Melindungi lalu lintas SMB dari intersepsi

Dalam artikel ini, Anda akan mempelajari beberapa cara penyerang dapat menggunakan teknik intersepsi terhadap protokol SMB dan bagaimana Anda dapat mengurangi serangan. Konsep ini akan mendukung Anda dengan mengembangkan strategi pertahanan mendalam Anda sendiri untuk protokol SMB.

Apa itu serangan intersepsi?

Serangan adversary-in-the-middle (AITM) ingin memodifikasi komunikasi jaringan antara klien dan server, memungkinkan pelaku ancaman untuk mencegat lalu lintas. Setelah penyadapan, aktor jahat mungkin memiliki kemampuan untuk memalsukan, merusak, mengungkapkan, atau menolak akses ke data organisasi atau kredensial akun Anda.

Banyak organisasi mengandalkan SMB untuk berbagi file antara pengguna dan untuk mendukung aplikasi atau teknologi lain seperti Active Directory Domain Services. Dengan adopsi yang begitu luas, SMB adalah target populer bagi penyerang dan memiliki potensi dampak di seluruh bisnis.

Misalnya, serangan AITM dapat digunakan untuk spionase industri atau tingkat negara bagian, pemerasan, atau menemukan data keamanan sensitif yang disimpan dalam file. Ini juga dapat digunakan sebagai bagian dari serangan yang lebih luas untuk memungkinkan penyerang bergerak secara lateral dalam jaringan Anda atau untuk menargetkan beberapa titik akhir.

Serangan terus berkembang, dengan penyerang sering menggunakan kombinasi teknik yang mapan dan baru. Saat melindungi sistem Anda dari intersepsi SMB, ada dua tujuan utama:

• Kurangi jumlah metode serangan yang tersedia.
• Amankan jalur yang Anda sajikan kepada pengguna Anda.

Karena keragaman teknologi dan klien dalam banyak organisasi, pertahanan yang bulat dengan baik akan menggabungkan beberapa metode dan akan mengikuti prinsip Zero Trust. Pelajari selengkapnya tentang Zero Trust di artikel Apa itu Zero Trust? .

Sekarang Anda akan mempelajari tentang beberapa konfigurasi praktik baik yang khas untuk mengurangi risiko intersepsi SMB.

Mengurangi metode serangan yang tersedia

Untuk melindungi sistem Anda dari serangan intersepsi SMB, langkah pertama Anda harus mengurangi permukaan serangan. Permukaan serangan adalah tempat di mana sistem Anda rentan terhadap ancaman cyber dan kompromi.

Di bagian berikut, kita akan membahas beberapa langkah dasar yang harus Anda ambil untuk mengurangi permukaan serangan.

Menginstal pembaruan

Instal semua pembaruan keamanan yang tersedia secara teratur pada Windows Server dan sistem klien Anda sedekat rilisnya seperti yang diizinkan organisasi Anda. Menginstal pembaruan keamanan terbaru adalah cara tercepat dan term mudah untuk melindungi sistem Anda dari kerentanan keamanan yang diketahui saat ini tidak hanya memengaruhi SMB, tetapi semua produk dan layanan Microsoft.

Anda dapat menginstal pembaruan keamanan menggunakan beberapa metode berbeda tergantung pada persyaratan organisasi Anda. Metode umumnya adalah:

• Manajemen Pembaruan Azure
• Windows Update
• Windows Server Update Services (WSUS)
• Pembaruan perangkat lunak di Endpoint Configuration Manager

Pertimbangkan untuk berlangganan pemberitahuan di Panduan Pembaruan Keamanan Microsoft Security Response Center (MSRC). Sistem Pemberitahuan Panduan Pembaruan Keamanan akan memberi tahu Anda ketika pembaruan perangkat lunak diterbitkan untuk mengatasi Kerentanan dan Paparan Umum (CVE) baru dan yang sudah ada.

Menghapus SMB 1.0

Anda harus menghapus atau menonaktifkan fitur SMB 1.0 dari semua Windows Server dan klien yang tidak memerlukannya. Untuk sistem yang memerlukan SMB 1.0, Anda harus pindah ke SMB 2.0 atau lebih tinggi sesegera mungkin. Mulai pembaruan Windows 10 Fall Creators dan Windows Server 2019, SMB 1.0 tidak lagi diinstal secara default.

Tip

Windows 10 Home dan Windows 10 Pro masih berisi klien SMB 1.0 secara default setelah penginstalan bersih atau peningkatan di tempat. Perilaku ini berubah di Windows 11, Anda dapat membaca lebih lanjut di artikel SMB1 sekarang dinonaktifkan secara default untuk build Windows 11 Home Insiders.

Menghapus SMB 1.0 melindungi sistem Anda dengan menghilangkan beberapa kerentanan keamanan terkenal. SMB 1.0 tidak memiliki fitur keamanan SMB 2.0 dan yang lebih baru yang membantu melindungi dari penyadapan. Misalnya, untuk mencegah koneksi yang disusupi SMB 3.0 atau yang lebih baru menggunakan integritas, enkripsi, dan penandatanganan pra-autentikasi. Pelajari selengkapnya di artikel Penyempurnaan keamanan SMB.

Sebelum menghapus fitur SMB 1.0, pastikan tidak ada aplikasi dan proses di komputer yang memerlukannya. Untuk informasi selengkapnya tentang cara mendeteksi dan menonaktifkan SMB 1.0, lihat artikel Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Anda juga dapat menggunakan File Pusat Admin Windows dan alat berbagi file untuk mengaktifkan audit koneksi klien SMB1 dengan cepat dan untuk menghapus instalan SMB 1.

Menonaktifkan autentikasi dan fallback tamu

Di SMB 1.0 saat kredensial pengguna gagal, klien SMB akan mencoba akses tamu. Mulai windows 10, versi 1709, dan Windows Server 2019, klien SMB2 dan SMB3 tidak lagi mengizinkan akses akun tamu atau mundur ke akun tamu secara default. Anda harus menggunakan SMB 2.0 atau yang lebih tinggi dan menonaktifkan penggunaan akses tamu SMB pada sistem apa pun di mana akses tamu tidak dinonaktifkan secara default.

Tip

Edisi Windows 11 Home dan Pro tidak berubah dari perilaku default sebelumnya; mereka mengizinkan autentikasi tamu secara default.

Ketika akses tamu dinonaktifkan, itu mencegah aktor jahat membuat server dan menipu pengguna untuk mengaksesnya menggunakan akses tamu. Misalnya, ketika pengguna mengakses berbagi spoofed, kredensial mereka akan gagal dan SMB 1.0 akan kembali menggunakan akses tamu. Menonaktifkan akses tamu menghentikan sesi SMB tersambung, mencegah pengguna mengakses berbagi dan file berbahaya apa pun.

Untuk mencegah penggunaan fallback tamu pada klien Windows SMB di mana akses tamu tidak dinonaktifkan secara default (termasuk Windows Server):

Kebijakan Grup

1. Buka Konsol Manajemen Kebijakan Grup.
2. Di pohon konsol, pilih Templat Administratif Konfigurasi > Komputer Stasiun > Kerja Lanman Jaringan>.
3. Untuk pengaturan, klik kanan Aktifkan logon tamu yang tidak aman dan pilih Edit.
4. Pilih Diaktifkan dan pilih OK.

PowerShell

Dari prompt PowerShell yang ditingkatkan, jalankan perintah berikut:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $false -Confirm:$false 

Untuk mempelajari selengkapnya tentang perilaku default akses tamu, baca artikel Akses tamu di SMB2 dan SMB3 dinonaktifkan secara default di Windows.

Menonaktifkan protokol WebDAV

Klien Windows mungkin tidak memerlukan WebClient layanan untuk dijalankan. Layanan ini menyediakan protokol Penulisan dan Penerapan Versi Terdistribusi Web (WebDAV). Jika klien Anda tidak mengakses berbagi SMB melalui HTTP atau HTTPS menggunakan WebDAV, Anda dapat menonaktifkan layanan.

Saat pengguna Anda mengakses file menggunakan WebDAV, tidak ada metode untuk memaksa koneksi berbasis TLS melalui HTTPS. Misalnya, server Anda dapat dikonfigurasi untuk memerlukan penandatanganan atau enkripsi SMB, namun Webclient dapat tersambung ke HTTP/80 jika WebDAV telah diaktifkan. Setiap koneksi yang dihasilkan akan tidak terenkripsi, terlepas dari konfigurasi SMB Anda.

