Новая функция Windows 11 блокирует атаки на основе NTLM через SMB

Microsoft добавила в Windows 11 новую функцию безопасности, которая позволяет администраторам блокировать NTLM через SMB, чтобы предотвратить атаки с передачей хэша, ретрансляцией NTLM или атаками со взломом паролей.

Это изменит устаревший подход, при котором согласование аутентификации Kerberos и NTLM (т. е. LM, NTLM и NTLMv2) с целевыми серверами будет осуществляться с помощью Windows SPNEGO.

При подключении к удаленному общему ресурсу SMB Windows попытается согласовать аутентификацию с удаленным компьютером, выполнив ответ на запрос NTLM.

Однако этот ответ на запрос NTLM будет содержать хешированный пароль вошедшего в систему пользователя, пытающегося открыть общий ресурс SMB, который затем может быть захвачен сервером, на котором размещен этот общий ресурс.

Эти хеши затем можно взломать, чтобы получить пароль в виде открытого текста, или использовать в атаках NTLM Relay и pass-the-hash для входа в систему в качестве пользователя.

Эта новая функция позволяет администратору блокировать исходящий трафик NTLM через SMB, предотвращая отправку хешированного пароля пользователя на удаленный сервер и эффективно предотвращая подобные типы атак.

Групповая политика блокировки SMB NTLM (Microsoft)
Групповая политика блокировки SMB NTLM (Microsoft)

«Благодаря этой новой опции администратор может намеренно запретить Windows предлагать NTLM через SMB», — объяснили Аманда Ланговски и Брэндон ЛеБлан из Microsoft.

«Злоумышленник, который обманным путем заставляет пользователя или приложение отправлять ответы на запросы NTLM на вредоносный сервер, больше не будет получать никаких данных NTLM и не сможет подобрать, взломать или передать пароль, поскольку они никогда не будут отправлены по сети».

Этот дополнительный уровень безопасности устраняет необходимость полностью отключать использование NTLM в операционной системе.

Начиная с Windows 11 Insider Preview, сборка 25951, администраторы могут настроить Windows на блокировку отправки данных NTLM по SMB при удаленных исходящих подключениях с помощью групповой политики и PowerShell.

Они также могут полностью отключить использование NTLM в соединениях SMB с помощью NET USE и PowerShell .

Еще одна новая опция, доступная начиная с этой сборки, — это управление диалектами SMB, которое позволяет администраторам блокировать подключение старых и небезопасных устройств Windows, отключив использование старых протоколов SMB в своей организации».

«Более поздняя версия программы предварительной оценки Windows позволит администраторам контролировать блокировку SMB NTLM на определенных серверах с помощью списка разрешений», — добавил Нед Пайл, главный менеджер программы в инженерной группе Windows Server, в отдельном сообщении в блоге.

«Клиент сможет указать SMB-серверы, которые поддерживают только NTLM — либо как не члены домена, либо как сторонние продукты — и разрешить подключение».

Управление диалектами SMB (Microsoft)
Управление диалектами SMB (Microsoft)

Требование подписи SMB для блокировки атак

С выпуском Windows 11 Insider Preview Build 25381 для Canary Channel Редмонд также начал требовать подписание SMB (также известное как подписи безопасности) по умолчанию для всех подключений для защиты от атак ретрансляции NTLM.

В ходе этих атак злоумышленники заставляют сетевые устройства, включая контроллеры домена, проходить аутентификацию на серверах, находящихся под их контролем, чтобы получить полный контроль над доменом Windows, выдавая себя за них.

Подписание SMB — это механизм безопасности SMB, который играет решающую роль в предотвращении вредоносных запросов аутентификации путем проверки личности отправителя и получателя с помощью встроенных подписей и хэшей, добавляемых к каждому сообщению.

Он доступен начиная с Windows 98 и 2000 и был обновлен в Windows 11 и Windows Server 2022 для улучшения защиты и производительности за счет значительного увеличения скорости шифрования данных.

Эти обновления являются частью более широкой инициативы по повышению безопасности Windows и Windows Server, как подчеркивалось в предыдущих объявлениях, сделанных в 2022 году.

В апреле 2022 года Microsoft сделала важный шаг, объявив о заключительном этапе отключения протокола обмена файлами SMB1 трехлетней давности в Windows для инсайдеров Windows 11 Home.

Продолжая эту траекторию, пять месяцев спустя компания представила усиленные меры защиты от атак методом перебора , представив ограничитель скорости аутентификации SMB, предназначенный для смягчения последствий неудачных попыток входящей аутентификации NTLM.

Поделиться с друзьями
Оцените автора
( 1 оценка, среднее 5 из 5 )