Megosztás a következőn keresztül:

Biztonsági tanácsadás

Microsoft Security Advisory 974926

Hitelesítő adatok újrafektetési támadásai integrált Windows-hitelesítés esetén

Közzétéve: 2009. december 08.

Verzió: 1.0

Ez a tanácsadás a hitelesítő adatok integrált Windows-hitelesítéssel (IWA) történő kezelését befolyásoló támadások lehetőségével foglalkozik, és azokat a mechanizmusokat, amelyeket a Microsoft elérhetővé tett az ügyfelek számára a támadások elleni védelem érdekében.

Ezekben a támadásokban azok a támadók, akik le tudják szerezni a felhasználó hitelesítési hitelesítő adatait az ügyfél és a kiszolgáló közötti átvitel során, vissza tudják tükrözni ezeket a hitelesítő adatokat az ügyfélen futó szolgáltatásnak, vagy továbbíthatják őket egy másik kiszolgálóra, amelyen az ügyfél érvényes fiókkal rendelkezik. Ez lehetővé tenné a támadó számára, hogy hozzáférjen ezekhez az erőforrásokhoz, megszemélyesítve az ügyfelet. Mivel az IWA hitelesítő adatai kivonatoltak, a támadók nem tudják ezt használni a tényleges felhasználónév és jelszó megállapításához.

A forgatókönyvtől és a további támadási vektorok használatától függően előfordulhat, hogy a támadó a szervezet biztonsági peremhálózatán belül és kívül is beszerezheti a hitelesítési hitelesítő adatokat, és felhasználhatja őket az erőforrásokhoz való nem megfelelő hozzáféréshez.

A Microsoft különböző szinteken kezeli ezeknek a problémáknak a lehetséges hatásait, és tudatni szeretné az ügyfelekkel azokat az eszközöket, amelyeket a problémák megoldásához elérhetővé tettek, és hogy milyen hatással van az eszközök használatára. Ez a tanácsadás az IWA-hitelesítési hitelesítő adatok védelmének javítása érdekében végrehajtott különböző műveletekről, valamint arról tartalmaz információkat, hogy az ügyfelek hogyan helyezhetik üzembe ezeket a biztosítékokat.

Enyhítő tényezők:

  • A hitelesítő adatok továbbításához a támadónak egy másik biztonsági rést is sikeresen ki kell használnia egy középen belüli támadás végrehajtásához, vagy meg kell győznie az áldozatot, hogy a szociális mérnök segítségével csatlakozzon egy kiszolgálóhoz a támadó felügyelete alatt, például egy rosszindulatú e-mail-üzenetben lévő hivatkozás elküldésével.
  • Az Internet Explorer nem küld automatikusan hitelesítő adatokat HTTP használatával az internetzónában üzemeltetett kiszolgálókra. Ez csökkenti annak a kockázatát, hogy a hitelesítő adatokat egy támadó továbbíthatja vagy tükrözheti ezen a zónán belül.
  • A tükrözési támadás sikeres végrehajtásához engedélyezni kell a bejövő forgalmat az ügyfélrendszer számára. A leggyakoribb támadási vektor az SMB, mivel lehetővé teszi az IWA-hitelesítést. Az SMB-forgalmat blokkoló tűzfal mögötti gazdagépek vagy a gazdagép tűzfalán az SMB-forgalmat blokkoló gazdagépek nem sebezhetők az SMB-t célzó leggyakoribb NTLM-tükröződési támadásokkal szemben.

Általános információk

Áttekintés

A tanácsadás célja: Annak tisztázása, hogy a Microsoft milyen műveleteket hajt végre a felhasználói hitelesítő adatok védelmének kiterjesztése érdekében az integrált Windows-hitelesítés (IWA) használatakor.

Tanácsadói állapot: Tanácsadó közzétéve.

Javaslat: Tekintse át a javasolt műveleteket, és konfigurálja a megfelelő módon.

Hivatkozások Azonosítás
Microsoft Tudásbáziscikk 974926

Ez a tanácsadás az alábbi szoftvereket ismerteti.

