Microsoft, Kanarya Kanalı'ndaki içeriden gelenlere yayılan bugünün Windows Build (Enterprise Edition) ile başlayarak tüm bağlantıların NTLM bayrak saldırılarına karşı savunması için SMB imzalamasının (diğer adıyla güvenlik imzaları) varsayılan olarak gerekli olacağını söylüyor.
Bu tür saldırılarda, tehdit aktörleri ağ cihazlarını (etki alanı denetleyicileri dahil), saldırganların kontrolü altındaki kötü amaçlı sunuculara karşı kimliği doğrulamaya zorlar ve bunları taklit etmek için ayrıcalıkları yükseltir.
Microsoft, "Bu, Windows 10 ve 11'in yalnızca SYSVOL ve NetLogon adlı paylaşımlara bağlandığında ve Active Directory Etki Alanı Denetleyicilerinin kendilerine bağlı olduğunda Active Directory Etki Alan Denetleyicilerinin SMB imzalaması gerektiğinde varsayılan olarak SMB imzalamasını gerektirdiği eski davranışları değiştirir." Dedi.
SMB imzalama, her mesajın sonuna gömülü imzalar ve karmalar yoluyla gönderenin ve alıcının kimliklerini onaylayarak kötü amaçlı kimlik doğrulama isteklerini engellemeye yardımcı olur.
KOBİ sunucuları ve KOBİ imzalamanın devre dışı bırakıldığı uzaktan paylaşımlar, "şifreleme imzası geçersiz", "" 0xc000A000 "veya" -1073700864 "dahil olmak üzere çeşitli mesajlarla bağlantı hatalarını tetikleyecektir.
Bu güvenlik mekanizması, Windows 98 ve 2000'den başlayarak bir süredir mevcuttur ve veri şifrelemesini önemli ölçüde hızlandırarak performansı ve korumayı geliştirmek için Windows 11 ve Windows Server 2022'de güncellenmiştir.
NTLM röle saldırılarının engellenmesi herhangi bir güvenlik ekibi için listenin en üstünde olmalı olsa da, Windows Adims bu yaklaşımla ilgili sorun yaşayabilir, çünkü SMB kopya hızlarına yol açabilir.
Microsoft, "KOBİ imzalama SMB kopya işlemlerinin performansını azaltabilir. Bunu daha fiziksel CPU çekirdekleri veya sanal CPU'ların yanı sıra daha yeni, daha hızlı CPU'larla azaltabilirsiniz."
Ancak, yöneticiler, yükseltilmiş bir Windows PowerShell terminalinden aşağıdaki komutları çalıştırarak sunucu ve istemci bağlantılarındaki KOBİ imzalama gereksinimini devre dışı bırakma seçeneğine sahiptir:
Bu komutları yayınladıktan sonra hiçbir sistem yeniden başlatılması gerekmese de, zaten açılmış KOBİ bağlantıları kapanana kadar imzalamaya devam edecektir.
Diyerek şöyle devam etti: "Önümüzdeki birkaç ay içinde Pro, Eğitim ve diğer Windows sürümlerine gelmesini ve Windows Server'a gelmesini bekleyin. İçeride işlerin nasıl gittiğine bağlı olarak, büyük sürümlerde görünmeye başlayacak," dedi Microsoft ana program yöneticisi Ned Pyle.
Bugünkü duyuru, geçen yıl boyunca gösterildiği gibi Windows ve Windows Server güvenliğini geliştirmek için daha geniş bir hareketin bir parçası.
Nisan 2022'de Microsoft, Windows 11 Home Inserers için 30 yaşındaki dosya paylaşım protokolünü varsayılan olarak devre dışı bırakarak Windows'ta SMB1'i devre dışı bırakmanın son aşamasını duyurdu.
Beş ay sonra şirket, başarısız olan NTLM kimlik doğrulama girişimleriyle mücadele etmek için bir KOBİ kimlik doğrulama oranı sınırlayıcısının getirilmesiyle kaba kuvvet saldırılarına karşı daha iyi koruma duyurdu.
Windows 11, Dosya Gezgini'ndeki telefon fotoğraflarını görüntülemenize izin verecek
Windows 11 nihayet 'asla görev çubuğu düğmelerini birleştirme' modunu alır
Microsoft Testi Geliştirilmiş Explorer Ayrıntıları bölmesi, Windows Spotlight
Microsoft, Windows Canary Build'da varsayılan olarak LSA korumasını sağlar
Microsoft: Windows Sayı dosya kopyalama, kaydetme arızalarına neden olur
Kaynak: Bleeping Computer