Microsoft Windows 更接近于默认情况下完全需要的 SMB 安全签名

　　“这无疑是自移除 SMB1 活动以来我们所做的最大改变”

　　微软越来越接近要求至少在 Windows 11 上的所有连接默认情况下对 SMB 流量进行加密签名。

　　届时，这家软件巨头意味着网络上的所有SMB 消息都将进行数字签名，以便可以自动检测到任何篡改，并且发送者和接收者可以验证他们正在与谁交谈。

　　这位 IT 巨头通过金丝雀频道在最新的 Windows 11 Insider Preview 版本中将此签名作为一项要求，金丝雀频道是为相对原始的功能保留的发布频道，系统管理员、技术人员和开发人员可以试用这些功能并向 Microsoft 提供反馈。如果一切顺利，签约很可能全面展开。

　　在 3 月份启动Canary Channel时，Microsoft 警告说，并非通过该频道发布的所有功能都会进入未来版本的 Windows。然而，考虑到微软努力强化其操作系统——一般来说，特别是 SMB 文件共享——为了让这个默认值不被包含在未来的 Windows 迭代中，有些事情必须横向发展。

　　微软 Windows Server 工程组的首席项目经理 Ned Pyle在给 IT 管理员的一份说明中写道，预计 SMB 签名要求将在未来几个月内出现在 Windows Pro、Education 和其他版本以及 Windows Server 中，并补充说“根据 Insiders 的进展情况，它将开始出现在主要版本中。”

　　重大变化

　　Pyle 告诉The Register，这次更新意义重大，因为虽然 SMB 签名已经存在了几十年，但通常只有“一小部分 Active Directory 域控制器场景”默认需要它。这一变化涉及整个 SMB 生态系统，最终包括消费者，它还将使 SMB 第三方进入更安全的默认设置——就像我们在 Windows 中删除 SMB1 迫使业界效仿一样。”

　　SMB 是 Windows 用于通过网络传输文件的协议。除了检测篡改和模拟，签名还应该阻止 NTLM 中继攻击的尝试。在此类攻击中，网络上的不法分子会拦截用户登录服务器的尝试，以便攻击者以用户身份登录。

　　“客户端将整个消息的哈希值放入 SMB 标头的签名字段中，”Pyle 在他的书面说明中解释道。“如果有人稍后在网络上更改消息本身，哈希将不匹配，SMB 知道有人篡改了数据。它还会向发送者和接收者确认他们是他们所说的人，从而打破中继攻击。”

　　打破旧的方式

　　他写道，在 Windows 10 和 11 中，只有当连接到名为 SYSVOL 和 NETLOGON 的共享时，以及当客户端连接到 Active Directory 域控制器时才需要签名，默认情况下才需要 SMB 签名。

　　从 Windows 11 Insider PreviewBuild 25381企业版开始，默认情况下所有连接都需要签名。

　　“去年，我们在 SMB 方面取得了重大安全进展，但这无疑是自移除 SMB1 活动以来我们所做的最大改变，”Pyle 告诉我们。“我们今年在 Insiders 中计划了更多针对 SMB 安全的更改，一些小的纵深防御选项，但也有一些像这样的真正大的选项。”

　　这是确保 SMB 仍然是 Windows 安全的重要组成部分的持续努力的最新成果。微软在 2022 年默认禁用Windows 中对 SMB1 协议的支持，选择更安全的 SMB2。五个月后，雷德蒙德在 Windows Insider 中默认启用了 SMB 速率限制器，给进行多次身份验证尝试的不法分子带来了更多挑战。

　　今年在 Windows Insider Pro 版本中默认关闭了SMB 不安全的来宾身份验证，并开始结束不安全和不可靠的远程邮槽，这是 Windows NT 之前时代的遗留问题。

　　签名算法也有所改进，包括在 SMB 2.02 中添加 HMAC SHA-256 方法，在 SMB 3.0 中添加 AES-CMAC。在 Windows 11 和 Windows Server 2022 中，Microsoft 添加了 AES-128 GMAC 签名加速。

　　安全是永无止境的挑战

　　追溯到 Windows NT 的所有 Windows 和 Windows Server 版本都支持 SMB 签名。默认情况下需要签名，如果 SMB 签名在身份验证请求的两端不存在或损坏，您将遇到包括“0xc000a000”、“-1073700864”、“STATUS_INVALID_SIGNATURE”或“加密签名无效”在内的错误。 “

　　一个缺点是这种签名会降低 SMB 复制操作的速度，尽管微软表示企业可以通过添加更多物理 CPU 内核、虚拟 CPU 或更新更快的 CPU 来解决这个问题。

　　如上所述，我们被告知，这是 SMB 即将发生的更多变化的一部分。

　　“如果你维护协议和服务，安全性改进将永无止境，威胁不断演变，旧方法变得不那么可口，”派尔说。“每个人都会对即将推出的新 SMB 安全产品感到满意，除非他们在红队或有组织犯罪中。”