Érintett szoftver
Windows XP Service Pack 2 és Windows XP Service Pack 3
Windows XP x64-alapú Systems Service Pack 2 rendszerhez
Windows Server 2003 Service Pack 2
Windows Server 2003 x64-alapú Systems Service Pack 2 rendszerhez
Windows Server 2003 for Itanium-alapú Systems Service Pack 2
Windows Vista, Windows Vista Service Pack 1 és Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2
Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites Systems Service Pack 2 rendszerhez
Windows Server 2008 x64-alapú rendszerekhez és Windows Server 2008 x64-alapú Rendszerek Service Pack 2-hez
Az Itanium-alapú Windows Server 2008 és a Windows Server 2008 for Itanium-alapú Systems Service Pack 2
Windows 7 32 bites rendszerekhez*
Windows 7 x64-alapú rendszerekhez*
Windows Server 2008 R2 x64-alapú rendszerekhez*
Windows Server 2008 R2 Itanium-alapú rendszerekhez*

*A Windows 7 és a Windows Server 2008 R2 kiterjesztett védelmet biztosít a hitelesítéshez a biztonsági támogatási szolgáltató felületének (SSPI) funkciójaként. Az ezeken az operációs rendszereken futó alkalmazások továbbra is megjelenhetnek a hitelesítő adatok újrafektetésében, ha az operációs rendszer vagy az alkalmazás nincs konfigurálva a funkció támogatásához. Alapértelmezés szerint nincs engedélyezve a kiterjesztett védelem a hitelesítéshez.

Gyakori kérdések

Mi a tanácsadás hatóköre?
Ez a biztonsági tanácsadás átfogó áttekintést nyújt a Microsoft által a hitelesítő adatok átfektetése elleni védelemre alkalmazott stratégiáról. Áttekintést nyújt a probléma átfogó megoldásához jelenleg elérhető frissítésekről.

Mi okozza ezt a fenyegetést?
Ez a tanácsadás foglalkozik a hitelesítés átjátszásának lehetőségével. Ezek a támadások akkor történnek, ha a támadónak sikerül hitelesítési hitelesítő adatokat szereznie, például egy középen belüli támadással, vagy egy felhasználó meggyőzésével, hogy kattintson egy hivatkozásra. Ez a hivatkozás azt eredményezheti, hogy az ügyfél hozzáfér egy támadó által vezérelt szolgáltatáshoz, amely az IWA használatával történő hitelesítést kéri a felhasználótól.

A jelen tanácsadásban említett hitelesítő adatok átírásának formái a következők:

  • Hitelesítő adatok továbbítása: A támadó által beszerzett tartományi hitelesítő adatokkal bejelentkezhet más olyan szolgáltatásokba, amelyekhez az áldozatról ismert, hogy rendelkezik hozzáféréssel. A támadó ezután a célszolgáltatásban lévő áldozat engedélyével megegyező engedélyeket szerezhet be.
  • Hitelesítő adatok tükrözése: A támadó által beszerzett tartományi hitelesítő adatok felhasználhatók az áldozat gépére való bejelentkezéshez. A támadó ezután az áldozat engedélyével megegyező engedélyeket szerez be a gépen.

Ahhoz, hogy ezek a támadások sikeresek lehessenek, a támadónak csatlakoznia kell a támadó kiszolgálóhoz. Ez olyan támadásokkal valósítható meg, amelyek során a támadó jelen van a helyi hálózaton, például a címfeloldási protokoll (ARP) gyorsítótár-mérgezése.

