Microsoft biztonsági tanácsadó 974926

Hitelesítő adatokat továbbító támadások integrált Windows-hitelesítésnél

Közzétéve: 2009. december 8.

Verzió: 1.0

A tanácsadó ismerteti a hitelesítő adatok integrált Windows-hitelesítés (IWA) közben történő kezeléséből, és olyan mechanizmusok használatából adódó támadási lehetőségeket, melyeket a Microsoft éppen az ilyen támadások elleni védekezésképpen ajánl felhasználóinak.

Az ilyen típusú támadások esetében a támadó megszerzi a felhasználó hitelesítő adatait, amíg azok úton vannak az ügyfél és a kiszolgáló között, majd visszatükrözi ezeket az adatokat az ügyfélgépen futó szolgáltatásra, vagy olyan kiszolgálóra továbbítja őket, amelyen a felhasználó érvényes fiókkal rendelkezik. Így a támadó a felhasználót megszemélyesítve hozzáférhet ezekhez az erőforrásokhoz. Ha az IWA hitelesítő adatok kivonatoltak, a támadó nem tudja kivenni belőle a valódi felhasználónevet és jelszót.

A támadás típusától és további támadási felületek használatától függően előfordulhat, hogy a támadó a vállalat biztonsági rendszerén kívül és belül is hozzáférjen a hitelesítő adatokhoz, és ezek segítségével jogosulatlan hozzáférést nyerjen a vállalati erőforrásokhoz.

A Microsoft több szinten foglalkozik a problémák esetleges hatásaival, és tájékoztatja a felhasználókat az elérhető segédeszközökről és azok működéséről. A jelen tanácsadó ismerteti a Microsoft által tett lépéseket az IWA hitelesítő adatok fokozott védelme érdekében, továbbá leírja, hogy a felhasználók hogyan használhatják ezeket.

A hibát enyhítő tényezők:

  • A hitelesítő adatok tükrözéséhez a támadónak egy másik biztonsági rés kihasználásával sikeres man-in-the-middle támadást kell végrehajtania, vagy rá kell vennie áldozatát, hogy az aktívan csatlakozzon a támadó felügyelete alatt álló kiszolgálóra (például rosszindulatú e-mail üzenetben küldött hivatkozás révén).
  • Az Internet Explorer soha nem küldi el automatikusan a hitelesítő adatokat HTTP-kapcsolaton keresztül az Internet zónában található kiszolgálóknak. Ez csökkenti annak kockázatát, hogy a hitelesítő adatokat egy támadó ebben a zónában továbbítsa illetve tükrözze.
  • A tükrözést kihasználó támadás sikeréhez az ügyfélrendszernek engedélyeznie kell a bejövő adatforgalmat. Leggyakrabban az SMB útján történik a támadás, mivel az IWA hitelesítést használ. Az SMB forgalmat letiltó tűzfallal védett gazdagépeket illetve az olyan gépeket, amelyek saját tűzfallal védekeznek az SMB forgalom ellen, nem érintik a legelterjedtebb NTLM-tükrözést használó támadások, mivel ezek az SMB-t veszik célba.

Általános tudnivalók

A tanácsadó közlemény célja: Tisztázni, hogy milyen lépéseket tesz a Microsoft a felhasználók hitelesítő adatainak fokozott védelme érdekében integrált Windows-hitelesítés (IWA) használatakor.

A tanácsadó közlemény állapota: Tanácsadó közzététele.

Ajánlás: Olvassa el a javasolt műveleteket, és végezze el a megfelelő beállításokat.

HivatkozásokAzonosítás
Microsoft Tudásbázis cikke 974926

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Windows XP Service Pack 2 és Windows XP Service Pack 3

Windows XP x64 alapú rendszerekhez, Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 alapú rendszerekhez, Service Pack 2

Windows Server 2003 Itanium alapú rendszerekhez Service Pack 2, Windows Vista, Windows Vista Service Pack 1 és Windows Vista Service Pack 2

Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2

Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites rendszerekhez, Service Pack 2

Windows Server 2008 x64 alapú rendszerekhez és Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2

Windows Server 2008 Itanium alapú rendszerekhez és Windows Server 2008 Itanium alapú rendszerekhez, Service Pack 2

