Windows 11はNTLMリレー攻撃を防ぐためにSMB署名を要求します
Microsoft によると、カナリア チャネルの Insider に公開される今日の Windows ビルド (Enterprise エディション) から、NTLM リレー攻撃を防御するためにすべての接続に SMB 署名 (別名セキュリティ署名) がデフォルトで必要になるとのことです。
このような攻撃では、脅威アクターはネットワーク デバイス (ドメイン コントローラーを含む) に、攻撃者の制御下にある悪意のあるサーバーに対する認証を強制して、そのサーバーになりすまし、特権を昇格させて Windows ドメインを完全に制御します。
「これにより、従来の動作が変更されます。Windows 10および11では、SYSVOLおよびNETLOGONという名前の共有に接続する場合にのみデフォルトでSMB署名が必要であり、Active Directoryドメインコントローラはクライアントが接続する場合にSMB署名が必要でした。」とMicrosoftは述べています。
SMB 署名は、各メッセージの末尾に埋め込まれた署名とハッシュによって送信者と受信者の身元を確認することで、悪意のある認証リクエストをブロックするのに役立ちます。
SMB 署名が無効になっている SMB サーバーおよびリモート共有では、「暗号化署名が無効です」、「STATUS_INVALID_SIGNATURE」、「0xc000a000」、「-1073700864」などのさまざまなメッセージを含む接続エラーが発生します。
このセキュリティ メカニズムは、Windows 98 および 2000 からしばらく前から利用可能でしたが、Windows 11 および Windows Server 2022 で更新され、データ暗号化を大幅に高速化することでパフォーマンスと保護が向上しました。
NTLM リレー攻撃のブロックはセキュリティ チームにとって最優先事項であるべきですが、SMB コピー速度の低下につながる可能性があるため、Windows 管理者はこのアプローチに問題を起こす可能性があります。
「SMB署名により、SMBコピー操作のパフォーマンスが低下する可能性があります。より多くの物理CPUコアまたは仮想CPU、およびより新しい高速CPUを使用することで、この問題を軽減できます」とMicrosoftは警告した。
ただし、管理者は、管理者特権の Windows PowerShell ターミナルから次のコマンドを実行することで、サーバーとクライアントの接続における SMB 署名要件を無効にすることができます。
これらのコマンドの発行後にシステムを再起動する必要はありませんが、すでに開かれている SMB 接続は閉じられるまで署名を使用し続けます。
「署名に関するこのデフォルトの変更は、Windows Server だけでなく、今後数か月以内に Pro、Education、その他の Windows エディションにも適用される予定です。Insider での状況次第では、メジャー リリースにも適用され始めるでしょう。」 Microsoft プリンシパル プログラム マネージャーの Ned Pyle 氏は次のように述べています。
本日の発表は、昨年を通じて示されたように、Windows と Windows Server のセキュリティを向上させる広範な取り組みの一環です。
2022 年 4 月、Microsoft は、Windows 11 Home Insider のデフォルトで 30 年前のファイル共有プロトコルを無効にすることにより、Windows で SMB1 を無効にする最終段階を発表しました。
5 か月後、同社は失敗した受信 NTLM 認証試行に対処するための SMB 認証レート リミッターの導入により、ブルート フォース攻撃に対する保護を強化すると発表しました。
Windows 11 では、ファイル エクスプローラーで携帯電話の写真を表示できるようになります
Windows 11についに「タスクバーボタンを決して結合しない」モードが追加される
Microsoft は、エクスプローラーの詳細ウィンドウ、Windows スポットライトの改善をテストしています
Microsoft は Windows Canary ビルドでデフォルトで LSA 保護を有効にしています
シスコはサポート終了した VPN ルータのゼロデイ RCE 脆弱性を修正しない