Anda dapat menggunakan Preferensi Kebijakan Grup untuk menonaktifkan layanan pada sejumlah besar komputer saat Anda siap untuk menerapkan. Untuk informasi selengkapnya tentang mengonfigurasi Preferensi Kebijakan Grup, lihat Mengonfigurasi Item Layanan.

Membatasi tujuan SMB keluar

Blokir lalu lintas SMB keluar ke perangkat di luar jaringan Anda minimal. Memblokir SMB keluar mencegah data dikirim ke titik akhir eksternal. Aktor jahat sering mencoba serangan spoofing, perusakan, atau phishing yang mencoba mengirim pengguna ke titik akhir berbahaya yang menyamar sebagai tautan atau pintasan yang ramah dalam email atau file lainnya. Untuk mempelajari selengkapnya tentang memblokir akses SMB keluar, baca artikel Mengamankan Lalu Lintas SMB di Windows Server .

Ambil prinsip ini lebih lanjut dengan memperkenalkan perimeter mikro dan segmentasi mikro ke dalam arsitektur Anda. Memblokir lalu lintas SMB keluar ke jaringan eksternal membantu mencegah eksfiltrasi langsung data ke internet, namun serangan modern menggunakan teknik canggih untuk secara tidak langsung mendapatkan akses dengan menyerang sistem lain, kemudian bergerak secara lateral dalam jaringan Anda. Perimeter mikro dan segmentasi mikro bertujuan untuk mengurangi jumlah sistem dan pengguna dapat langsung terhubung ke berbagi SMB Anda kecuali yang secara eksplisit perlu. Pelajari selengkapnya tentang Segmentasi jaringan sebagai bagian dari Panduan Zero Trust kami.

Mengamankan protokol

Tujuan kedua Anda adalah mengamankan jalur antara pengguna Anda dan data mereka, yang dikenal sebagai perlindungan data dalam transit. Perlindungan data dalam transit biasanya melibatkan penggunaan enkripsi, pengerasan antarmuka, dan penghapusan protokol yang tidak aman untuk meningkatkan resistensi Anda terhadap serangan.

Di bagian berikut, kita akan membahas beberapa langkah dasar yang harus Anda ambil untuk mengamankan protokol SMB.

Menggunakan SMB 3.1.1

Windows selalu bernegosiasi ke protokol tertinggi yang tersedia, pastikan perangkat dan komputer Anda mendukung SMB 3.1.1.

SMB 3.1.1 tersedia dimulai dengan Windows 10 dan Windows Server 2016. SMB 3.1.1 menyertakan fitur keamanan wajib baru yang disebut integritas pra-autentikasi. Tanda integritas pra-autentikasi atau mengenkripsi fase awal koneksi SMB untuk mencegah perubahan pesan Negosiasi dan Penyiapan Sesi dengan menggunakan hash kriptografi.

Hash kriptografi berarti klien dan server dapat saling mempercayai properti koneksi dan sesi. Integritas pra-autentikasi menggantikan negosiasi dialek aman yang diperkenalkan dalam SMB 3.0. Anda tidak dapat menonaktifkan integritas pra-autentikasi, tetapi jika klien menggunakan dialek yang lebih lama, itu tidak akan digunakan.

Anda dapat meningkatkan postur keamanan Anda lebih lanjut dengan memaksa penggunaan SMB 3.1.1 minimal. Untuk mengatur dialek SMB minimum ke 3.1.1, dari prompt PowerShell yang ditinggikan, jalankan perintah berikut:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MinSMB2Dialect" -Value 0x000000311
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "MaxSMB2Dialect" -Value 0x000000311

Untuk mempelajari selengkapnya tentang cara mengatur dialek SMB minimum dan maksimum yang digunakan di Windows Server dan Windows, lihat Mengelola dialek SMB di Windows.

Gunakan penguatan UNC untuk memerlukan penandatanganan, enkripsi, dan autentikasi bersama

Aktifkan pengerasan UNC untuk semua berbagi SMB dengan memerlukan setidaknya autentikasi timbal balik (Kerberos) dan integritas (penandatanganan SMB). Anda juga harus mempertimbangkan untuk mengevaluasi privasi (enkripsi SMB) alih-alih penandatanganan SMB. Tidak perlu mengonfigurasi penandatanganan dan enkripsi SMB karena enkripsi secara implisit menyertakan tanda tangan yang digunakan oleh penandatanganan.