Ezeknek a támadásoknak a hatása akkor nő, ha a támadó meggyőzi a felhasználót, hogy a szervezeti határokon kívüli kiszolgálóhoz csatlakozzon. Az ezt lehetővé tevő konkrét forgatókönyvek a következők:

  • A DNS-devolution egy Windows DNS-ügyfélfunkció, amely lehetővé teszi a Windows DNS-ügyfelek számára, hogy feloldják az egycímkés, nem minősített gazdagépnevek DNS-lekérdezéseit. A rosszindulatú felhasználók regisztrálhatnak egy adott gazdagépnevet a szervezet határain kívül, amelyet ha az ügyfelek helytelenül vannak konfigurálva, akaratlanul is kapcsolatba léphetnek egy ügyféllel, amikor a szervezet határain kívülre delegál, miközben megkísérli elérni az adott gazdagépnevet.
  • DNS-hamisítás, ahol a támadó kihasználhatja a Windows tartománynévrendszer (DNS) biztonsági réseit, ami lehetővé teszi a hamisítást. Ezek a támadások lehetővé tehetik, hogy a távoli támadó átirányítsa az internetes rendszerek hálózati forgalmát a támadó rendszerére.
  • NetBIOS-névszolgáltatás (NBNS) hamisítása, ahol a felhasználót arra csábítják, hogy futtasson egy speciálisan létrehozott Aktív kódalkalmazottat (például Java vagy Flash), amely lekérdezést indít egy helyi gazdagépnévhez, majd ezt követően hamis NBNS-válaszokat vezet be az ügyfélnek egy távoli IP-címmel. Amikor csatlakozik ehhez a gazdagépnévhez, az ügyfél ezt helyi gépnek tekinti, és megkísérli az IWA hitelesítő adatait, így felfedi ezeket a távoli támadónak;

A Microsoft számos frissítést adott ki, amelyek segítenek kezelni ezeket a forgatókönyveket, és ez a tanácsadás célja annak összegzése, hogy az ügyfelek hogyan értékelhetik a legjobban a kockázatokat és problémákat az adott üzembe helyezési forgatókönyvben.

Mi az integrált Windows-hitelesítés (IWA)?
Az integrált Windows-hitelesítés (korábbi nevén NTLM, más néven Windows NT Challenge/Response Authentication) esetén a rendszer kivonatolja a felhasználónevet és a jelszót (hitelesítő adatokat), mielőtt a hálózaton keresztül elküldené őket. Ha engedélyezi az integrált Windows-hitelesítést, az ügyfél a webkiszolgálóval folytatott kivonatolt titkosítási cserével igazolja a jelszóval kapcsolatos ismereteit. Az integrált Windows-hitelesítés tartalmazza az Egyeztetés, a Kerberos és az NTLM hitelesítési módszereket.

Mi az a középen belüli támadás?
A középen belüli támadás akkor fordul elő, ha a támadó a két felhasználó közötti kommunikációt a támadó számítógépén keresztül átirányítja a két kommunikáló felhasználó tudta nélkül. A támadó figyelheti és elolvashatja a forgalmat, mielőtt elküldené azt a címzettnek. A kommunikáció minden felhasználója tudatlanul küld forgalmat a támadónak, és fogadja a forgalmat, miközben arra gondol, hogy csak a kívánt féllel kommunikál.

Milyen műveleteket hajtott végre a Microsoft a DNS-hamisítási támadások kezelése érdekében?
A Microsoft a következő biztonsági közleményeket adta ki a DNS-hamisítási támadások kezelésére:

  • Az MS08-037 két biztonsági rést kezel, amelyek lehetővé tehetik a támadók számára a DNS-rekordok hamisítását és a DNS-kiszolgáló gyorsítótárába való beszúrását.
  • Az MS09-008 két biztonsági rést kezel, amelyek lehetővé teszik a támadók számára a DNS-rekordok hamisítását és a DNS-kiszolgáló gyorsítótárába való beszúrását, valamint két biztonsági rést, amelyek lehetővé teszik a támadó számára a hálózati infrastruktúrával kapcsolatos gazdagépnevek (WPAD és ISATAP) rosszindulatú regisztrálását, amelyek további támadások kezelésére használhatók.

Milyen műveleteket hajtott végre a Microsoft az NBNS-hamisítási támadások kezelésére?
A Microsoft együttműködik a biztonsági rés által érintett külső gyártókkal, és végrehajtották a támadási vektor elleni kockázatcsökkentést. Ezt a problémát az Adobe Flash Playerben az APSB08-11 biztonsági közleményben, valamint a Sun Java futtatókörnyezetben a Sun Alert 103079.

