Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimWindows 11 erfordert eine SMB-Signatur, um NTLM-Relay-Angriffe zu verhindern
Microsoft sagt, dass SMB-Signaturen (auch bekannt als Sicherheitssignaturen) standardmäßig für alle Verbindungen erforderlich sein werden, um sich gegen NTLM-Relay-Angriffe zu schützen, beginnend mit der heutigen Einführung des Windows-Builds (Enterprise Edition) für Insider im Canary Channel.
Bei solchen Angriffen zwingen Bedrohungsakteure Netzwerkgeräte (einschließlich Domänencontroller) dazu, sich bei bösartigen Servern unter der Kontrolle des Angreifers zu authentifizieren, um sich als diese auszugeben und Berechtigungen zu erhöhen, um die vollständige Kontrolle über die Windows-Domäne zu erlangen.
„Dies ändert das alte Verhalten, bei dem Windows 10 und 11 standardmäßig eine SMB-Signatur nur beim Herstellen einer Verbindung zu Freigaben mit den Namen SYSVOL und NETLOGON erforderte und bei dem Active Directory-Domänencontroller eine SMB-Signatur erforderten, wenn ein Client eine Verbindung zu ihnen herstellte“, sagte Microsoft.
Die SMB-Signatur hilft, böswillige Authentifizierungsanfragen zu blockieren, indem sie die Identität des Absenders und Empfängers über Signaturen und Hashes bestätigt, die am Ende jeder Nachricht eingebettet sind.
SMB-Server und Remote-Freigaben, bei denen die SMB-Signierung deaktiviert ist, lösen Verbindungsfehler mit verschiedenen Meldungen aus, darunter „Die kryptografische Signatur ist ungültig“, „STATUS_INVALID_SIGNATURE“, „0xc000a000“ oder „-1073700864“.
Dieser Sicherheitsmechanismus ist bereits seit einiger Zeit verfügbar, beginnend mit Windows 98 und 2000, und wurde in Windows 11 und Windows Server 2022 aktualisiert, um Leistung und Schutz durch eine deutlich beschleunigte Datenverschlüsselung zu verbessern.
Während das Blockieren von NTLM-Relay-Angriffen für jedes Sicherheitsteam ganz oben auf der Liste stehen sollte, könnten Windows-Administratoren mit diesem Ansatz Probleme haben, da er zu geringeren SMB-Kopiergeschwindigkeiten führen könnte.
„SMB-Signaturen können die Leistung von SMB-Kopiervorgängen verringern. Sie können dies durch mehr physische CPU-Kerne oder virtuelle CPUs sowie neuere, schnellere CPUs abmildern“, warnte Microsoft.
Administratoren haben jedoch die Möglichkeit, die SMB-Signaturanforderung in Server- und Clientverbindungen zu deaktivieren, indem sie die folgenden Befehle von einem Windows PowerShell-Terminal mit erhöhten Rechten ausführen:
Während nach der Ausgabe dieser Befehle kein Systemneustart erforderlich ist, verwenden bereits geöffnete SMB-Verbindungen weiterhin die Signatur, bis sie geschlossen werden.
„Erwarten Sie, dass diese Standardänderung für das Signieren in den nächsten Monaten für Pro, Education und andere Windows-Editionen sowie für Windows Server verfügbar sein wird. Je nachdem, wie die Dinge in Insiders laufen, wird sie dann in Hauptversionen erscheinen.“ sagte Microsoft Principal Program Manager Ned Pyle.
Die heutige Ankündigung ist Teil einer umfassenderen Maßnahme zur Verbesserung der Windows- und Windows Server-Sicherheit, wie sie im letzten Jahr gezeigt wurde.
Im April 2022 kündigte Microsoft die letzte Phase der Deaktivierung von SMB1 in Windows an, indem das 30 Jahre alte Dateifreigabeprotokoll für Windows 11 Home Insiders standardmäßig deaktiviert wurde.
Fünf Monate später kündigte das Unternehmen einen besseren Schutz vor Brute-Force-Angriffen mit der Einführung eines SMB-Authentifizierungsratenbegrenzers an, um fehlgeschlagene eingehende NTLM-Authentifizierungsversuche zu bekämpfen.
Mit Windows 11 können Sie Telefonfotos im Datei-Explorer anzeigen
Windows 11 erhält endlich einen Modus „Taskleistenschaltflächen nie kombinieren“.
Microsoft testet den verbesserten Detailbereich des Explorers, Windows Spotlight
Microsoft aktiviert den LSA-Schutz standardmäßig im Windows Canary-Build
Windows 11 Moment 3 zum Anfassen, hier ist alles neu