Нова функция на Windows 11 блокира NTLM-базирани атаки през SMB

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Киберсигурност

Microsoft добави нова функция за сигурност в Windows 11, която позволява на администраторите да блокират NTLM през SMB, за да предотвратят атаки от типа pass-the-hash, NTLM relay или кракване на пароли.

Това ще промени досегашния подход, при който преговорите за удостоверяване чрез Kerberos и NTLM (т.е. LM, NTLM и NTLMv2) с целевите сървъри се захранваха от Windows SPNEGO.

Когато се свързва с отдалечен SMB дял, Windows ще се опита да договори удостоверяване с отдалечения компютър, като извърши отговор на NTLM предизвикателство.

Този отговор на NTLM предизвикателство обаче ще съдържа хешираната парола на влезлия в системата потребител, който се опитва да отвори SMB споделянето, която след това може да бъде прихваната от сървъра, хостващ споделянето.

След това тези хешове могат да бъдат разбити, за да се извлече паролата в обикновен текст, или да се използват в NTLM Relay и pass-the-hash атаки, за да се влезе като потребител.

Тази нова функция позволява на администратора да блокира изходящия NTLM през SMB, като предотвратява изпращането на хешираната парола на потребителя към отдалечен сървър, което ефективно предотвратява тези видове атаки.

„С тази нова опция администраторът може умишлено да блокира Windows да предлага NTLM чрез SMB“, обясняват Аманда Ланговски и Брандън Лебланк от Microsoft.

„Нападател, който подмами потребител или приложение да изпрати отговори на NTLM предизвикателство до злонамерен сървър, вече няма да получава никакви NTLM данни и няма да може да използва груба сила, да разбие или да предаде парола, тъй като те никога няма да бъдат изпратени по мрежата.“

Това допълнително ниво на сигурност премахва необходимостта от пълно спиране на използването на NTLM в рамките на операционната система.

Започвайки с Windows 11 Insider Preview Build 25951, администраторите могат да конфигурират Windows да блокира изпращането на NTLM данни през SMB при отдалечени изходящи връзки с помощта на групова политика и PowerShell.

Те могат също така изцяло да изключат използването на NTLM в SMB връзки с помощта на NET USE и PowerShell.

„По-късно издание на Windows Insider ще позволи на администраторите да контролират блокирането на SMB NTLM към конкретни сървъри със списък с разрешения“, добави Нед Пайл, главен програмен мениджър в инженерната група на Windows Server, в отделна публикация в блога.

„Клиентът ще може да посочва SMB сървъри, които поддържат само NTLM – или като нечленуващи в домейни, или като продукти на трети страни – и да разрешава връзката.“

Друга нова опция, налична от тази компилация, е управлението на SMB диалекти, което позволява на администраторите да блокират свързването на по-стари и несигурни устройства с Windows, като изключат използването на по-стари SMB протоколи в рамките на своята организация.

 

Изискване за подписване на SMB за блокиране на атаки

С пускането на Windows 11 Insider Preview Build 25381 в канала Canary, Redmond започна да изисква SMB подписване (известно още като подписи за сигурност) по подразбиране за всички връзки, за да се защити от NTLM релейни атаки.

При тези атаки злонамерени извършители принуждават мрежови устройства, включително контролери на домейни, да се удостоверяват срещу сървъри под техен контрол, за да поемат пълен контрол над домейна на Windows, като се представят за тях.

SMB подписването е механизъм за сигурност на SMB, който играе решаваща роля за осуетяване на злонамерени заявки за удостоверяване чрез проверка на самоличността на подателя и получателя чрез използване на вградени подписи и хешове, приложени към всяко съобщение.

Той е наличен, като се започне от Windows 98 и 2000, и е актуализиран в Windows 11 и Windows Server 2022, за да подобри защитата и производителността чрез значително ускоряване на скоростта на криптиране на данни.

Тези актуализации са част от по-широка инициатива за повишаване на сигурността на Windows и Windows Server, както беше подчертано в предишни съобщения, направени през 2022 г.

През април 2022 г. Microsoft направи значителна стъпка, когато обяви последната фаза на деактивиране на тридесетилетния протокол за споделяне на файлове SMB1 в Windows за Windows 11 Home Insiders.

Продължавайки тази траектория, пет месеца по-късно компанията представи усъвършенствани мерки за защита срещу атаки с груба сила, въвеждайки ограничител на скоростта на SMB удостоверяване, предназначен да намали въздействието на неуспешните опити за входящо NTLM удостоверяване.

 

 

#microsoft, # Windows 11
По материали от Интернет

Подобни

Sandworm засилва атаките срещу индустриални системи и критична инфраструктура
15.05.2026
industry-5742161_640
Китайска APT група атакува азербайджанска енергийна компания
15.05.2026
spying-4270361_640
OpenAI представи Daybreak
14.05.2026
Cybersecurity data protection word concepts banner
Ransomware екосистемата отново се концентрира
13.05.2026
nuevo-ransomware
Google: ИИ вече се използва за създаване на zero-day експлойти
12.05.2026
google-account-security-100832892-large
NIST обновява насоките за защита на GPS и PNT системи
12.05.2026
NIST

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy