Wzmacnianie zabezpieczeń SMB

Najnowsze funkcje protokołu SMB (Server Message Block) wprowadzone w systemach Windows 11 24H2 i Windows Server 2025 zostały zaprojektowane w celu zwiększenia bezpieczeństwa danych, użytkowników i organizacji. Większość z tych funkcji jest domyślnie automatycznie włączona. Te funkcje protokołu SMB mają na celu zapewnienie bezpieczniejszego i bezpieczniejszego środowiska obliczeniowego, zmniejszając ryzyko ataków cybernetycznych i naruszeń danych w twoim środowisku.

Użytkownicy mogą pobrać następujące wersje, aby wyświetlić podgląd funkcji zabezpieczeń przed wydaniem głównego systemu operacyjnego:

• Windows 11, wersja 24H2 lub nowsza

• Windows Server 2025 lub nowszy

Funkcje zabezpieczeń protokołu SMB

Zrozumienie funkcji zabezpieczeń protokołu SMB może pomóc użytkownikom chronić poufne dane i zapobiegać nieautoryzowanemu dostępowi do udostępnionych zasobów. W następnej sekcji przedstawiono krótkie omówienie tych funkcji.

Podpisywanie protokołu SMB

Począwszy od systemów Windows 11 24H2 i Windows Server 2025, wszystkie połączenia wychodzące i przychodzące SMB muszą być teraz domyślnie podpisywane. Wcześniej domyślnie wymagano podpisywania SMB tylko przy połączeniach z udziałami o nazwach SYSVOL i NETLOGON, a także dla klientów kontrolerów domen AD.

Podpisywanie SMB uniemożliwia manipulowanie danymi i ataki typu relay, które prowadzą do kradzieży poświadczeń. Dzięki ustawieniu podpisywania obowiązkowego domyślnie administratorzy i użytkownicy nie muszą być ekspertami w zabezpieczeniach protokołu sieciowego SMB, aby włączyć tę ważną funkcję zabezpieczeń. Włączenie podpisywania SMB powoduje, że klienci i serwery akceptują tylko podpisane pakiety i odrzucają wszystkie, które nie są. Pakiety od użytkowników niezalogowanych są odrzucane, co oznacza, że funkcja pozwalająca użytkownikom łączyć się z serwerem bez podawania poświadczeń (tryb gościa) jest wyłączona. Ta miara zabezpieczeń pomaga zapobiegać nieautoryzowanemu dostępowi i naruszeniom danych, wymagając od użytkowników uwierzytelnienia się przed uzyskaniem dostępu do serwera, co gwarantuje, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do serwera i jego zasobów.

Aby dowiedzieć się więcej, zobacz Kontrolowanie zachowania podpisywania protokołu SMB.

Alternatywne porty SMB

Klient SMB może służyć do nawiązywania połączeń z alternatywnymi portami tcp, QUIC i RDMA. Te porty mogą różnić się od domyślnych portów przypisanych przez urząd IANA (Internet Assigned Numbers Authority) i Internet Engineering Task Force (IETF), które są odpowiednio 445, 443 i 5445 dla TCP, QUIC i RDMA.

W systemie Windows Server można hostować połączenie SMB za pośrednictwem połączenia QUIC na dozwolonym porcie zapory, który nie musi być domyślnym portem 443. Należy jednak pamiętać, że nawiązywanie połączenia z alternatywnymi portami jest możliwe tylko wtedy, gdy serwer SMB jest skonfigurowany do nasłuchiwania na tym określonym porcie. Ponadto można skonfigurować wdrożenie, aby uniemożliwić korzystanie z alternatywnych portów lub ograniczyć ich użycie do niektórych serwerów.

Aby dowiedzieć się więcej, zobacz Konfigurowanie alternatywnych portów SMB.

Ulepszenia audytowania protokołu SMB

Protokół SMB ma teraz możliwość audytowania użycia SMB przez QUIC i obsługuje szyfrowanie oraz podpisywanie przez firmy trzecie. Te funkcje można używać zarówno na poziomie serwera SMB, jak i klienta. Jeśli używasz urządzeń z systemem Windows lub Windows Server, teraz łatwiej jest określić, czy korzystają one z protokołu SMB za pośrednictwem platformy QUIC. Można również łatwiej sprawdzić, czy oprogramowanie innej firmy obsługuje podpisywanie i szyfrowanie przed ich obowiązkowym wprowadzeniem.

