Melindungi lalu lintas SMB dari intersepsi

Dalam artikel ini, Anda akan mempelajari beberapa cara penyerang dapat menggunakan teknik intersepsi terhadap protokol SMB dan bagaimana Anda dapat mengurangi serangan. Konsep ini akan mendukung Anda dengan mengembangkan strategi pertahanan mendalam Anda sendiri untuk protokol SMB.

Apa itu serangan intersepsi?

Serangan adversary-in-the-middle (AITM) bertujuan untuk memodifikasi komunikasi jaringan antara klien dan server, sehingga pelaku ancaman dapat mencegat lalu lintas data jaringan. Setelah penyadapan, aktor jahat mungkin memiliki kemampuan untuk memalsukan, merusak, mengungkapkan, atau menolak akses ke data organisasi atau kredensial akun Anda.

Banyak organisasi mengandalkan SMB untuk berbagi file antara pengguna dan untuk mendukung aplikasi atau teknologi lain seperti Active Directory Domain Services. Dengan adopsi yang begitu luas, SMB adalah target populer bagi penyerang dan memiliki potensi dampak di seluruh bisnis.

Misalnya, serangan AITM dapat digunakan untuk spionase industri atau tingkat negara bagian, pemerasan, atau menemukan data keamanan sensitif yang disimpan dalam file. Ini juga dapat digunakan sebagai bagian dari serangan yang lebih luas untuk memungkinkan penyerang bergerak secara lateral dalam jaringan Anda atau untuk menargetkan beberapa titik akhir.

Serangan terus berkembang, dengan penyerang sering menggunakan kombinasi teknik yang mapan dan baru. Saat melindungi sistem Anda dari intersepsi SMB, ada dua tujuan utama:

• Kurangi jumlah metode serangan yang tersedia.
• Amankan jalur yang Anda sajikan kepada pengguna Anda.

Karena keberagaman teknologi dan klien dalam banyak organisasi, pertahanan yang komprehensif akan menggabungkan beberapa metode dan mengikuti prinsip Zero Trust. Pelajari selengkapnya tentang Zero Trust di artikel Apa itu Zero Trust? .

Sekarang Anda akan mempelajari tentang beberapa konfigurasi praktik terbaik untuk mengurangi risiko penyadapan SMB.

Mengurangi metode serangan yang tersedia

Untuk melindungi sistem Anda dari serangan intersepsi SMB, langkah pertama Anda harus mengurangi permukaan serangan. Permukaan serangan adalah tempat di mana sistem Anda rentan terhadap ancaman cyber dan kompromi.

Di bagian berikut, kita akan membahas beberapa langkah dasar yang harus Anda ambil untuk mengurangi permukaan serangan.

Install updates

Instal semua pembaruan keamanan yang tersedia secara teratur pada Windows Server dan sistem klien Anda sedekat rilisnya seperti yang diizinkan organisasi Anda. Menginstal pembaruan keamanan terbaru adalah cara tercepat dan term mudah untuk melindungi sistem Anda dari kerentanan keamanan yang diketahui saat ini tidak hanya memengaruhi SMB, tetapi semua produk dan layanan Microsoft.

Anda dapat menginstal pembaruan keamanan menggunakan beberapa metode berbeda tergantung pada persyaratan organisasi Anda. Metode umumnya adalah:

• Manajemen Pembaruan Azure
• Windows Update
• Layanan Pembaruan Server Windows (WSUS)
• Pembaruan perangkat lunak di Endpoint Configuration Manager

Pertimbangkan untuk berlangganan pemberitahuan di Panduan Pembaruan Keamanan Microsoft Security Response Center (MSRC). Sistem Pemberitahuan Panduan Pembaruan Keamanan akan memberi tahu Anda ketika pembaruan perangkat lunak diterbitkan untuk mengatasi Kerentanan dan Paparan Umum (CVE) baru dan yang sudah ada.

Menghapus SMB 1.0

Anda harus menghapus atau menonaktifkan fitur SMB 1.0 dari semua Windows Server dan klien yang tidak memerlukannya. Untuk sistem yang memerlukan SMB 1.0, Anda harus pindah ke SMB 2.0 atau lebih tinggi sesegera mungkin. Mulai pembaruan Windows 10 Fall Creators dan Windows Server 2019, SMB 1.0 tidak lagi diinstal secara default.

Tip

Windows 10 Home dan Windows 10 Pro masih berisi klien SMB 1.0 secara default setelah penginstalan bersih atau peningkatan di tempat. Perilaku ini berubah di Windows 11, Anda dapat membaca lebih lanjut di artikel SMB1 sekarang dinonaktifkan secara default untuk build Windows 11 Home Insiders.

Menghapus SMB 1.0 melindungi sistem Anda dengan menghilangkan beberapa kerentanan keamanan terkenal. SMB 1.0 tidak memiliki fitur keamanan SMB 2.0 dan yang lebih baru yang membantu melindungi dari penyadapan. Misalnya, untuk mencegah koneksi yang disusupi SMB 3.0 atau yang lebih baru menggunakan integritas, enkripsi, dan penandatanganan pra-autentikasi. Pelajari selengkapnya di artikel Penyempurnaan keamanan SMB .

Sebelum menghapus fitur SMB 1.0, pastikan tidak ada aplikasi dan proses di komputer yang memerlukannya. Untuk informasi selengkapnya tentang cara mendeteksi dan menonaktifkan SMB 1.0, lihat artikel Mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Anda juga dapat menggunakan alat File dan berbagi file di Pusat Admin Windows untuk dengan cepat mengaktifkan audit koneksi klien SMB1 dan untuk menghapus SMB 1.

Menonaktifkan autentikasi tamu dan opsi cadangan

Di SMB 1.0 saat kredensial pengguna gagal, klien SMB akan mencoba akses tamu. Mulai windows 10, versi 1709, dan Windows Server 2019, klien SMB2 dan SMB3 tidak lagi mengizinkan akses akun tamu atau mundur ke akun tamu secara default. Anda harus menggunakan SMB 2.0 atau yang lebih tinggi dan menonaktifkan penggunaan akses tamu SMB pada sistem apa pun di mana akses tamu tidak dinonaktifkan secara default.

Tip

Edisi Windows 11 Home dan Pro tidak berubah dari perilaku default sebelumnya; mereka mengizinkan autentikasi tamu secara default.

Ketika akses tamu dinonaktifkan, itu mencegah aktor jahat membuat server dan menipu pengguna untuk mengaksesnya menggunakan akses tamu. Misalnya, ketika pengguna mengakses share yang dipalsukan, kredensial mereka akan ditolak dan SMB 1.0 akan kembali menggunakan akses tamu. Menonaktifkan akses pengunjung menghentikan sesi SMB dari tersambung dan mencegah pengguna mengakses berbagi serta file berbahaya apa pun.

Untuk mencegah penggunaan fallback tamu pada klien Windows SMB di mana akses tamu tidak dinonaktifkan secara default (termasuk Windows Server):

Group Policy

1. Buka Konsol Manajemen Kebijakan Grup.
2. Di pohon konsol, pilih Konfigurasi Komputer > Templat Administratif > Jaringan > Stasiun Kerja Lanman.
3. Untuk pengaturan, klik kanan Aktifkan logon tamu yang tidak aman dan pilih Edit.
4. Select Enabled and select OK.

PowerShell

Dari prompt PowerShell yang ditingkatkan, jalankan perintah berikut:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $false -Confirm:$false 

Untuk mempelajari selengkapnya tentang perilaku default akses tamu, baca artikel Akses tamu di SMB2 dan SMB3 dinonaktifkan secara default di Windows.

Menonaktifkan protokol WebDAV

Klien Windows mungkin tidak memerlukan WebClient layanan untuk dijalankan. Layanan ini menyediakan protokol Penulisan dan Penerapan Versi Terdistribusi Web (WebDAV). Jika klien Anda tidak mengakses berbagi SMB melalui HTTP atau HTTPS menggunakan WebDAV, Anda dapat menonaktifkan layanan.

Saat pengguna Anda mengakses file menggunakan WebDAV, tidak ada metode untuk memaksa koneksi berbasis TLS melalui HTTPS. Misalnya, server Anda dapat dikonfigurasi untuk memerlukan penandatanganan atau enkripsi SMB, namun Webclient dapat tersambung ke HTTP/80 jika WebDAV telah diaktifkan. Setiap koneksi yang dihasilkan akan tidak terenkripsi, terlepas dari konfigurasi SMB Anda.

