O Windows 11 permitirá que os administradores exijam a criptografia SMB para conexões de saída
26 de Outubro de 2023

O Windows 11 permitirá que os administradores exijam a criptografia do cliente SMB para todas as conexões de saída, começando com a compilação de pré-visualização do insider do Windows 11 25982 lançada hoje para os insiders no canal Canary.

A criptografia SMB fornece criptografia de ponta a ponta e pode ser habilitada numa base por compartilhamento para todo o servidor de arquivos ou ao mapear unidades usando o Windows Admin Center, Windows PowerShell ou UNC Hardening.

Essa capacidade foi incluída pela primeira vez com o SMB 3.0 no Windows 8 e no Windows Server 2012, e introduziu suporte para pacotes criptográficos AES-256-GCM com o Windows 11 e o Windows Server 2022.

Exigindo que todos os servidores de destino suportem SMB 3.x e criptografia, os administradores do Windows podem garantir que os clientes só podem estabelecer uma conexão se essas condições forem atendidas para se defender contra ataques de interceptação e espionagem.

"Agora você também pode configurar o cliente SMB para exigir sempre criptografia, não importa o que o servidor, compartilhamento, endurecimento de UNC ou uma unidade mapeada requer", disse Ned Pyle, gerente de programa principal da Microsoft.

"Isto significa que um administrador pode forçar globalmente uma máquina Windows a usar a criptografia SMB - e portanto SMB 3.x - em todas as conexões e recusar a conexão se o servidor SMB não suportar nenhum dos dois."

A nova opção pode ser configurada usando PowerShell ou a política de grupo 'Requerer criptografia' em Configuração do Computador \ Modelos Administrativos \ Rede \ Estação de Trabalho Lanman.

A partir da compilação de pré-visualização do Windows 11 Insider 25951, os administradores podem configurar os sistemas Windows para bloquear automaticamente o envio de dados NTLM pela SMB nas conexões de saída remotas para se defender contra ataques de quebra de senha, NTLM relay e pass-the-hash.

Quando ativado, é impedida a transmissão da senha "hash" do usuário para servidores remotos, frustrando efetivamente esses ataques.

Com o lançamento da compilação de pré-visualização do insider do Windows 11 25381 para o canal Canary, a Microsoft também começou a exigir assinaturas de segurança SMB (também conhecidas como assinaturas de segurança) por padrão para todas as conexões para se defender contra ataques NTLM relay.

A assinatura SMB, introduzida no Windows 98 e 2000, foi atualizada no Windows 11 e no Windows Server 2022 para aumentar a proteção e o desempenho ao aumentar significativamente as velocidades de criptografia de dados.

"A criptografia SMB tem sobrecarga de desempenho e de compatibilidade, e você deve equilibrar isso contra a assinatura SMB - que tem melhor desempenho e proteção contra adulteração, mas nenhuma proteção contra espionagem - ou contra nenhum uso de criptografia ou assinatura, que tem melhor desempenho, mas sem segurança", disse Pyle.

"A criptografia SMB substitui a assinatura SMB e fornece o mesmo nível de proteção contra adulteração, o que significa que, se o seu cliente SMC requer assinatura, a criptografia SMB a desativa; não faz sentido exigir ambos porque a criptografia ganha."

Essas melhorias fazem parte de um esforço mais amplo para aumentar a segurança do Windows e do Windows Server, como destacado por anúncios anteriores do ano passado.

Em abril de 2022, a Microsoft marcou um marco ao revelar a fase final de desativação do protocolo de compartilhamento de arquivos SMB1, de décadas, para insiders do Windows 11 Home.

Com base neste progresso, a empresa também fortaleceu as defesas contra ataques de força bruta ao introduzir um limitador de taxa de autenticação SMB, que mitiga o impacto de tentativas de autenticação NTLM de entrada sem sucesso.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...