Windows 7 32 bites rendszerekhez*

Windows 7 x64 alapú rendszerekhez*

Windows Server 2008 R2 x64 alapú rendszerekhez*

Windows Server 2008 R2 Itanium alapú rendszerekhez*

* A Windows 7 és Windows Server 2008 R2 rendszer Javított védelem a hitelesítési műveletekhez funkciója a Security Support Provider Interface (SSPI) részét képezi. Az ilyen platformokon futó alkalmazások azonban továbbra is ki lehetnek téve a hitelesítő adatok továbbításának, ha az operációs rendszeren illetve az alkalmazásban nincs beállítva a funkció támogatása. A Javított védelem a hitelesítési műveletekhez funkció alapértelmezésben nincs engedélyezve.

Mire terjed ki a tanácsadó hatása? 
A biztonsági tanácsadó részletesen taglalja a Microsoft hitelesítő adatok továbbítása elleni védelmi stratégiáját. Ugyanakkor részletesen összefoglalja a problémával kapcsolatos, jelenleg elérhető frissítéseket.

Mi okozza a fenyegetést? 
A tanácsadó a hitelesítő adatok továbbítását célzó veszélyeket elemzi. A támadásokra akkor nyílik lehetőség, ha a támadó sikeresen megszerezte a hitelesítő adatokat (pl. man-in-the-middle támadás útján vagy úgy, hogy rávette a felhasználót, hogy kattintson rá egy hivatkozásra). A hivatkozáson keresztül az felhasználó a támadó által felügyelt szolgáltatáshoz jut, amely felszólítja, hogy az IWA révén hitelesítse magát.

A jelen tanácsadóban tárgyalt, hitelesítő adatok továbbítására szolgáló módok a következők:

  • Hitelesítő adatok továbbítása: a támadó a megszerzett tartományhitelesítő-adatokkal bejelentkezhet olyan egyéb szolgáltatásokba, amelyekhez a támadás áldozata közismerten hozzáfér. A támadó így a támadás áldozatáéval azonos jogosultságokat nyerhet a célszolgáltatásban.
  • Hitelesítő adatok tükrözése: a támadó a megszerzett tartományhitelesítő-adatokkal újra bejelentkezhet az áldozat gépére. A támadó ezután az áldozattal azonos jogosultságokat szerezhet a gépen.

A támadás sikeréhez a felhasználónak csatlakoznia kell a támadó kiszolgálójára. Ehhez a támadónak a helyi hálózaton kell működnie, pl. az address resolution protocol (ARP) gyorsítótár megfertőzése útján.

A támadások hatásfoka nő, ha a támadó rá tudja venni a felhasználót, hogy csatlakozzon a szervezeti határon kívüli kiszolgálóra. Az ilyen jelenséget okozó speciális esetek a következők:

  • DNS-csonkolás- a Windows DNS-ügyfél jellemzője – a Windows DNS-ügyfelek ennek segítségével oldják fel meg az egytagú, nem minősített állomásnevekre vonatkozó DNS-kérelmeket. A rosszindulatú felhasználó regisztrálhatja az adott állomásnevet a vállalati környezeten kívül, ahol (ha az ügyfelek beállítása nem megfelelő) az ügyfél véletlenül csatlakozhat rá, miközben a vállalati környezeten kívül keresi az adott állomásnevet.
  • DNS-hamisítás: a támadó kihasználja a Windows Domain Name System (DNS) rendszer hamisítást lehetővé tévő biztonsági réseit. Ezek a támadások lehetővé teszik, hogy az interneten lévő rendszereknek szánt hálózati forgalmat a támadó saját rendszerére irányítsa át.
  • NetBIOS névszolgáltatás (NBNS) hamisítása: a felhasználót ráveszik, hogy speciálisan kialakított aktív kódú kisalkalmazást (pl. Java vagy Flash) futtasson, amely lekéri a helyi állomásnevet, majd hamisított NSNS válaszokat küld az ügyfélnek egy távoli IP-címről. Az állomásnévre csatlakozó ügyfél azt hiheti, hogy a helyi gépre csatlakozott, és akaratán kívül felfedheti IWA hitelesítő adatait a távoli támadónak;

A Microsoft több frissítést adott ki az említett forgatókönyvek megakadályozására. A jelen tanácsadó összefoglalja, hogyan becsülhetik fel a felhasználók legjobban a kockázatokat és az adott telepítési típussal járó problémákat.

