Melindungi lalu lintas SMB dari intersepsi

Dalam artikel ini, Anda akan mempelajari beberapa cara penyerang dapat menggunakan teknik intersepsi terhadap protokol SMB dan bagaimana Anda dapat mengurangi serangan. Konsep ini akan mendukung Anda dengan mengembangkan strategi pertahanan mendalam Anda sendiri untuk protokol SMB.

Apa itu serangan intersepsi?

Serangan adversary-in-the-middle (AITM) berniat untuk memodifikasi komunikasi jaringan antara klien dan server, memungkinkan aktor ancaman untuk mencegat lalu lintas. Setelah penyadapan, aktor jahat mungkin memiliki kemampuan untuk memalsukan, mengubah, mengungkapkan, atau menolak akses ke data organisasi atau kredensial akun Anda.

Banyak organisasi mengandalkan SMB untuk berbagi file antara pengguna dan untuk mendukung aplikasi atau teknologi lain seperti Active Directory Domain Services. Dengan adopsi yang begitu luas, SMB adalah target populer bagi penyerang dan memiliki potensi dampak di seluruh bisnis.

Misalnya, serangan AITM dapat digunakan untuk spionase industri atau tingkat negara bagian, pemerasan, atau menemukan data keamanan sensitif yang disimpan dalam file. Ini juga dapat digunakan sebagai bagian dari serangan yang lebih luas untuk memungkinkan penyerang bergerak secara lateral dalam jaringan Anda atau untuk menargetkan beberapa titik akhir.

Serangan terus berkembang, dengan penyerang sering menggunakan kombinasi teknik yang mapan dan baru. Saat melindungi sistem Anda dari intersepsi SMB, ada dua tujuan utama:

  • Kurangi jumlah metode serangan yang tersedia.
  • Amankan jalur yang Anda sajikan kepada pengguna Anda.

Karena keragaman teknologi dan klien dalam banyak organisasi, pertahanan yang bulat akan menggabungkan beberapa metode dan akan mengikuti prinsip-prinsip Zero Trust. Pelajari selengkapnya tentang Zero Trust di artikel Apa itu Zero Trust? .

Sekarang Anda akan mempelajari tentang beberapa konfigurasi praktik baik yang khas untuk mengurangi risiko intersepsi SMB.

Mengurangi metode serangan yang tersedia

Untuk melindungi sistem Anda dari serangan intersepsi SMB, langkah pertama Anda adalah mengurangi permukaan serangan. Permukaan serangan adalah tempat di mana sistem Anda rentan terhadap cyberthreats dan kompromi.

Di bagian berikut, kita akan membahas beberapa langkah dasar yang harus Anda ambil untuk mengurangi permukaan serangan.

Menginstal pembaruan

Instal semua pembaruan keamanan yang tersedia secara teratur pada Windows Server dan sistem klien Anda sedekat mungkin dengan rilisnya seperti yang diizinkan organisasi Anda. Menginstal pembaruan keamanan terbaru adalah cara tercepat dan term mudah untuk melindungi sistem Anda dari kerentanan keamanan yang diketahui saat ini tidak hanya memengaruhi SMB, tetapi semua Microsoft produk dan layanan.

Anda dapat menginstal pembaruan keamanan menggunakan beberapa metode berbeda tergantung pada persyaratan organisasi Anda. Metode umumnya adalah:

Pertimbangkan untuk berlangganan pemberitahuan di Panduan Pembaruan Keamanan Microsoft Security Response Center (MSRC). Sistem Pemberitahuan Panduan Pembaruan Keamanan akan memberi tahu Anda kapan pembaruan perangkat lunak diterbitkan untuk mengatasi Kerentanan dan Paparan Umum (CVE) baru dan yang sudah ada.

Menghapus SMB 1.0

Anda harus menghapus atau menonaktifkan fitur SMB 1.0 dari semua Windows Server dan klien yang tidak memerlukannya. Untuk sistem yang memerlukan SMB 1.0, Anda harus pindah ke SMB 2.0 atau lebih tinggi sesegera mungkin. Mulai dari Windows 10 Fall Creators Update dan Windows Server 2019, SMB 1.0 tidak lagi diinstal secara default.