Mi az a címfeloldási protokoll (ARP) gyorsítótár-mérgezés?
Az ARP-gyorsítótár-mérgezés olyan támadás, amely egy támadó számítógépéből áll, amely ugyanazon az alhálózaton található, mint az áldozat, hamis vagy ingyenes ARP-válaszokat küldve. Ezek általában megpróbálják összezavarni az ügyfeleket abban a hitben, hogy a támadó az alapértelmezett átjáró a hálózaton, és az áldozat számítógépe információkat küld a támadónak, szemben az átjáróval. Egy ilyen támadás felhasználható egy középen belüli ember támadás beállítására.

Mi az a Transport Layer Security (TLS)?
A Transport Layer Security (TLS) kézfogási protokoll felelős a biztonságos munkamenetek létrehozásához vagy folytatásához szükséges hitelesítésért és kulcscseréért. Biztonságos munkamenet létrehozásakor a kézfogási protokoll a következőket kezeli:

  • Titkosítási csomag egyeztetése
  • A kiszolgáló és opcionálisan az ügyfél hitelesítése
  • Munkamenetkulcsok cseréje

További információ: TechNet-cikk, A TLS/SSL működése.

A Windows mely verziói vannak társítva ezzel a tanácsadással?
A hitelesítő adatok továbbítása és tükrözése minden olyan platformra hatással van, amely képes integrált Windows-hitelesítést végezni. A Kiterjesztett hitelesítési védelem funkció a Windows 7 és a Windows Server 2008 R2 része, és a Microsoft Security Advisory 973811 néven kiadott nem biztonsági frissítésben elérhetővé vált a Windows XP, a Windows Server 2003, a Windows Vista és a Windows Server 2008 rendszerhez. A hitelesítési hitelesítő adatok teljes védelme érdekében ezen operációs rendszerek adott alkalmazásainak továbbra is csatlakozniuk kell a mechanizmushoz. A Kiterjesztett védelem funkció nem érhető el a Microsoft Windows 2000 operációs rendszerhez.

Milyen műveleteket hajtott végre a Microsoft a hitelesítő adatok tükröződése elleni támadások elhárításához?
Az alkalmazások védettek a hitelesítő adatok tükröződése elleni támadások ellen, ha megfelelően használják a szolgáltatásnév nevét (SPN) a szolgáltatás hitelesítésekor.

A biztonsági tanácsadás közzététele előtt a Microsoft a következő biztonsági frissítéseket adta ki annak biztosítása érdekében, hogy a Windows-összetevők és a Microsoft-alkalmazások megfelelően csatlakozhassanak ehhez a mechanizmushoz, hogy védelmet nyújtsanak a hitelesítő adatok tükröződése elleni támadások ellen:

  • A Microsoft MS08-068 biztonsági közleménye a támadó SMB-kiszolgálóhoz való csatlakozáskor a hitelesítő adatok tükröződését ismerteti.
  • A Microsoft MS08-076 biztonsági közleménye a támadó Windows Media-kiszolgálóhoz való csatlakozáskor a hitelesítő adatok tükröződését ismerteti.
  • A Microsoft MS09-013 biztonsági közleménye a hitelesítő adatok tükrözésére szolgál, amikor egy támadó webkiszolgálójához csatlakozik a WinHTTP alkalmazásprogramozási felületével.
  • A Microsoft MS09-014 biztonsági közleménye a hitelesítő adatok tükrözésére szolgál, amikor egy támadó webkiszolgálójához csatlakozik a WinINET alkalmazásprogramozási felületével.
  • A Microsoft MS09-042 biztonsági közleménye a támadó telnet-kiszolgálóhoz való csatlakozáskor a hitelesítő adatok tükröződését ismerteti.