Anda dapat menggunakan Preferensi Kebijakan Grup untuk menonaktifkan layanan pada sejumlah besar komputer saat Anda siap untuk menerapkan. Untuk informasi selengkapnya tentang mengonfigurasi Preferensi Kebijakan Grup, lihat Mengonfigurasi Item Layanan.

Membatasi tujuan keluar SMB

Blokir lalu lintas SMB keluar ke perangkat di luar jaringan Anda sebagai langkah minimal. Memblokir SMB keluar mencegah data dikirim ke titik akhir eksternal. Aktor jahat sering mencoba serangan spoofing, perusakan, atau phishing yang mencoba mengirim pengguna ke titik akhir berbahaya yang menyamar sebagai tautan atau pintasan yang ramah dalam email atau file lainnya. Untuk mempelajari selengkapnya tentang memblokir akses SMB keluar, baca artikel Mengamankan Lalu Lintas SMB di Windows Server .

Ambil prinsip ini lebih lanjut dengan memperkenalkan perimeter mikro dan segmentasi mikro ke dalam arsitektur Anda. Memblokir lalu lintas SMB keluar ke jaringan eksternal membantu mencegah eksfiltrasi langsung data ke internet, namun serangan modern menggunakan teknik canggih untuk secara tidak langsung mendapatkan akses dengan menyerang sistem lain, kemudian bergerak secara lateral dalam jaringan Anda. Perimeter mikro dan segmentasi mikro bertujuan untuk mengurangi jumlah sistem dan pengguna yang dapat langsung terhubung ke berbagi SMB Anda, kecuali jika mereka secara eksplisit memerlukannya. Learn more about Network segmentation as part of our Zero Trust Guidance.

Mengamankan protokol

Tujuan kedua Anda adalah mengamankan jalur antara pengguna Anda dan data mereka, yang dikenal sebagai perlindungan data dalam transit. Perlindungan data dalam transit biasanya melibatkan penggunaan enkripsi, pengerasan antarmuka, dan penghapusan protokol yang tidak aman untuk meningkatkan resistensi Anda terhadap serangan.

Di bagian berikut, kita akan membahas beberapa langkah dasar yang harus Anda ambil untuk mengamankan protokol SMB.

Menggunakan SMB 3.1.1

Windows selalu bernegosiasi ke protokol tertinggi yang tersedia, pastikan perangkat dan komputer Anda mendukung SMB 3.1.1.

SMB 3.1.1 tersedia dimulai dengan Windows 10 dan Windows Server 2016. SMB 3.1.1 includes a new mandatory security feature called pre-authentication integrity. Tanda integritas pra-autentikasi menandatangani atau mengenkripsi fase awal koneksi SMB untuk mencegah perubahan pada pesan Negosiasi dan Penyiapan Sesi dengan menggunakan hash kriptografi.

Hash kriptografi berarti klien dan server dapat saling mempercayai properti koneksi dan sesi. Integritas pra-autentikasi menggantikan negosiasi dialek aman yang diperkenalkan dalam SMB 3.0. Anda tidak dapat menonaktifkan integritas pra-autentikasi, tetapi jika klien menggunakan dialek yang lebih lama, itu tidak akan digunakan.

Anda dapat meningkatkan keadaan keamanan Anda lebih lanjut dengan memaksa penggunaan SMB 3.1.1 sebagai standar minimum. Untuk mengatur dialek SMB minimum ke 3.1.1, dari prompt PowerShell yang ditinggikan, jalankan perintah berikut:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MinSMB2Dialect" -Value 0x000000311
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MaxSMB2Dialect" -Value 0x000000311

Untuk mempelajari selengkapnya tentang cara mengatur dialek SMB minimum dan maksimum yang digunakan di Windows Server dan Windows, lihat Mengelola dialek SMB di Windows.

Gunakan penguatan UNC untuk memerlukan penandatanganan, enkripsi, dan autentikasi bersama

Aktifkan penguatan UNC untuk semua berbagi SMB dengan mensyaratkan setidaknya autentikasi timbal balik (Kerberos) dan integritas (SMB signing). Anda juga harus mempertimbangkan untuk mengevaluasi privasi (enkripsi SMB) alih-alih penandatanganan SMB. Tidak perlu mengonfigurasi penandatanganan dan enkripsi SMB karena enkripsi secara implisit menyertakan tanda tangan yang digunakan oleh penandatanganan.

