Windows 11

Microsoft によると、カナリア チャネルの Insiders に公開される今日の Windows ビルドから、NTLM リレー攻撃を防御するためにすべての接続に SMB 署名 (別名セキュリティ署名) がデフォルトで必要になるとのことです。

このような攻撃では、脅威アクターはネットワーク デバイス (ドメイン コントローラーを含む) に、攻撃者の制御下にある悪意のあるサーバーに対する認証を強制して、そのサーバーになりすまし、特権を昇格させて Windows ドメインを完全に制御します。

「これにより、従来の動作が変更されます。Windows 10 および 11 では、SYSVOL および NETLOGON という名前の共有に接続する場合にのみ、デフォルトで SMB 署名が必要でした。また、Active Directory ドメイン コントローラーでは、クライアントが接続する場合に SMB 署名が必要でした。」と Microsoft は述べています

SMB 署名は、各メッセージの末尾に埋め込まれた署名とハッシュによって送信者と受信者の身元を確認することで、悪意のある認証リクエストをブロックするのに役立ちます。

SMB 署名が無効になっている SMB サーバーおよびリモート共有では、「暗号化署名が無効です」、「STATUS_INVALID_SIGNATURE」、「0xc000a000」、「-1073700864」などのさまざまなメッセージを含む接続エラーが発生します。

このセキュリティ メカニズムは、Windows 98 および 2000 からしばらく前から利用可能でしたが、Windows 11 および Windows Server 2022 で更新され、データ暗号化を大幅に高速化することでパフォーマンスと保護が向上しました。

セキュリティ向上によるデメリット

NTLM リレー攻撃のブロックはセキュリティ チームにとって最優先事項であるべきですが、SMB コピー速度の低下につながる可能性があるため、Windows 管理者はこのアプローチに問題を起こす可能性があります。

「SMB署名により、SMBコピー操作のパフォーマンスが低下する可能性があります。より多くの物理CPUコアまたは仮想CPU、およびより新しい高速CPUを使用することで、この問題を軽減できます」とMicrosoftは警告した。

ただし、管理者は、管理者特権の Windows PowerShell ターミナルから次のコマンドを実行することで、サーバーとクライアントの接続における SMB 署名要件を無効にすることができます。

Set-SmbClientConfiguration -RequireSecuritySignature $false Set-SmbServerConfiguration -RequireSecuritySignature $false

これらのコマンドの発行後にシステムを再起動する必要はありませんが、すでに開かれている SMB 接続は閉じられるまで署名を使用し続けます。

「署名に関するこのデフォルトの変更は、Windows Server だけでなく、今後数か月以内に Pro、Education、その他の Windows エディションにも適用される予定です。Insider での状況次第では、メジャー リリースにも適用され始めるでしょう。」 Microsoft プリンシパル プログラム マネージャーの Ned Pyle 氏は次のように述べています

本日の発表は、昨年を通じて示されてきた、Windows と Windows Server のセキュリティを向上させる広範な取り組みの一環です。

2022 年 4 月、Microsoft は、Windows 11 Home Insider のデフォルトで 30 年前のファイル共有プロトコルを無効にすることにより、Windows でSMB1 を無効にする最終段階を発表しました。

5 か月後、同社は失敗した受信 NTLM 認証試行に対処するための SMB 認証レート リミッターの導入により、 ブルート フォース攻撃に対する保護を強化すると発表しました。