Mit jelent az integrált Windows-hitelesítés (IWA)?  
Az integrált Windows-hitelesítésnél (korábbi nevén NTLM, más néven Windows NT kérdés-válasz hitelesítés) a rendszer kivonatolva küldi el a felhasználónevet és jelszót (=hitelesítő adatok) a hálózaton. Ha működik az integrált Windows-hitelesítés, az ügyfél kivonatolt titkosító párbeszéddel igazolja a jelszó ismeretét az internetkiszolgáló felé. Az integrált Windows-hitelesítés részét képezi a Negotiate, a Kerberos és az NTLM hitelesítési módszer.

Mit jelent a man-in-the-middle támadás?  
A man-in-the-middle támadás során a támadó keresztülvezeti a két felhasználó közt folyó kommunikációt saját számítógépén anélkül, hogy a két kommunikáló fél tudna erről. A támadó meg tudja nézni és el tudja olvasni az adatforgalmat, mielőtt továbbküldi az eredeti címzettnek. Mindkét kommunikáló fél tudtán kívül adatokat küld a támadónak és fogad tőle, miközben azt hiszi, hogy csak az eredeti címzettel kommunikál.

Milyen lépéseket tett a Microsoft a DNS-hamisítás megakadályozása érdekében?  
A Microsoft a következő biztonsági közleményeket adta ki a DNS-hamisítási támadásokkal kapcsolatban:

  • Az MS08-037 két biztonsági rést tárgyalt, melyek segítségével a támadó hamisíthatja a DNS-bejegyzéseket, és beillesztheti azokat a DNS-kiszolgáló gyorsítótárába.
  • A MS09-008 két biztonsági rést tárgyalt, melyek segítségével a támadó hamisíthatja a DNS-bejegyzéseket, és beillesztheti azokat a DNS-kiszolgáló gyorsítótárába, továbbá két olyan biztonsági rést, amelyek segítségével a támadó rosszindulatúan regisztrálhat a hálózati infrastruktúrával kapcsolatos állomásneveket (WPAD és ISATAP), amelyek segítségével további támadásokat hajthat végre.

Milyen lépéseket tett a Microsoft az NBNS-hamisítás megakadályozása érdekében?  
A Microsoft a biztonsági rés által érintett külső cégekkel együttműködve enyhítő megoldást talált erre a támadási felületre. Az Adobe Flash Player problémáját az Adobe APSB08-11 biztonsági közlemény, a Sun Java Runtime Environment problémáját pedig a Sun 103079 figyelmeztetés tárgyalta.

Mit jelent az address resolution protocol (ARP) gyorsítótár megfertőzése?  
Az ARP gyorsítótár megfertőzése olyan támadás, amelyhez a támadó az áldozat számítógépével azonos hálózaton lévő gépet használ fel csali jellegű vagy nem viszonzandó ARP-válaszok küldésére. Ilyenkor a felhasználó rendszerint azt hiszi, hogy a támadó gépe az alapértelmezett átjáró a hálózaton, és az átjáró helyett a támadó gépére kezd adatokat küldeni. Mindez végül man-in-the-middle támadáshoz vezethet.

Mit jelent a Transport Layer Security (TLS)? 
A Transport Layer Security (TLS) kézfogás protokollja felelős a biztonságos munkamenetek létrehozásához vagy folytatásához szükséges hitelesítéséért és kulcscseréért. Biztonságos munkamenet létrehozásakor a kézfogás protokoll kezeli a következőket:

  • rejtjelező csomag egyeztetése
  • a kiszolgáló és (opcionálisan) az ügyfél hitelesítése
  • munkamenetkulcsok információcseréje

További információk a TSL/SSL mikéntjéről szóló TechNet cikkben.