Caution

Enkripsi SMB diperkenalkan dengan SMB 3 di Windows 8 dan Windows Server 2012. Anda tidak boleh memerlukan enkripsi kecuali semua komputer Anda mendukung SMB 3.0 atau yang lebih baru, atau merupakan pihak ketiga dengan dukungan SMB 3 dan enkripsi. Jika Anda mengonfigurasi enkripsi SMB pada klien atau jalur UNC yang dihosting oleh server yang tidak mendukung Enkripsi SMB, klien SMB tidak akan dapat mengakses jalur yang ditentukan. Selain itu, jika Anda mengonfigurasi server Anda untuk enkripsi SMB dan diakses oleh klien yang tidak mendukungnya, klien tersebut akan kembali tidak dapat mengakses jalur.

UNC Hardening memberikan kemampuan untuk memeriksa jalur UNC untuk pengaturan keamanan yang diamanatkan dan akan menolak untuk terhubung jika server tidak dapat memenuhinya. Dimulai dengan Windows Server 2016 dan Windows 10, UNC Hardening diaktifkan secara default untuk berkas SYSVOL dan NETLOGON pada pengendali domain. Ini adalah alat yang sangat efektif terhadap spoofing dan perusakan karena klien dapat mengautentikasi identitas server dan memvalidasi integritas payload SMB.

Saat mengonfigurasi penguatan UNC, Anda dapat menentukan berbagai pola jalur UNC. For example:

• \\<Server>\<Share> - Entri konfigurasi berlaku untuk bagian yang memiliki nama tertentu pada server tertentu.
• \\*\<Share> - Entri konfigurasi berlaku untuk share yang memiliki nama yang ditentukan di server mana pun.
• \\<Server>\* - Entri konfigurasi berlaku untuk berbagi apa pun di server yang ditentukan.

Anda dapat menggunakan Kebijakan Grup untuk menerapkan fitur penguatan UNC ke sejumlah besar komputer saat Anda siap untuk menerapkannya. For more information about configuring UNC hardening through Group Policy, see the security bulletin MS15-011.

Memetakan drive sesuai permintaan dengan penandatanganan atau enkripsi yang diamanatkan

Selain penguatan UNC, Anda dapat menggunakan penandatanganan atau enkripsi saat memetakan drive jaringan. Dimulai dari versi 1709 Windows dan seterusnya, Anda dapat membuat drive yang dipetakan terenkripsi atau ditandatangani secara instan menggunakan Windows PowerShell atau Command Prompt. You can use the NET USE command or the PowerShell New-SmbMapping command to map drives by specifying RequireIntegrity (signing) or RequirePrivacy (encryption) parameters.

Perintah dapat digunakan oleh administrator atau disertakan dalam skrip untuk mengotomatiskan pemetaan drive yang memerlukan pemeriksaan enkripsi atau integritas.

Parameter tidak mengubah cara kerja penandatanganan atau enkripsi, atau persyaratan dialek. Jika Anda mencoba memetakan drive dan server menolak untuk memenuhi persyaratan Anda untuk penandatanganan atau enkripsi, pemetaan drive akan gagal daripada terhubung secara tidak aman.

Learn about the syntax and parameters for the New-SmbMapping command in New-SmbMapping reference article.

Beyond SMB

Berhenti menggunakan NTLM dan tingkatkan keamanan Kerberos Anda. Anda dapat mulai dengan mengaktifkan audit untuk penggunaan NTLM, lalu meninjau log untuk menemukan tempat NTLM digunakan.

Menghapus NTLM membantu melindungi Anda dari serangan umum seperti pass-the-hash, serangan brute-force, atau tabel hash rainbow, karena NTLM menggunakan fungsi hash kriptografi MD4/MD5 yang sudah usang. NTLM juga tidak dapat memverifikasi identitas server, tidak seperti protokol yang lebih baru seperti Kerberos, membuatnya rentan terhadap serangan relai NTLM juga. Banyak dari serangan umum ini mudah dimitigasi dengan Kerberos.