Aby dowiedzieć się więcej, zobacz:

• Audyt klienta SMB over QUIC

• Inspekcja podpisywania i szyfrowania protokołu SMB

Ogranicznik szybkości uwierzytelniania protokołu SMB

Usługa serwera SMB ogranicza teraz liczbę nieudanych prób uwierzytelniania. Dotyczy to udostępniania plików SMB zarówno w systemie Windows Server, jak i w kliencie systemu Windows. Ataki brute force próbują odgadnąć nazwy użytkowników i hasła i mogą bombardować serwer SMB od dziesiątek do tysięcy prób na sekundę. Ogranicznik szybkości uwierzytelniania dla protokołu SMB jest teraz domyślnie włączony, z 2-sekundowym opóźnieniem między każdą nieudaną próbą uwierzytelniania NTLM lub lokalnego uwierzytelniania opartego na Kerberosie przy użyciu lokalnego KDC. W rezultacie atak, który wysyła 300 odgadnięć na sekundę przez 5 minut (90 000 prób) zajmie teraz 50 godzin. Dzięki temu jest znacznie mniej prawdopodobne, że atakujący będzie kontynuował tę metodę.

Aby dowiedzieć się więcej, zobacz:

• Konfigurowanie ogranicznika szybkości uwierzytelniania protokołu SMB dla systemu Windows

• Wideo z pokazem ogranicznika szybkości uwierzytelniania protokołu SMB

Obecnie obsługiwany jest mandat szyfrowania klienta SMB

Klient SMB może teraz wymuszyć szyfrowanie dla wszystkich wychodzących połączeń SMB. Ta miara zapewnia najwyższy poziom zabezpieczeń sieci i przenosi podpisywanie SMB na ten sam poziom zarządzania. Po włączeniu klient SMB łączy się tylko z serwerem SMB obsługującym szyfrowanie SMB 3.0 lub nowszym i SMB. Serwer SMB innej firmy może obsługiwać protokół SMB 3.0, ale nie szyfrowanie SMB. W przeciwieństwie do podpisywania SMB szyfrowanie nie jest domyślnie obowiązkowe.

Aby dowiedzieć się więcej, zobacz Konfigurowanie klienta SMB w celu wymagania szyfrowania w systemie Windows.

Zarządzanie dialektem SMB

Teraz można wymusić użycie protokołu SMB 2 i 3. Wcześniej serwer SMB i klient obsługiwał tylko automatyczne negocjowanie najwyższego zgodnego dialektu z protokołu SMB 2.0.2 do 3.1.1. Dzięki tej nowej funkcji można celowo uniemożliwić nawiązywanie połączeń ze starszymi wersjami protokołu lub urządzeniami. Można na przykład określić, że połączenia używają tylko protokołu SMB 3.1.1, najbezpieczniejszego dialektu protokołu. Minimalna i maksymalna wartość można ustawić niezależnie zarówno na kliencie SMB, jak i na serwerze, a w razie potrzeby można ustawić tylko minimum.

Aby dowiedzieć się więcej, zobacz:

• Zarządzanie dialektami SMB w systemach Windows i Windows Server 2025

• Pokaz sterowania dialektem SMB

Domyślne zmiany portów zapory SMB

Porty NetBIOS protokołu SMB nie są już uwzględniane we wbudowanych zasadach zapory sieciowej. Te porty były wymagane tylko w przypadku użycia protokołu SMB1, które jest teraz przestarzałe i usuwane domyślnie. Ta modyfikacja dostosowuje reguły zapory SMB do standardowego zachowania roli serwera plików systemu Windows Server . Administratorzy mogą ponownie skonfigurować reguły w celu przywrócenia starszych portów.

Aby dowiedzieć się więcej, zobacz Zaktualizowane reguły zapory.

Uwierzytelnianie gościa przy użyciu niezabezpieczonego protokołu SMB

Domyślnie Windows 11 Pro nie umożliwia już połączeń gościa przez klienta SMB ani przełączania się na serwer SMB w trybie gościa. Dzięki temu system Windows 11 Pro jest zgodny z zachowaniem systemów Windows 10 i Windows 11 Enterprise, Education i Pro for Workstation. Logowania gościa nie wymagają haseł i nie obsługują standardowych funkcji zabezpieczeń, takich jak podpisywanie i szyfrowanie.

Zezwolenie klientowi na korzystanie z logowania gościa naraża użytkownika na ryzyko ataków niepożądanych w scenariuszach ataków w środku lub złośliwych scenariuszach serwera. Na przykład atak wyłudzający informacje, który oszuka użytkownika w celu otwarcia pliku w udziale zdalnym lub sfałszowany serwer, który przekona klienta, że jest legalny. Osoba atakująca nie musi znać poświadczeń użytkownika, a słabe hasło jest ignorowane. Tylko urządzenia zdalne innych firm mogą domyślnie wymagać dostępu gościa.