A Windows mely verzióit érinti ez a tanácsadó? 
A hitelesítő adatok továbbítása és tükrözése minden platformot érint, amely képes integrált Windows-hitelesítés végrehajtására. A Javított védelem a hitelesítési műveletekhez funkció a Windows 7 és Windows Server 2008 R2 rendszer részét képezi, a Windows XP, Windows Server 2003, Windows Vista és Windows Server 2008 rendszerhez pedig nem biztonsági frissítés keretében elérhető a 973881. számú biztonsági tanácsadóból. A hitelesítő adatok teljes védelme érdekében az ilyen platformon futó speciális alkalmazásokat továbbra is külön be kell vonni a funkció működésébe. A Javított védelem funkció Microsoft Windows 2000 platformon nem elérhető.

Milyen lépéseket tett a Microsoft a hitelesítő adatok tükrözésére irányuló támadások kiküszöbölésére?  
Ha az alkalmazások megfelelően használják az egyszerű szolgáltatásnevet (SPN), amikor egy szolgáltatáshoz hitelesítést végeznek, akkor védve vannak a hitelesítő adatok tükrözését célzó támadásoktól.

A jelen biztonsági tanácsadó kiadása előtt a Microsoft a következő biztonsági frissítéseket bocsátotta ki annak biztosítására, hogy a Windows-összetevők és Microsoft alkalmazások használhatják ezt a funkciót a hitelesítő adatok tükrözésére törő támadások elleni védekezéshez:

  • Az MS08-068 Microsoft biztonsági közlemény a hitelesítő adatok tükrözésével foglalkozik, amikor a felhasználó csatlakozik a támadó SMB kiszolgálójára.
  • Az MS08-076 Microsoft biztonsági közlemény a hitelesítő adatok tükrözésével foglalkozik, amikor a felhasználó csatlakozik a támadó Windows Media kiszolgálójára.
  • A MS09-013 Microsoft biztonsági közlemény a hitelesítő adatok tükrözésével foglalkozik, amikor a felhasználó WinHTTP alkalmazásfejlesztői felületen keresztül csatlakozik a támadó internetkiszolgálójára.
  • A MS09-014 Microsoft biztonsági közlemény a hitelesítő adatok tükrözésével foglalkozik, amikor a felhasználó WinINET alkalmazásfejlesztői felületen keresztül csatlakozik a támadó internetkiszolgálójára.
  • Az MS08-042 Microsoft biztonsági közlemény a hitelesítő adatok tükrözésével foglalkozik, amikor a felhasználó csatlakozik a támadó telnet kiszolgálójára.

Milyen lépéseket tett a Microsoft a hitelesítő adatokat továbbító támadások kiküszöbölésére?  
A Windows Security Support Provider Interface (SSPI) bizonyos fokú védelmet nyújt a hitelesítő adatok továbbítása ellen. A felület a Windows 7 és Windows Server 2008 R2 rendszerben eleve megtalálható, a Windows XP, Windows Server 2003, Windows Vista és Windows Server 2008 rendszerhez pedig nem biztonsági jellegű frissítésként érhető el.

A védelem érdekében további nem biztonsági jellegű frissítéseket kell telepíteni, amelyek hasonló védelmet nyújtanak bizonyos ügyfél- és kiszolgáló-összetevők és -alkalmazások számára. Ez a funkció az ügyfél- és kiszolgálóoldalon is módosítja a hitelesítést, ezért körültekintően kell eljárni a telepítésekor. A Javított védelem a hitelesítési műveletekhez funkcióról és annak alkalmazásához kiadott, nem biztonsági jellegű frissítések részleteiről lásd a Microsoft 973811. biztonsági tanácsadóját.

Hogyan kezelik ezek a frissítések a hitelesítő adatok továbbítására irányuló támadásokat?  
Az SSPI nem biztonsági jellegű frissítés (Microsoft 973811. biztonsági tanácsadó) módosítja az SSPI elemet az aktuális integrált Windows-hitelesítés (IWA) mechanizmus kiterjesztése végett: így a hitelesítési kérelmek elérik annak a kiszolgálónak az SPN-jét, amelyre az ügyfél csatlakozni kíván, valamint a külső Transport Layer Security (TLS) csatornát is, amelyen az IWA hitelesítés történik (ha van ilyen csatorna). Ez az alapvető frissítés nem foglalkozik magával a biztonsági réssel, hanem opcionális funkcióként települ, amelyet az alkalmazásfejlesztők igény szerint konfigurálhatnak.