Tip

Windows 10 Home dan Windows 10 Pro masih berisi klien SMB 1.0 secara default setelah penginstalan bersih atau peningkatan di tempat. Perilaku ini berubah dalam Windows 11, Anda dapat membaca selengkapnya di artikel SMB1 yang sekarang dinonaktifkan secara default untuk build Windows 11 Home Insider.

Menghapus SMB 1.0 melindungi sistem Anda dengan menghilangkan beberapa kerentanan keamanan yang terkenal. SMB 1.0 tidak memiliki fitur keamanan SMB 2.0 dan yang lebih baru yang membantu melindungi dari penyadapan. Misalnya, untuk mencegah koneksi yang disusupi SMB 3.0 atau yang lebih baru menggunakan integritas, enkripsi, dan penandatanganan pra-autentikasi. Pelajari selengkapnya di artikel peningkatan keamanan SMB .

Sebelum menghapus fitur SMB 1.0, pastikan tidak ada aplikasi dan proses di komputer yang memerlukannya. Untuk informasi selengkapnya tentang cara mendeteksi dan menonaktifkan SMB 1.0, lihat artikel Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Anda juga dapat menggunakan Windows Admin Center Files dan alat berbagi file untuk mengaktifkan audit koneksi klien SMB1 dengan cepat dan untuk menghapus instalan SMB 1.

Menonaktifkan autentikasi dan fallback tamu

Di SMB 1.0 saat kredensial pengguna gagal, klien SMB akan mencoba akses tamu. Mulai Windows 10, versi 1709, dan Windows Server 2019, klien SMB2 dan SMB3 tidak lagi mengizinkan akses atau fallback akun tamu ke akun tamu secara default. Anda harus menggunakan SMB 2.0 atau yang lebih tinggi dan menonaktifkan penggunaan akses tamu SMB pada sistem apa pun di mana akses tamu tidak dinonaktifkan secara default.

Tip

Edisi Windows 11 Home dan Pro tidak berubah dari perilaku default sebelumnya; mereka mengizinkan autentikasi tamu secara default.

Ketika akses tamu dinonaktifkan, itu mencegah aktor jahat membuat server dan menipu pengguna untuk mengaksesnya menggunakan akses tamu. Misalnya, ketika pengguna mengakses berbagi spoofed, kredensial mereka akan gagal dan SMB 1.0 akan kembali menggunakan akses tamu. Menonaktifkan akses tamu menghentikan sesi SMB terhubung, mencegah pengguna mengakses berbagi dan file berbahaya apa pun.

Untuk mencegah penggunaan fallback tamu pada klien Windows SMB di mana akses tamu tidak dinonaktifkan secara default (termasuk Windows Server):

  1. Buka Kebijakan Grup Management Console.
  2. Di pohon konsol, pilih Templat Administratif Konfigurasi >> Komputer Stasiun Kerja Lanman Jaringan>.
  3. Untuk pengaturan, klik kanan Aktifkan masuk tamu yang tidak aman dan pilih Edit.
  4. Pilih Diaktifkan dan pilih OK.

Untuk mempelajari selengkapnya tentang perilaku default akses tamu, baca artikel Akses tamu di SMB2 dan SMB3 dinonaktifkan secara default di Windows.

Menonaktifkan protokol WebDAV

Klien Windows mungkin tidak memerlukan WebClient layanan untuk dijalankan. Layanan ini menyediakan protokol Penulisan dan Penerapan Versi Terdistribusi Web (WebDAV). Jika klien Anda tidak mengakses berbagi SMB melalui HTTP atau HTTPS menggunakan WebDAV, Anda dapat menonaktifkan layanan.

Saat pengguna Anda mengakses file menggunakan WebDAV, tidak ada metode untuk memaksa koneksi berbasis TLS melalui HTTPS. Misalnya, server Anda dapat dikonfigurasi untuk memerlukan penandatanganan atau enkripsi SMB, namun Webclient dapat tersambung ke HTTP/80 jika WebDAV telah diaktifkan. Setiap koneksi yang dihasilkan akan tidak terenkripsi, terlepas dari konfigurasi SMB Anda.