Aby dowiedzieć się więcej, zobacz Jak włączyć niezabezpieczone logowania gościa w protokołach SMB2 i SMB3.

Blokowanie protokołu SMB NTLM

Klient SMB może teraz uniemożliwić uwierzytelnianie NTLM dla zdalnych połączeń wychodzących. To zmienia poprzednie zachowanie, polegające na zawsze używaniu uwierzytelniania wynegocjowanego, które może obniżyć poziom z protokołu Kerberos do protokołu NTLM. Blokowanie uwierzytelniania NTLM chroni urządzenia klienckie przed wysyłaniem żądań NTLM do złośliwych serwerów, co zmniejsza ryzyko ataków siłowych, łamania, relay oraz typu pass-the-hash.

Blokowanie NTLM jest niezbędne do wymuszania uwierzytelniania organizacji w protokole Kerberos, co jest bezpieczniejsze, ponieważ weryfikuje tożsamości przy użyciu systemu biletów i najwyższej kryptografii. Administratorzy mogą określać wyjątki zezwalania na uwierzytelnianie NTLM za pośrednictwem protokołu SMB do określonych serwerów.

Aby dowiedzieć się więcej, zobacz:

• Blokuj połączenia NTLM w usłudze SMB

• Wideo pokazowe blokowanie protokołu SMB NTLM

Kontrola dostępu klienta do SMB przez QUIC

Protokół SMB za pośrednictwem kontroli dostępu klienta QUIC umożliwia ograniczenie, którzy klienci mogą uzyskiwać dostęp do protokołu SMB za pośrednictwem serwerów QUIC. Poprzednie zachowanie zezwalało na próby połączenia od dowolnego klienta, który ufał łańcuchowi wystawiania certyfikatów serwera QUIC. W przypadku kontroli dostępu klienta lista dozwolonych i lista zablokowanych są tworzone dla urządzeń w celu nawiązania połączenia z serwerem plików.

Klient musi teraz mieć własny certyfikat i znajdować się na liście dozwolonych , aby ustanowić połączenie QUIC przed wystąpieniem jakiegokolwiek połączenia SMB. Kontrola dostępu klienta zapewnia organizacjom dodatkową ochronę bez zmiany uwierzytelniania używanego podczas połączenia SMB, a środowisko użytkownika pozostaje nienaruszone. Ponadto można całkowicie wyłączyć protokół SMB za pośrednictwem klienta QUIC lub zezwalać tylko na połączenia z określonymi serwerami.

Aby dowiedzieć się więcej, zobacz:

• Konfigurowanie protokołu SMB za pośrednictwem kontroli dostępu klienta QUIC w systemie Windows Server 2022 Azure Edition i Windows Server 2025

• Konfigurowanie kontroli dostępu klienta SMB przez QUIC - materiał wideo instruktażowy

SMB over QUIC na serwerze Windows

Protokół SMB over QUIC jest teraz dostępny we wszystkich wersjach systemu Windows Server 2025, natomiast był obecny tylko w wersji Platformy Azure systemu Windows Server 2022. Protokół SMB over QUIC jest alternatywą dla nieaktualnego protokołu TCP i jest przeznaczony do użycia w niezaufanych sieciach, takich jak Internet. Protokół TLS 1.3 i certyfikaty są używane do zapewnienia, że cały ruch SMB jest szyfrowany, co umożliwia korzystanie z niego przez zapory brzegowe przez użytkowników mobilnych i zdalnych bez konieczności korzystania z sieci VPN. Funkcja QUIC zapewnia również, że jeśli protokół NTLM jest wymagany, żądanie-odpowiedź użytkownika (dane hasła) nie jest uwidocznione w sieci, tak jak w przypadku protokołu TCP.

Aby dowiedzieć się więcej, zobacz:

• SMB przez QUIC

• Pokaz wideo SMB przez QUIC

Zakończenie obsługi zdalnej poczty SMB

Zdalne Mailsloty nie są już domyślnie włączone do użycia protokołu SMB i lokalizatora kontrolerów domeny w Active Directory (AD), ponieważ zostało uznane za przestarzałe. Protokół Remote Mailslot, który został pierwotnie wprowadzony w MS DOS, jest obecnie uważany za przestarzały i zawodny. Jest to również niebezpieczne, ponieważ nie ma żadnych mechanizmów uwierzytelniania lub autoryzacji.

Aby dowiedzieć się więcej, zobacz:

• Przestarzałe funkcje dla klienta systemu Windows

• Funkcje usunięte lub nie są już opracowywane od systemu Windows Server 2025

Zobacz także

• Ulepszenia zabezpieczeń protokołu SMB