Az alkalmazásspecifikus, nem biztonsági jellegű frissítések az egyes, IWA-hitelesítést alkalmazó rendszerösszetevőket módosítják úgy, hogy azok alkalmazhassák az 1. szintű, nem biztonsági frissítésben foglalt védekező mechanizmusokat. A Javított védelem a hitelesítési műveletekhez funkció engedélyezésének részleteiről lásd a Microsoft 973999. biztonsági tanácsadót és a Microsoft Tudásbázis 973999. cikkét.

Milyen lépéseket tett a Microsoft a DNS-csonkolás megakadályozása érdekében?  
A DNS-csonkolás támadási lehetőség a vállalati hálózaton kívül alkalmas a biztonsági rés kihasználására. A csonkolás a Windows DNS-ügyfél jellemzője: a Windows DNS-ügyfelek ennek segítségével oldják fel meg az egytagú, nem minősített állomásnevekre vonatkozó DNS-kérelmeket. A kérelem úgy épül fel, hogy az elsődleges DNS-utótagot (PDS) társítja az állomásnévhez. A kérelem feldolgozása során a rendszer lépésről lépésre eltávolítja a PDS elem legbaloldalibb elemét, amíg az állomásnév és egy PDS elem vagy két elem marad a csonkolt PDS-ből. Ha a Windows-ügyfelek például a „Single-label” elemet keresik a western.corp.contoso.co.us tartományban, a rendszer sorban rákeres a Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us és Single-label.co.us elemre, amíg meg nem találja, amit keres. Ezt hívják csonkolásnak.

A támadó egytagú névvel ellátott rendszert tarthat fenn a szervezet határain kívül, és a DNS-csonkoláson keresztül sikeresen ráveheti a Windows DNS-ügyfelet, hogy rácsatlakozzon, mintha csak a szervezeten belül működne. Ha egy vállalat DNS-utótagja például corp.contoso.co.us, és a Single-Label nem minősített állomásnév feloldása a cél, a DNS-csonkoló a Single-Label.corp.contoso.co.us változattal próbálkozik. Ha nem találja, DNS-csonkolással megpróbálja feloldani a Single-label.contoso.co.us elemet. Ha ez sem sikerül, megpróbálja feloldani a Single-label.co.us elemet, amely kívül esik a contoso.co.us tartományon. Ezt hívják csonkolásnak.

HA például az állomásnév WPAD, a WPAD.co.us odlalt beállító támadó rosszindulatú automatikus webproxykereső fájlt hozhat létre az ügyfél proxybeállításainak konfigurálására.

A Microsoft a 971888. biztonsági tanácsadó és a hozzá tartozó frissítés kiadásával kínál szorosabb felügyeleti lehetőséget a szervezetek számára a Windows-ügyfél által végzett a DNS-csonkolás felett. A frissítés jóvoltából a szervezet megakadályozhatja, hogy az ügyfelek kilépjenek a vállalati környezetből.

Mit tehetnek a külső fejlesztők a hitelesítő adatok továbbításának megakadályozására?  
A külső fejlesztők fontolják meg a Javított védelem a hitelesítési műveletekhez funkció bevezetését: csatlakozzanak a Microsoft 973811. biztonsági tanácsadóban ismertetett új védelmi mechanizmus felhasználóihoz.

A fejlesztők lehetőségeiről bővebben lásd az „Integrált Windows-hitelesítés javított védelemmel” MSDN cikket.

Mit jelent az egyszerű szolgáltatásnév (SPN)? 
Az egyszerű szolgáltatásnév (SPN) az az egyedi név, amely alapján az ügyfél egy adott szolgáltatási példányt azonosít. Ha több szolgáltatáspéldányt telepít az egy hálózaton lévő gépekre, mindegyik saját SPN nevet kap. Egy szolgáltatáspéldánynak lehet több SPN neve is, ha az ügyfelek esetleg több nevet használnak a hitelesítéshez. Például az SPN mindig tartalmazza a gazdagép nevét, amelyre a szolgáltatáspéldány telepítve van: így a példány külön SPN elemet rendelhet a géphez tartozó minden névhez illetve aliashoz.