Untuk mempelajari cara mengaudit NTLM sebagai bagian dari upaya Anda untuk memulai transisi ke Kerberos, lihat artikel Menilai penggunaan NTLM . Anda juga dapat mempelajari tentang mendeteksi protokol yang tidak aman menggunakan Azure Sentinel di artikel blog Panduan Implementasi Buku Kerja Protokol Tidak Aman Azure Sentinel.

Secara paralel dengan menghapus NTLM, Anda harus mempertimbangkan untuk menambahkan lapisan perlindungan tambahan untuk serangan luring dan serangan pengoperan tiket. Gunakan item berikut sebagai panduan saat meningkatkan keamanan Kerberos.

1. Menyebarkan Windows Hello untuk Bisnis atau kartu pintar - Autentikasi dua faktor dengan Windows Hello for Business menambahkan seluruh lapisan perlindungan baru. Pelajari tentang Windows Hello untuk Bisnis.
2. Menerapkan kata sandi dan frasa panjang - Kami mendorong penggunaan panjang kata sandi yang lebih panjang seperti 15 karakter atau lebih untuk mengurangi ketahanan Anda terhadap serangan brute force. Anda juga harus menghindari kata atau frasa umum untuk membuat kata sandi Anda lebih kuat.
3. Sebarkan Perlindungan Kata Sandi Microsoft Entra untuk Layanan Domain Direktori Aktif - Gunakan Perlindungan Kata Sandi ID Microsoft Entra untuk memblokir kata sandi dan istilah lemah yang diketahui khusus untuk organisasi Anda. Untuk mempelajari lebih lanjut, tinjau Menerapkan Perlindungan Kata Sandi Microsoft Entra lokal untuk Active Directory Domain Services.
4. Gunakan grup Akun Layanan Terkelola (gMSA) - layanan yang diaktifkan gMSA dengan konstruksi 127 karakter acak mereka, membuat serangan brute force dan kamus untuk memecahkan kata sandi menjadi sangat memakan waktu. Baca tentang apa itu gMSA di artikel Gambaran Umum Akun Layanan Terkelola Grup.
5. Kerberos Armoring, yang dikenal sebagai Flexible Authentication Secure Tunneling (FAST) - FAST mencegah Kerberoasting karena data pra-autentikasi pengguna dilindungi dan tidak lagi tunduk pada serangan brute force atau kamus offline. It also prevents downgrade attacks from spoofed KDCs, to learn more review Kerberos Armoring.
6. Gunakan Windows Defender Credential Guard - Credential Guard membuat kompromi lokal tiket lebih sulit dengan mencegah pemberian tiket dan tiket layanan yang di-cache dicuri. Pelajari selengkapnya di artikel Cara kerja Windows Defender Credential Guard .
7. Pertimbangkan untuk memerlukan SCRIL: Kartu Pintar Diperlukan untuk Masuk Interaktif - Saat menyebarkan SCRIL, AD mengubah kata sandi pengguna menjadi set 128-bit acak yang tidak dapat digunakan pengguna untuk masuk secara interaktif. SCRIL biasanya hanya cocok untuk lingkungan dengan persyaratan keamanan tertentu. Untuk mempelajari selengkapnya tentang strategi tanpa kata sandi, tinjau Mengonfigurasi akun pengguna untuk melarang autentikasi kata sandi.

Next steps

Sekarang Anda telah mempelajari tentang beberapa kontrol dan mitigasi keamanan untuk mencegah penyadapan SMB, Anda akan memahami tidak ada satu langkah pun untuk mencegah semua serangan intersepsi. Tujuannya adalah untuk menciptakan kombinasi mitigasi risiko yang bijaksana, holistik, dan diprioritaskan yang mencakup beberapa teknologi melalui pertahanan berlapis.

Anda dapat terus mempelajari lebih lanjut tentang konsep-konsep ini dalam artikel di bawah ini.

• Mengamankan lalu lintas SMB di Windows Server.
• Peningkatan keamanan SMB
• Integritas Pra-autentikasi SMB 3.1.1 di Windows 10
• Keamanan SMB 2 dan SMB 3 di Windows 10: anatomi penandatanganan dan kunci kriptografi
• Pusat Panduan Zero Trust