Perhatian

Enkripsi SMB diperkenalkan dengan SMB 3 di Windows 8 dan Windows Server 2012. Anda tidak boleh memerlukan enkripsi kecuali semua komputer Anda mendukung SMB 3.0 atau yang lebih baru, atau merupakan pihak ketiga dengan dukungan SMB 3 dan enkripsi. Jika Anda mengonfigurasi enkripsi SMB pada klien atau jalur UNC yang dihosting oleh server yang tidak mendukung Enkripsi SMB, klien SMB tidak akan dapat mengakses jalur yang ditentukan. Selain itu, jika Anda mengonfigurasi server Anda untuk enkripsi SMB dan diakses oleh klien yang tidak mendukungnya, klien tersebut akan kembali tidak dapat mengakses jalur.

UNC Hardening memberikan kemampuan untuk memeriksa jalur UNC untuk pengaturan keamanan yang diamanatkan dan akan menolak untuk terhubung jika server tidak dapat memenuhinya. Dimulai dengan Windows Server 2016 dan Windows 10, UNC Hardening diaktifkan secara default untuk berbagi SYSVOL dan NETLOGON pada pengendali domain. Ini adalah alat yang sangat efektif terhadap spoofing dan perusakan karena klien dapat mengautentikasi identitas server dan memvalidasi integritas payload SMB.

Saat mengonfigurasi penguatan UNC, Anda dapat menentukan berbagai pola jalur UNC. Contohnya:

• \\<Server>\<Share> - Entri konfigurasi berlaku untuk berbagi yang memiliki nama yang ditentukan pada server yang ditentukan.
• \\*\<Share> - Entri konfigurasi berlaku untuk berbagi yang memiliki nama yang ditentukan di server apa pun.
• \\<Server>\* - Entri konfigurasi berlaku untuk berbagi apa pun di server yang ditentukan.

Anda dapat menggunakan Kebijakan Grup untuk menerapkan fitur penguatan UNC ke sejumlah besar komputer saat Anda siap untuk menerapkannya. Untuk informasi selengkapnya tentang mengonfigurasi penguatan UNC melalui Kebijakan Grup, lihat buletin keamanan MS15-011.

Memetakan drive sesuai permintaan dengan penandatanganan atau enkripsi yang diamanatkan

Selain penguatan UNC, Anda dapat menggunakan penandatanganan atau enkripsi saat memetakan drive jaringan. Dimulai di Windows versi 1709 dan yang lebih baru, Anda dapat membuat drive terenkripsi atau ditandatangani yang dipetakan sesuai permintaan menggunakan Windows PowerShell atau Prompt Perintah. Anda dapat menggunakan NET USE perintah atau perintah PowerShell New-SmbMapping untuk memetakan drive dengan menentukan parameter RequireIntegrity (penandatanganan) atau RequirePrivacy (enkripsi).

Perintah dapat digunakan oleh administrator atau disertakan dalam skrip untuk mengotomatiskan pemetaan drive yang memerlukan pemeriksaan enkripsi atau integritas.

Parameter tidak mengubah cara kerja penandatanganan atau enkripsi, atau persyaratan dialek. Jika Anda mencoba memetakan drive dan server menolak untuk memenuhi persyaratan Anda untuk penandatanganan atau enkripsi, pemetaan drive akan gagal daripada terhubung dengan tidak aman.

Pelajari tentang sintaks dan parameter untuk New-SmbMapping perintah di artikel referensi New-SmbMapping .

Melampaui SMB

Berhenti menggunakan NTLM dan tingkatkan keamanan Kerberos Anda. Anda dapat mulai dengan mengaktifkan audit untuk penggunaan NTLM, lalu meninjau log untuk menemukan tempat NTLM digunakan.

Menghapus NTLM membantu melindungi Anda dari serangan umum seperti tabel hash pass-the-hash, brute-force atau rainbow karena penggunaan fungsi hash kriptografi MD4/MD5 yang lebih lama. NTLM juga tidak dapat memverifikasi identitas server, tidak seperti protokol yang lebih baru seperti Kerberos, membuatnya rentan terhadap serangan relai NTLM juga. Banyak dari serangan umum ini mudah dimitigasi dengan Kerberos.

