Windows 11, bugünün Windows 11 Insider Preview Build 25982’nin Canary Channel’daki Insider’lara sunulmasıyla başlayarak, yöneticilerin tüm giden bağlantılar için SMB istemci şifrelemesini zorunlu kılmasına olanak tanıyacak.
SMB şifrelemesi, uçtan uca veri şifrelemesi sağlar ve dosya sunucusunun tamamı için paylaşım başına etkinleştirilebilir veya Windows Admin Center, Windows PowerShell veya UNC Sertleştirme kullanılarak sürücüler eşlenirken etkinleştirilebilir.
Bu özellik ilk olarak Windows 8 ve Windows Server 2012’de SMB 3.0’a dahil edildi ve Windows 11 ve Windows Server 2022’de AES-256-GCM şifreleme paketleri için destek sağladı.
Windows yöneticileri, tüm hedef sunucuların SMB 3.x ve şifrelemeyi desteklemesini şart koşarak, istemcilerin yalnızca gizli dinleme ve müdahale saldırılarına karşı savunma sağlamak için bu koşulların karşılanması durumunda bağlantı kurabilmesini sağlayabilir.
Microsoft Baş Program Yöneticisi Ned Pyle, “Artık SMB istemcisini, sunucunun, paylaşımın, UNC sağlamlaştırmanın veya eşlenmiş sürücünün gerektirdiği şey ne olursa olsun her zaman şifreleme gerektirecek şekilde yapılandırabilirsiniz” dedi.
“Bu, bir yöneticinin genel olarak bir Windows makinesini tüm bağlantılarda SMB şifrelemesini ve dolayısıyla SMB 3.x’i kullanmaya zorlayabileceği ve SMB sunucusunun ikisini de desteklememesi durumunda bağlanmayı reddedebileceği anlamına gelir.”
Yeni seçenek, PowerShell kullanılarak veya Bilgisayar Yapılandırması \ Yönetim Şablonları \ Ağ \ Lanman İş İstasyonu altındaki ‘Şifreleme iste’ grup ilkesi kullanılarak yapılandırılabilir.
Windows 11 Insider Preview Build 25951’den başlayarak yöneticiler, karma geçiş, NTLM geçişi veya parola kırma saldırılarını savuşturmak için Windows sistemlerini uzak giden bağlantılarda SMB üzerinden NTLM verilerinin gönderilmesini otomatik olarak engelleyecek şekilde yapılandırabilir.
Açıldığında, kullanıcının karma parolasının uzak sunuculara gönderilmesini önleyerek bu saldırıları etkili bir şekilde engeller.
Windows 11 Insider Preview Build 25381’in Canary Channel’da piyasaya sürülmesiyle birlikte Microsoft, NTLM geçiş saldırılarına karşı savunma yapmak amacıyla tüm bağlantılarda varsayılan olarak SMB imzalamayı (güvenlik imzaları olarak da bilinir) zorunlu kılmaya başladı.
Windows 98 ve 2000’de kullanıma sunulan SMB imzalama, veri şifreleme hızlarını önemli ölçüde artırarak korumayı ve performansı artırmak için Windows 11 ve Windows Server 2022’de güncellendi.
“SMB şifrelemesinin performans yükü ve uyumluluk yükü vardır ve bunu, daha iyi performansa ve kurcalamaya karşı koruma sağlayan ancak gözetleme koruması olmayan SMB imzalamaya veya en iyi performansa sahip olan ancak güvenliği olmayan şifreleme veya imzalamanın hiç kullanılmamasına karşı dengelemelisiniz. ” dedi Pyle.
“SMB şifrelemesi, SMB imzalamanın yerini alır ve aynı düzeyde kurcalamaya karşı koruma sağlar; bu, SMC istemciniz imzalamayı gerektiriyorsa, SMB şifrelemesinin onu kapatacağı anlamına gelir; şifreleme kazandığı için her ikisini de gerektirmenin bir anlamı yoktur.”
Bu iyileştirmeler, geçen yılın daha önceki duyurularında da vurgulandığı gibi, Windows ve Windows Server’ın güvenliğini artırmaya yönelik daha geniş bir çabanın parçasıdır.
Nisan 2022’de Microsoft, Windows 11 Home Insider’lar için onlarca yıllık SMB1 dosya paylaşım protokolünün devre dışı bırakılmasının son aşamasını açıklayarak bir dönüm noktasına imza attı.
Bu ilerlemeye dayanarak şirket, başarısız gelen NTLM kimlik doğrulama girişimlerinin etkisini azaltan bir SMB kimlik doğrulama hızı sınırlayıcısı sunarak kaba kuvvet saldırılarına karşı savunmayı da güçlendirdi.