Anda dapat menggunakan Preferensi Kebijakan Grup untuk menonaktifkan layanan pada sejumlah besar komputer saat Anda siap untuk menerapkan. Untuk informasi selengkapnya tentang mengonfigurasi Preferensi Kebijakan Grup, lihat Mengonfigurasi Item Layanan.

Membatasi tujuan SMB keluar

Blokir lalu lintas SMB keluar ke perangkat di luar jaringan Anda minimal. Memblokir SMB keluar mencegah data dikirim ke titik akhir eksternal. Aktor jahat sering mencoba serangan spoofing, perusakan, atau phishing yang mencoba mengirim pengguna ke titik akhir berbahaya yang disaring sebagai tautan atau pintasan yang ramah dalam email atau file lainnya. Untuk mempelajari selengkapnya tentang memblokir akses SMB keluar, baca artikel Mengamankan Lalu Lintas SMB di Windows Server .

Ambil prinsip ini lebih lanjut dengan memperkenalkan perimeter mikro dan segmentasi mikro ke dalam arsitektur Anda. Memblokir lalu lintas SMB keluar ke jaringan eksternal membantu mencegah eksfiltrasi langsung data ke internet, namun serangan modern menggunakan teknik canggih untuk secara tidak langsung mendapatkan akses dengan menyerang sistem lain, lalu bergerak secara lateral dalam jaringan Anda. Perimeter mikro dan segmentasi mikro bertujuan untuk mengurangi jumlah sistem dan pengguna dapat langsung terhubung ke berbagi SMB Anda kecuali yang secara eksplisit perlu. Pelajari lebih lanjut tentang Segmentasi jaringan sebagai bagian dari Panduan Zero Trust kami.

Mengamankan protokol

Tujuan kedua Anda adalah mengamankan jalur antara pengguna Anda dan data mereka, yang dikenal sebagai perlindungan data dalam transit. Perlindungan data dalam transit biasanya melibatkan penggunaan enkripsi, pengerasan antarmuka, dan penghapusan protokol yang tidak aman untuk meningkatkan resistensi Anda terhadap serangan.

Di bagian berikut, kita akan membahas beberapa langkah dasar yang harus Anda ambil untuk mengamankan protokol SMB.

Menggunakan SMB 3.1.1

Windows selalu bernegosiasi ke protokol tertinggi yang tersedia, pastikan perangkat dan komputer Anda mendukung SMB 3.1.1.

SMB 3.1.1 tersedia dimulai dengan Windows 10 dan Windows Server 2016. SMB 3.1.1 menyertakan fitur keamanan wajib baru yang disebut integritas pra-autentikasi. Integritas pra-autentikasi menandatangani atau mengenkripsi fase awal koneksi SMB untuk mencegah perubahan pesan Negosiasi dan Penyiapan Sesi dengan menggunakan hash kriptografi.

Hashing kriptografi berarti klien dan server dapat saling mempercayai properti koneksi dan sesi. Integritas pra-autentikasi menggantikan negosiasi dialek aman yang diperkenalkan di SMB 3.0. Anda tidak dapat menonaktifkan integritas pra-autentikasi, tetapi jika klien menggunakan dialek yang lebih lama, itu tidak akan digunakan.

Anda dapat meningkatkan postur keamanan Anda lebih jauh dengan memaksa penggunaan SMB 3.1.1 minimal. Untuk mengatur dialek SMB minimum ke 3.1.1, dari prompt PowerShell yang ditinggikan, jalankan perintah berikut:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MinSMB2Dialect" -Value 0x000000311
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MaxSMB2Dialect" -Value 0x000000311

Untuk mempelajari selengkapnya tentang cara mengatur dialek SMB minimum yang digunakan, lihat Mengontrol dialek SMB.

Gunakan pengerasan UNC untuk memerlukan penandatanganan, enkripsi, dan autentikasi timbal balik

Aktifkan pengerasan UNC untuk semua berbagi SMB dengan memerlukan setidaknya autentikasi timbal balik (Kerberos) dan integritas (penandatanganan SMB). Anda juga harus mempertimbangkan untuk mengevaluasi privasi (enkripsi SMB) alih-alih penandatanganan SMB. Tidak perlu mengonfigurasi penandatanganan SMB dan enkripsi karena enkripsi secara implisit menyertakan tanda tangan yang digunakan oleh penandatanganan.