Untuk mempelajari cara mengaudit NTLM sebagai bagian dari upaya Anda untuk memulai transisi ke Kerberos, lihat artikel Menilai penggunaan NTLM. Anda juga dapat membaca pelajari tentang mendeteksi protokol yang tidak aman menggunakan Azure Sentinel di artikel blog Panduan Implementasi Buku Kerja Protokol Tidak Aman Azure Sentinel.

Secara paralel dengan menghapus NTLM, Anda harus mempertimbangkan untuk menambahkan lebih banyak lapisan perlindungan untuk serangan luring dan tiket. Gunakan item berikut sebagai panduan saat meningkatkan keamanan Kerberos.

1. Menyebarkan Windows Hello untuk Bisnis atau kartu pintar - Autentikasi dua faktor dengan Windows Hello untuk Bisnis menambahkan seluruh lapisan perlindungan baru. Pelajari tentang Windows Hello untuk Bisnis.
2. Menerapkan kata sandi dan frasa panjang - Kami mendorong penggunaan panjang kata sandi yang lebih panjang seperti 15 karakter atau lebih untuk mengurangi ketahanan Anda terhadap serangan brute force. Anda juga harus menghindari kata atau frasa umum untuk membuat kata sandi Anda lebih kuat.
3. Sebarkan Perlindungan Kata Sandi Microsoft Entra untuk Layanan Domain Direktori Aktif - Gunakan Perlindungan Kata Sandi ID Microsoft Entra untuk memblokir kata sandi dan istilah lemah yang diketahui khusus untuk organisasi Anda. Untuk mempelajari lebih lanjut, tinjau Menerapkan Perlindungan Kata Sandi Microsoft Entra lokal untuk Active Directory Domain Services.
4. Gunakan grup Akun Layanan Terkelola (gMSA) - layanan yang diaktifkan gMSA dengan konstruksi karakter acak 127 mereka, membuat serangan brute force dan kamus untuk memecahkan kata sandi yang sangat memakan waktu. Baca tentang gMSA apa yang ada di artikel Gambaran Umum Akun Layanan Terkelola Grup.
5. Kerberos Armoring, yang dikenal sebagai Flexible Authentication Secure Tunneling (FAST) - FAST mencegah Kerberoasting karena data pra-autentikasi pengguna dilindungi dan tidak lagi tunduk pada serangan brute force atau kamus offline. Ini juga mencegah serangan downgrade dari KDC spoofed, untuk mempelajari lebih lanjut tinjauan Kerberos Armoring.
6. Gunakan Windows Defender Credential Guard - Credential Guard membuat kompromi lokal tiket lebih sulit dengan mencegah pemberian tiket dan tiket layanan yang di-cache dicuri. Pelajari selengkapnya di artikel Cara kerja Windows Defender Credential Guard.
7. Pertimbangkan untuk memerlukan SCRIL: Kartu Pintar Diperlukan untuk Masuk Interaktif - Saat menyebarkan SCRIL, AD mengubah kata sandi pengguna menjadi set 128-bit acak yang tidak dapat digunakan pengguna untuk masuk secara interaktif. SCRIL biasanya hanya cocok untuk lingkungan dengan persyaratan keamanan tertentu. Untuk mempelajari selengkapnya tentang strategi tanpa kata sandi, tinjau Mengonfigurasi akun pengguna untuk melarang autentikasi kata sandi.

Langkah berikutnya

Sekarang Anda telah mempelajari tentang beberapa kontrol dan mitigasi keamanan untuk mencegah penyadapan SMB, Anda akan memahami tidak ada satu langkah pun untuk mencegah semua serangan intersepsi. Tujuannya adalah untuk menciptakan kombinasi mitigasi risiko yang bijaksana, holistik, dan diprioritaskan yang mencakup beberapa teknologi melalui pertahanan berlapis.

Anda dapat terus mempelajari lebih lanjut tentang konsep-konsep ini dalam artikel di bawah ini.

• Mengamankan lalu lintas SMB di Windows Server.
• Peningkatan keamanan SMB
• Integritas Pra-autentikasi SMB 3.1.1 di Windows 10
• Keamanan SMB 2 dan SMB 3 di Windows 10: anatomi penandatanganan dan kunci kriptografi
• Pusat Panduan Zero Trust