск и сервер отказывается соблюдать требования к подписи или шифрованию, сопоставление дисков завершится ошибкой, а не подключиться небезопасно.

Сведения о синтаксисе и параметрах для команды в справочной New-SmbMapping статье New-SmbMapping.

За пределами SMB

Остановите использование NTLM и увеличьте безопасность Kerberos. Сначала можно включить аудит для использования NTLM, а затем просмотреть журналы, чтобы найти, где используется NTLM.

Удаление NTLM помогает защитить вас от распространенных атак, таких как pass-the-hash, brute-force или радужные хэш-таблицы из-за использования более старой функции шифрования MD4/MD5. NTLM также не может проверить удостоверение сервера, в отличие от более последних протоколов, таких как Kerberos, что делает его уязвимым для атак ретранслятора NTLM, а также. Многие из этих распространенных атак легко устраняются с помощью Kerberos.

Сведения об аудите NTLM в рамках усилий по началу перехода на Kerberos см. в статье об оценке использования NTLM. Вы также можете узнать об обнаружении небезопасных протоколов с помощью Azure Sentinel в блоге блога по реализации книги о небезопасных протоколах Azure Sentinel.

Параллельно с удалением NTLM следует рассмотреть возможность добавления дополнительных уровней защиты для автономных атак и передачи билетов. При повышении безопасности Kerberos используйте следующие элементы в качестве руководства.

1. Развертывание Windows Hello для бизнеса или смарт-карт — двухфакторная проверка подлинности с помощью Windows Hello для бизнеса добавляет весь новый уровень защиты. Узнайте о Windows Hello для бизнеса.
2. Применение длинных паролей и фраз . Мы рекомендуем использовать длину пароля, например 15 символов или больше, чтобы снизить сопротивление атак подбора. Кроме того, следует избегать распространенных слов или фраз, чтобы сделать пароль еще сильнее.
3. Развертывание защиты паролей Microsoft Entra для служб домен Active Directory. Используйте защиту паролей идентификатора Майкрософт, чтобы заблокировать известные слабые пароли и термины, относящиеся к вашей организации. Дополнительные сведения см. в статье "Принудительное применение локальной защиты паролей Microsoft Entra Password Protection для служб домен Active Directory".
4. Использование групповых управляемых учетных записей служб (gMSA) — службы с поддержкой gMSA с их 127 случайным построением символов, делают атаки подбора и словаря для взлома паролей невероятно много времени. Ознакомьтесь с общими сведениями о gMSAs в статье "Общие сведения об управляемых учетных записях служб группы".
5. Защита Kerberos, известная как гибкая проверка подлинности Secure Tunneling (FAST) — FAST предотвращает Kerberoasting , так как данные предварительной проверки подлинности пользователя защищены и больше не подвергаются автономным атакам подбора или словаря. Он также предотвращает понижение уровня атак от спуфинированных KDCs, чтобы узнать больше о проверке Kerberos Armoring.
6. Использование Credential Guard в Защитнике Windows — Credential Guard затрудняет локальный компромисс билетов, предотвращая предоставление билетов и кэшированные запросы на обслуживание. Дополнительные сведения см. в статье о работе Credential Guard в Защитнике Windows.
7. Рекомендуется использовать SCRIL: смарт-карта, необходимая для интерактивного входа . При развертывании SCRIL AD изменяет пароль пользователя на случайный 128-разрядный набор, который пользователи больше не могут использовать для входа в интерактивном режиме. SCRIL обычно подходит только для сред с определенными требованиями к безопасности. Дополнительные сведения о стратегиях без пароля см. в статье "Настройка учетных записей пользователей для запрета проверки подлинности паролей".

Следующие шаги

Теперь вы узнали о некоторых из средств управления безопасностью и устранения рисков, чтобы предотвратить перехват SMB, вы поймете, что нет единого шага, чтобы предотвратить все атаки перехвата. Цель заключается в создании продуманной, целостной и приоритетной комбинации рисков, охватывающих несколько технологий с помощью многоуровневой защиты.

Дополнительные сведения об этих понятиях см. в следующих статьях.

• Безопасный трафик SMB в Windows Server.
• Улучшения системы безопасности SMB
• Целостность предварительной проверки подлинности SMB 3.1.1 в Windows 10
• Безопасность SMB 2 и SMB 3 в Windows 10: анатомия подписи и криптографических ключей
• Центр руководств по модели "Никому не доверяй"