Milyen műveleteket hajtott végre a Microsoft a hitelesítő adatok továbbításával kapcsolatos támadások elhárításához?
A hitelesítő adatok továbbítása elleni védelmet a Windows biztonság támogatási szolgáltató felülete (SSPI) biztosítja. Ez a felület a Windows 7 és a Windows Server 2008 R2 rendszerben lett implementálva, és nem biztonsági frissítésként lett elérhetővé téve a Windows XP, a Windows Server 2003, a Windows Vista és a Windows Server 2008 rendszerhez.

A védelem érdekében további nem biztonsági frissítéseket kell üzembe helyezni, hogy azonos védelmet biztosítsanak az adott ügyfél- és kiszolgálóösszetevők és -alkalmazások számára. Ez a funkció mind az ügyfél, mind a kiszolgáló végén alkalmazza a hitelesítés módosításait, ezért körültekintően kell üzembe helyezni. A kiterjesztett hitelesítés elleni védelemről és a mechanizmus implementálásához kiadott nem biztonsági frissítésekről a Microsoft Security Advisory 973811 talál további információt.

Hogyan kezelhetők ezek a frissítések a hitelesítő adatok továbbítási támadásai ellen?
Az SSPI nem biztonsági frissítése a Microsoft Security Advisory 973811 módosítja az SSPI-t a jelenlegi integrált Windows-hitelesítési (IWA) mechanizmus kiterjesztése érdekében, hogy a hitelesítési kérések mind a kiszolgáló spn-jéhez legyenek kötve, amelyhez az ügyfél csatlakozni próbál, valamint a külső Transport Layer Security (TLS) csatornához, amelyen az IWA-hitelesítés történik, ha létezik ilyen csatorna. Ez egy alapfrissítés, amely önmagában nem old meg egy biztonsági rést, de ezt opcionális funkcióként telepíti, amelyet az alkalmazásgyártók konfigurálhatnak.

Az alkalmazásspecifikus nem biztonsági frissítések módosítják az IWA-hitelesítést végző egyes rendszerösszetevőket, hogy az összetevők az 1. réteg nem biztonsági frissítése által implementált védelmi mechanizmusok mellett dönthessenek. A kiterjesztett védelem hitelesítéshez való engedélyezéséről további információt a Microsoft Security Advisory 973811 és a Microsoft Tudásbázis megfelelő cikkében 973811 talál.

Milyen műveleteket hajtott végre a Microsoft a DNS-devolutáció kezelése érdekében?
A DNS-devolution támadási vektorként használható a biztonsági rés vállalati hálózaton kívüli kihasználásához. A devolution egy Windows DNS-ügyfélfunkció, amellyel a Windows DNS-ügyfelek feloldják az egycímkés, nem minősített gazdagépnevek DNS-lekérdezéseit. A lekérdezések úgy jönnek létre, hogy hozzáfűzik az elsődleges DNS-utótagot (PDS) a gazdagépnévhez. A lekérdezés újrapróbálkozásához szisztematikusan eltávolítja a bal oldali címkét a PDS-ben, amíg a gazdagépnév és a fennmaradó PDS meg nem oldódik, vagy csak két címke marad a levágott PDS-ben. A western.corp.contoso.co.us tartományban az "egycímke" kifejezést kereső Windows-ügyfelek például fokozatosan lekérdezik Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us, majd Single-label.co.us, amíg meg nem talál egy feloldott rendszert. Ezt a folyamatot devolutionnak nevezzük.

A támadók a szervezet határain kívül is üzemeltethetnek egy egycímkés nevet tartalmazó rendszert, és a DNS-devolutáció miatt előfordulhat, hogy egy Windows DNS-ügyfél sikeresen csatlakozik hozzá, mintha a szervezet határain belül lenne. Ha például egy vállalat DNS-utótagját corp.contoso.co.us, és megpróbálják feloldani az "egycímke" nem minősített gazdagépnevét, a DNS-feloldó megpróbálja Single-Label.corp.contoso.co.us. Ha ez nem található, a DNS-devolution használatával megpróbálja feloldani a Single-label.contoso.co.us. Ha ez nem található, megpróbálja feloldani a Single-label.co.us, amely a contoso.co.us tartományon kívül esik. Ezt a folyamatot devolutionnak nevezzük.