Perhatian

Enkripsi SMB diperkenalkan dengan SMB 3 di Windows 8 dan Windows Server 2012. Anda tidak boleh memerlukan enkripsi kecuali semua komputer Anda mendukung SMB 3.0 atau yang lebih baru, atau merupakan pihak ketiga dengan SMB 3 dan dukungan enkripsi. Jika Anda mengonfigurasi enkripsi SMB pada klien atau jalur UNC yang dihosting oleh server yang tidak mendukung Enkripsi SMB, klien SMB tidak akan dapat mengakses jalur yang ditentukan. Selain itu, jika Anda mengonfigurasi server Anda untuk enkripsi SMB dan diakses oleh klien yang tidak mendukungnya, klien tersebut akan kembali tidak dapat mengakses jalur.

Penguatan UNC memberikan kemampuan untuk memeriksa jalur UNC untuk pengaturan keamanan yang diamanatkan dan akan menolak untuk terhubung jika server tidak dapat memenuhinya. Dimulai dengan Windows Server 2016 dan Windows 10, Penguatan UNC diaktifkan secara default untuk berbagi SYSVOL dan NETLOGON pada pengontrol domain. Ini adalah alat yang sangat efektif terhadap spoofing dan perubahan karena klien dapat mengautentikasi identitas server dan memvalidasi integritas payload SMB.

Saat mengonfigurasi pengerasan UNC, Anda dapat menentukan berbagai pola jalur UNC. Contohnya:

  • \\<Server>\<Share> - Entri konfigurasi berlaku untuk berbagi yang memiliki nama yang ditentukan pada server yang ditentukan.
  • \\*\<Share> - Entri konfigurasi berlaku untuk berbagi yang memiliki nama yang ditentukan di server apa pun.
  • \\<Server>\* - Entri konfigurasi berlaku untuk berbagi apa pun di server yang ditentukan.

Anda dapat menggunakan Kebijakan Grup untuk menerapkan fitur penguatan UNC ke sejumlah besar komputer saat Anda siap untuk menerapkannya. Untuk informasi selengkapnya tentang mengonfigurasi penguatan UNC melalui Kebijakan Grup, lihat buletin keamanan MS15-011.

Memetakan drive sesuai permintaan dengan penandatanganan atau enkripsi yang dimandatkan

Selain pengerasan UNC, Anda dapat menggunakan penandatanganan atau enkripsi saat memetakan drive jaringan. Dimulai di Windows versi 1709 dan yang lebih baru, Anda dapat membuat drive terenkripsi atau ditandatangani sesuai permintaan menggunakan Windows PowerShell atau Prompt Perintah. Anda dapat menggunakan NET USE perintah atau perintah PowerShell New-SmbMapping untuk memetakan drive dengan menentukan parameter RequireIntegrity (penandatanganan) atau RequirePrivacy (enkripsi).

Perintah dapat digunakan oleh administrator atau disertakan dalam skrip untuk mengotomatiskan pemetaan drive yang memerlukan pemeriksaan enkripsi atau integritas.

Parameter tidak mengubah cara kerja penandatanganan atau enkripsi, atau persyaratan dialek. Jika Anda mencoba memetakan drive dan server menolak untuk memenuhi persyaratan Anda untuk penandatanganan atau enkripsi, pemetaan drive akan gagal daripada terhubung dengan tidak aman.

Pelajari tentang sintaks dan parameter untuk New-SmbMapping perintah di artikel referensi New-SmbMapping .

Di luar SMB

Berhenti menggunakan NTLM dan tingkatkan keamanan Kerberos Anda. Anda dapat memulai dengan mengaktifkan audit untuk penggunaan NTLM, lalu meninjau log untuk menemukan di mana NTLM digunakan.

Menghapus NTLM membantu melindungi Anda dari serangan umum seperti tabel hash pass-the-hash, brute-force, atau rainbow karena penggunaan fungsi hash kriptografi MD4/MD5 yang lebih lama. NTLM juga tidak dapat memverifikasi identitas server, tidak seperti protokol yang lebih baru seperti Kerberos, membuatnya rentan terhadap serangan relai NTLM juga. Banyak dari serangan umum ini mudah dimitigasi dengan Kerberos.

