O Windows 11 permitirá que os administradores exijam a criptografia do cliente SMB para todas as conexões de saída, começando com a compilação de pré-visualização do insider do Windows 11 25982 lançada hoje para os insiders no canal Canary.
A criptografia SMB fornece criptografia de ponta a ponta e pode ser habilitada numa base por compartilhamento para todo o servidor de arquivos ou ao mapear unidades usando o Windows Admin Center, Windows PowerShell ou UNC Hardening.
Essa capacidade foi incluída pela primeira vez com o SMB 3.0 no Windows 8 e no Windows Server 2012, e introduziu suporte para pacotes criptográficos AES-256-GCM com o Windows 11 e o Windows Server 2022.
Exigindo que todos os servidores de destino suportem SMB 3.x e criptografia, os administradores do Windows podem garantir que os clientes só podem estabelecer uma conexão se essas condições forem atendidas para se defender contra ataques de interceptação e espionagem.
"Agora você também pode configurar o cliente SMB para exigir sempre criptografia, não importa o que o servidor, compartilhamento, endurecimento de UNC ou uma unidade mapeada requer", disse Ned Pyle, gerente de programa principal da Microsoft.
"Isto significa que um administrador pode forçar globalmente uma máquina Windows a usar a criptografia SMB - e portanto SMB 3.x - em todas as conexões e recusar a conexão se o servidor SMB não suportar nenhum dos dois."
A nova opção pode ser configurada usando PowerShell ou a política de grupo 'Requerer criptografia' em Configuração do Computador \ Modelos Administrativos \ Rede \ Estação de Trabalho Lanman.
A partir da compilação de pré-visualização do Windows 11 Insider 25951, os administradores podem configurar os sistemas Windows para bloquear automaticamente o envio de dados NTLM pela SMB nas conexões de saída remotas para se defender contra ataques de quebra de senha, NTLM relay e pass-the-hash.
Quando ativado, é impedida a transmissão da senha "hash" do usuário para servidores remotos, frustrando efetivamente esses ataques.
Com o lançamento da compilação de pré-visualização do insider do Windows 11 25381 para o canal Canary, a Microsoft também começou a exigir assinaturas de segurança SMB (também conhecidas como assinaturas de segurança) por padrão para todas as conexões para se defender contra ataques NTLM relay.
A assinatura SMB, introduzida no Windows 98 e 2000, foi atualizada no Windows 11 e no Windows Server 2022 para aumentar a proteção e o desempenho ao aumentar significativamente as velocidades de criptografia de dados.
"A criptografia SMB tem sobrecarga de desempenho e de compatibilidade, e você deve equilibrar isso contra a assinatura SMB - que tem melhor desempenho e proteção contra adulteração, mas nenhuma proteção contra espionagem - ou contra nenhum uso de criptografia ou assinatura, que tem melhor desempenho, mas sem segurança", disse Pyle.
"A criptografia SMB substitui a assinatura SMB e fornece o mesmo nível de proteção contra adulteração, o que significa que, se o seu cliente SMC requer assinatura, a criptografia SMB a desativa; não faz sentido exigir ambos porque a criptografia ganha."
Essas melhorias fazem parte de um esforço mais amplo para aumentar a segurança do Windows e do Windows Server, como destacado por anúncios anteriores do ano passado.
Em abril de 2022, a Microsoft marcou um marco ao revelar a fase final de desativação do protocolo de compartilhamento de arquivos SMB1, de décadas, para insiders do Windows 11 Home.
Com base neste progresso, a empresa também fortaleceu as defesas contra ataques de força bruta ao introduzir um limitador de taxa de autenticação SMB, que mitiga o impacto de tentativas de autenticação NTLM de entrada sem sucesso.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...