Ha például ez a gazdagépnév WPAD, egy támadó, aki beállítja a WPAD.co.us, egy kártékony webproxy automatikus felderítési fájlt adhat meg az ügyfélproxy beállításainak konfigurálásához.

A Microsoft kiadta a Security Advisory 971888 és egy kapcsolódó frissítést, amely részletesebb ellenőrzést biztosít a szervezeteknek a Windows-ügyfelek DNS-devolutációja során. Ez a frissítés lehetővé teszi a szervezet számára, hogy megakadályozza, hogy az ügyfelek a szervezeti határokon kívülre fejlődjenek.

Mit tehetnek a külső fejlesztők a hitelesítő adatok átfektetéséhez?
A külső fejlesztőknek fontolóra kell venniük a kiterjesztett hitelesítés védelmét a Microsoft Security Advisory 973811 című cikkben ismertetett új védelmi mechanizmus kiválasztásával.

További információt arról, hogy a fejlesztők hogyan választhatják ezt a mechanizmust, az MSDN integrált Windows-hitelesítés kiterjesztett védelemmel című cikkében talál.

Mi az egyszerű szolgáltatásnév (SPN)?
A szolgáltatásnév (SPN) az a név, amellyel az ügyfél egyedileg azonosít egy szolgáltatáspéldányt. Ha egy szolgáltatás több példányát telepíti a hálózaton keresztüli számítógépekre, minden példánynak saját egyszerű szolgáltatásnévvel kell rendelkeznie. Egy adott szolgáltatáspéldány több egyszerű szolgáltatásnévvel is rendelkezhet, ha az ügyfelek több nevet is használhatnak a hitelesítéshez. Egy egyszerű szolgáltatásnév például mindig tartalmazza annak a gazdagépnek a nevét, amelyen a szolgáltatáspéldány fut, így egy szolgáltatáspéldány regisztrálhat egy SPN-t a gazdagép minden nevére vagy aliasára.

Javasolt műveletek

  • Tekintse áta Microsoft Security Advisor 973811, a kiterjesztett hitelesítés védelmét, és implementálja a kapcsolódó frissítéseket
    Ez a biztonsági tanácsadó bejelenti a kiterjesztett hitelesítést megvalósító nem biztonsági frissítések kiadását. Ez a funkció segít megvédeni a hitelesítési kísérleteket az átfedő támadásokkal szemben.
  • Tekintse áta Microsoft Security Advisor 971888, a DNS-devolution frissítését
    Ez a biztonsági tanácsadó egy opcionális, nem biztonsági frissítés kiadását jelenti be, amely lehetővé teszi a rendszergazdák számára, hogy a DNS-devolutációt pontosabban konfigurálják.
  • Tekintse át a microsoftos tudásbázisnak a tanácsadóhoz társított cikkét
    Azoknak az ügyfeleknek, akik többet szeretnének megtudni erről a biztonsági tanácsadásról, tekintse át a Microsoft Tudásbázis 974926.
  • A számítógép védelme
    Továbbra is arra ösztönözzük az ügyfeleket, hogy kövessék a tűzfal engedélyezésére, a szoftverfrissítések beszerzésére és a víruskereső szoftverek telepítésére vonatkozó útmutatást. Az ügyfelek a Számítógép védelme című témakörben találnak további információt ezekről a lépésekről.
  • A biztonságos internethasználatról további információt a Microsoft Security Central webhelyén talál.
  • A Windows frissítése
    Minden Windows-felhasználónak a Microsoft legújabb biztonsági frissítéseit kell alkalmaznia, hogy a számítógépeik a lehető legvédettebbé legyenek. Ha nem biztos abban, hogy a szoftver naprakész-e, látogasson el a Windows Update-be, keresse fel a számítógépet az elérhető frissítéseket, és telepítse az Önnek kínált magas prioritású frissítéseket. Ha engedélyezve van az Automatikus Frissítések, a frissítések a kiadásukkor lesznek kézbesítve, de telepítenie kell őket.