Untuk mempelajari cara mengaudit NTLM sebagai bagian dari upaya Anda untuk memulai transisi ke Kerberos, lihat artikel Menilai penggunaan NTLM . Anda juga dapat membaca pelajari tentang mendeteksi protokol yang tidak aman menggunakan Azure Sentinel di artikel blog Panduan Implementasi Buku Kerja Protokol Tidak Aman Azure Sentinel .

Secara paralel dengan menghapus NTLM, Anda harus mempertimbangkan untuk menambahkan lebih banyak lapisan perlindungan untuk serangan lolos offline dan tiket. Gunakan item berikut sebagai panduan saat meningkatkan keamanan Kerberos.

  1. Menyebarkan Windows Hello untuk Bisnis atau kartu pintar - Autentikasi dua faktor dengan Windows Hello untuk Bisnis menambahkan seluruh lapisan perlindungan baru. Pelajari tentang Windows Hello untuk Bisnis.
  2. Menerapkan kata sandi dan frasa panjang - Kami mendorong penggunaan panjang kata sandi yang lebih panjang seperti 15 karakter atau lebih untuk mengurangi ketahanan Anda terhadap serangan brute force. Anda juga harus menghindari kata atau frasa umum untuk membuat kata sandi Anda lebih kuat.
  3. Sebarkan Perlindungan Kata Sandi Azure AD untuk Active Directory Domain Services - Gunakan Azure AD Password Protect untuk memblokir kata sandi dan istilah lemah yang diketahui khusus untuk organisasi Anda. Untuk mempelajari lebih lanjut, tinjau Menerapkan Perlindungan Kata Sandi Azure AD lokal untuk Active Directory Domain Services.
  4. Gunakan grup Akun Layanan Terkelola (gMSA) - layanan yang diaktifkan gMSA dengan konstruksi karakter acak 127 mereka, membuat serangan brute force dan kamus untuk memecahkan kata sandi yang sangat memakan waktu. Baca tentang gMSA apa yang ada di artikel Gambaran Umum Akun Layanan Terkelola Grup.
  5. Kerberos Armoring, yang dikenal sebagai Flexible Authentication Secure Tunneling (FAST) - FAST mencegah Kerberoasting karena data pra-autentikasi pengguna dilindungi dan tidak lagi tunduk pada serangan brute force atau kamus offline. Ini juga mencegah penurunan tingkat serangan dari KDC yang di-spoofed, untuk mempelajari lebih lanjut tinjauan Kerberos Armoring.
  6. Gunakan Pertahanan Windows Credential Guard - Credential Guard membuat kompromi tiket lokal lebih sulit dengan mencegah pemberian tiket dan tiket layanan cache dicuri. Pelajari selengkapnya di artikel Cara kerja Pertahanan Windows Credential Guard.
  7. Pertimbangkan untuk mewajibkan SCRIL: Kartu Pintar Diperlukan untuk Masuk Interaktif - Saat menyebarkan SCRIL, AD mengubah kata sandi pengguna menjadi set 128-bit acak yang tidak lagi dapat digunakan pengguna untuk masuk secara interaktif. SCRIL biasanya hanya cocok untuk lingkungan dengan persyaratan keamanan tertentu. Untuk mempelajari selengkapnya tentang strategi tanpa kata sandi, tinjau Mengonfigurasi akun pengguna untuk melarang autentikasi kata sandi.

Langkah berikutnya

Sekarang Anda telah mempelajari tentang beberapa kontrol dan mitigasi keamanan untuk mencegah penyadapan SMB, Anda akan memahami tidak ada satu langkah pun untuk mencegah semua serangan intersepsi. Tujuannya adalah untuk menciptakan kombinasi mitigasi risiko yang bijaksan, holistik, dan diprioritaskan yang mencakup beberapa teknologi melalui pertahanan berlapis.

Anda dapat terus mempelajari lebih lanjut tentang konsep-konsep ini dalam artikel di bawah ini.