Microsoft, bugünün Windows yapısının Kanarya Kanalı’ndaki Insider’lara dağıtılmasından başlayarak, tüm bağlantıların NTLM geçiş saldırılarına karşı savunma yapması için SMB imzalamasının (güvenlik imzaları olarak da bilinir) varsayılan olarak gerekli olacağını söylüyor.
Bu tür saldırılarda, tehdit aktörleri, ağ cihazlarını (etki alanı denetleyicileri dahil), saldırganların kontrolü altındaki kötü amaçlı sunuculara karşı kimlik doğrulaması yapmaya zorlar ve Windows etki alanı üzerinde tam kontrol elde etmek için ayrıcalıkları yükseltir.
Microsoft, “Bu, Windows 10 ve 11’in yalnızca SYSVOL ve NETLOGON adlı paylaşımlara bağlanırken varsayılan olarak SMB imzalamasını gerektirdiği ve Active Directory etki alanı denetleyicilerinin herhangi bir istemci onlara bağlandığında SMB imzalamasını gerektirdiği eski davranışı değiştirir” dedi.
SMB imzalama, gönderenin ve alıcının kimliklerini imzalar ve her iletinin sonuna katıştırılmış karmalar aracılığıyla onaylayarak kötü amaçlı kimlik doğrulama isteklerinin engellenmesine yardımcı olur.
SMB imzalamanın devre dışı bırakıldığı SMB sunucuları ve uzak paylaşımlar, “Şifreleme imzası geçersiz”, “STATUS_INVALID_SIGNATURE”, “0xc000a000” veya “-1073700864” gibi çeşitli iletilerle bağlantı hatalarını tetikler.
Bu güvenlik mekanizması, Windows 98 ve 2000’den başlayarak bir süredir kullanılabiliyor ve Windows 11 ve Windows Server 2022’de veri şifrelemeyi önemli ölçüde hızlandırarak performansı ve korumayı iyileştirmek için güncellendi.
Geliştirilmiş güvenliğin dezavantajları
NTLM geçiş saldırılarını engellemek, herhangi bir güvenlik ekibi için listenin başında yer alsa da, Windows yöneticileri, daha düşük SMB kopyalama hızlarına yol açabileceğinden bu yaklaşıma karşı çıkabilir.
Microsoft, “SMB imzalama, SMB kopyalama işlemlerinin performansını azaltabilir. Daha fazla fiziksel CPU çekirdeği veya sanal CPU’nun yanı sıra daha yeni, daha hızlı CPU’lar ile bunu azaltabilirsiniz” diye uyardı Microsoft.
Ancak yöneticiler, yükseltilmiş bir Windows PowerShell terminalinden aşağıdaki komutları çalıştırarak sunucu ve istemci bağlantılarında SMB imzalama gereksinimini devre dışı bırakma seçeneğine sahiptir:
Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $falseBu komutları verdikten sonra sistemin yeniden başlatılması gerekmese de, halihazırda açılmış olan SMB bağlantıları, kapatılana kadar imzalamayı kullanmaya devam edecektir.
“İmzalama için bu varsayılan değişikliğin önümüzdeki birkaç ay içinde Windows Server’ın yanı sıra Pro, Education ve diğer Windows sürümlerine gelmesini bekleyin. Insider’larda işlerin nasıl gittiğine bağlı olarak, daha sonra büyük sürümlerde görünmeye başlayacak.” dedi Microsoft Ana Program Yöneticisi Ned Pyle.
Bugünkü duyuru, geçen yıl boyunca gösterildiği gibi, Windows ve Windows Server güvenliğini geliştirmeye yönelik daha geniş bir hareketin parçasıdır.
Nisan 2022’de Microsoft, Windows 11 Home Insiders için 30 yıllık dosya paylaşım protokolünü varsayılan olarak devre dışı bırakarak Windows’ta SMB1’i devre dışı bırakmanın son aşamasını duyurdu.
Beş ay sonra şirket, başarısız gelen NTLM kimlik doğrulama girişimlerinin üstesinden gelmek için bir SMB kimlik doğrulama oranı sınırlayıcının kullanıma sunulmasıyla kaba kuvvet saldırılarına karşı daha iyi koruma sağladığını duyurdu.