Kerülő megoldások

Számos áthidaló megoldás létezik a rendszerek hitelesítő adatok visszaverődése vagy a hitelesítő adatok továbbítása elleni védelmére. A Microsoft az alábbi kerülő megoldásokat tesztelte. Bár ezek a kerülő megoldások nem javítják a mögöttes biztonsági rést, segítenek blokkolni az ismert támadási vektorokat. Ha egy kerülő megoldás csökkenti a funkciókat, az a következő szakaszban lesz azonosítva.

A 139-ös és a 445-ös TCP-portok letiltása a tűzfalon

Hitelesítő adatokkal kapcsolatos tükröződési támadások esetén a továbbított hitelesítő adatokat használó bejövő kapcsolatok valószínűleg az SMB- vagy RPC-szolgáltatásokon keresztül jönnek létre. A tűzfalon a 139-ös és a 445-ös TCP-port letiltása segít megvédeni a tűzfal mögött található rendszereket a biztonsági rés kihasználására tett kísérletektől. A Microsoft azt javasolja, hogy tiltsa le az internetről érkező kéretlen bejövő kommunikációt, hogy megelőzze a más portokat használó támadásokat. A portokkal kapcsolatos további információkért lásd a TCP- és UDP-port-hozzárendeléseket.

A megkerülő megoldás hatása: Több Windows-szolgáltatás használja az érintett portokat. A portokhoz való csatlakozás letiltása miatt a különböző alkalmazások vagy szolgáltatások nem működnek. Néhány érintett alkalmazás vagy szolgáltatás az alábbiakban látható:

  • SMB-t (CIFS) használó alkalmazások
  • Levelező- vagy elnevezett csöveket használó alkalmazások (RPC SMB-n keresztül)
  • Kiszolgáló (fájl- és nyomtatómegosztás)
  • Csoportházirend
  • Net Logon
  • Elosztott fájlrendszer (DFS)
  • Terminálkiszolgáló licencelése
  • Nyomtatásisor-kezelő
  • Számítógép-böngésző
  • Távoli eljárás híváskeresője
  • Faxszolgáltatás
  • Indexelő szolgáltatás
  • Teljesítménynaplók és riasztások
  • Rendszerfelügyeleti kiszolgáló
  • Licencnaplózási szolgáltatás

SMB-aláírás engedélyezése

Az SMB-aláírás engedélyezése megakadályozza, hogy a támadó kódokat hajt végre a bejelentkezett felhasználó kontextusában. Az SMB-aláírás kölcsönös és üzenethitelesítést biztosít azáltal, hogy digitális aláírást helyez el az egyes SMB-kben, amelyet aztán az ügyfél és a kiszolgáló is ellenőriz. A Microsoft azt javasolja, hogy csoportházirendek használatával konfigurálja az SMB-aláírást.

A Microsoft Windows 2000, Windows XP és Windows Server 2003 SMB-aláírásának engedélyezésére és letiltására vonatkozó csoportházirenddel kapcsolatos részletes útmutatásért tekintse meg a Microsoft Tudásbázis 887429. A Windows XP és a Windows Server 2003 microsoft tudásbáziscikkének 887429 utasításai a Windows Vista és a Windows Server 2008 rendszerre is vonatkoznak.

A megkerülő megoldás hatása: Az SMB-csomagaláírás csökkentheti a fájlszolgáltatás-tranzakciók teljesítményét. A házirendkészlettel rendelkező számítógépek nem kommunikálnak azokkal a számítógépekkel, amelyeken nincs engedélyezve az ügyféloldali csomagaláírás. További információ az SMB-aláírásról és a lehetséges hatásokról: Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig).

Egyéb információk

Erőforrások:

Felelősséget kizáró nyilatkozat:

A jelen tanácsadásban megadott információk bármilyen garanciális szavatosság nélkül". A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.

Felülvizsgálatok:

  • 1.0-s verzió (2009. december 8.): Tanácsadó megjelent.

Készült: 2014-04-18T13:49:36Z-07:00