15.09.23 13:03
Microsoft обновила политику безопасности Windows 11, позволив администраторам блокировать протокол аутентификации NTLM при работе с SMB (Server Message Block). Функция позволит защитить систему от атак, применяющих методы «pass-the-hash» и NTLM relay, согласно Securitylab.
SMB — это сетевой протокол прикладного уровня, который предоставляет общий доступ к файлам, принтерам и различным портам между устройствами в одной сети. Он включает в себя механизмы аутентификации и шифрования, которые должны обеспечивать безопасный доступ к ресурсам, но именно в этой части часто возникают уязвимости, которые могут быть использованы для атак.
В ранних версиях Windows для аутентификации использовалась технология SPNEGO. Она поддерживала несколько протоколов, включая Kerberos и NTLM — не самый надежный инструмент, который создает хеши из пользовательских паролей, а затем передает их на сервер для верификации.
Нововведение значительно снижает риски: хэши паролей не могут быть перехвачены и взломаны, если от их отправки на удаленные сервера отказаться. Администратор может отключить NTLM через групповые политики или в PowerShell. В будущем разработчики планируют создать список исключений — конкретных серверов, для которых блокировка не будет действовать
Кроме того, в систему внедрили дополнительную функцию для управления диалектами SMB. Она позволяет ограничивать подключение старых и незащищенных устройств. Система теперь требует SMB подписи (security signatures) по умолчанию для всех соединений (это можно считать дополнительным барьером против NTLM relay атак).
Обновление — часть большой инициативы Microsoft по улучшению безопасности в продуктах линейки Windows и Windows Server. Ранее в 2023 году был отключен устаревший протокол SMB1 и внедрен ограничитель скорости аутентификации SMB, чтобы минимизировать риски атак методом перебора.
Таким образом, новая функция предоставит администраторам больше возможностей для контроля сети и защиты пользовательских данных.