  • Lásd a Microsoft 9738 11. biztonsági tanácsadóját (Integrált Windows-hitelesítés javított védelemmel címmel), és alkalmazza a hozzá tartozó frissítéseket 
    A biztonsági közlemény a Javított védelem a hitelesítési műveletekhez funkciót alkalmazó, nem biztonsági jellegű frissítések kiadásáról tájékoztat. A funkció védelmet nyújt a hitelesítő adatokat továbbító támadások ellen.
  • Lásd a Microsoft 971888. biztonsági tanácsadóját (Frissítés a DNS-csonkolás témaköréhez) 
    A biztonsági közlemény egy választható, nem biztonsági jellegű frissítés újbóli kiadásáról tájékoztat, melynek segítségével a rendszergazdák pontosabban beállíthatják a DNS-csonkolás funkciót.
  • Nézze át a Microsoft Tudásbázis jelen tanácsadót érintő cikkét 
    Azok a felhasználók, akiket bővebben érdekel ez a kérdés, tekintsék át a Microsoft Tudásbázis 974926. számú cikkét.
  • A számítógép védelme 
    Arra ösztönözzük ügyfeleinket, hogy kövessék A számítógép védelme útmutatásait a tűzfal használatával kapcsolatban, töltsék le a szoftverfrissítéseket, és telepítsenek víruskereső szoftvereket. Ügyfeleink többet is megtudhatnak ezekről a lépésekről, ha meglátogatják az A számítógép védelme webhelyet.
  • A biztonságos internetezésről a Microsoft biztonsági honlapján található további információ.
  • Tartsa naprakészen Windows rendszerét 
    A lehetséges legnagyobb biztonság érdekében a Windows minden felhasználójának a Microsoft legújabb biztonsági frissítéseit kell használnia. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Windows Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha engedélyezte az Automatikus frissítés funkciót, már a nyilvánosságra hozatal időpontjában hozzájuthat a frissítésekhez, csak telepítenie kell őket.

Lehetséges megoldások

A rendszereket a hitelesítő adatok tükrözésével és továbbításával támadók elleni védelemnek többféle módja is létezik. A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a funkcionalitást, azt a következő fejezetben jelezzük.

Tiltsa le a tűzfalon a 139. és a 445. TCP-portot

A hitelesítő adatokat visszatükröző támadások esetén a tükrözött adatokkal bejövő csatlakozás leggyakrabban SMB vagy RPC szolgáltatáson keresztül érkezik. A 139-es és 445-ös TCP-port letiltása megakadályozza, hogy a tűzfal mögötti rendszereken a támadók a biztonsági rést kihasználják. A Microsoft azt javasolja, hogy az internet felől bejövő összes kéretlen adatforgalmat tiltsa le, ezzel megakadályozhatja az esetleg más portokon keresztül történő támadásokat. A portokkal kapcsolatos további információért látogasson el a TCP- és UDP-porthozzárendeléseket ismertető webhelyre.

A megoldás hatása: Számos Windows szolgáltatás használja az érintett portokat. A portokhoz történő kapcsolat letiltásából kifolyólag számos alkalmazás és szolgáltatás nem működhet. Az esetlegesen érintett szolgáltatások felsorolása az alábbiakban olvasható:

  • SMB (CIFS) felhasználásával működő alkalmazások
  • Mailslotot és named pipe-ot használó alkalmazások (RPC – SMB)
  • Kiszolgáló (fájl- és nyomtatómegosztás)
  • Csoportházirend
  • Hálózati bejelentkezés
  • Elosztott fájlrendszer (DFS)
  • Terminálkiszolgáló licencelése
  • Nyomtatásisor-kezelő
  • Számítógép-tallózó
  • Távoli eljáráshívás (RPC) lokátor
  • Faxszolgáltatás
  • Indexelő szolgáltatás
  • Teljesítménynaplók és riasztások
  • Systems Management Server
  • Licencnaplózó szolgáltatás

Az SMB-aláírások engedélyezése

Az SMB-aláírások engedélyezése megakadályozza, hogy a támadó kódot futtasson a bejelentkezett felhasználó környezetében . Az SMB aláírás kölcsönös és üzenethitelesítést szolgáltat: minden SMB elemet digitális aláírással lát el, amelyet azután az ügyfél és a kiszolgáló egyaránt ellenőriz. A Microsoft a csoportházirendek használatát ajánlja az SMB-aláírások beállításához.

Az SMB-aláírások Microsoft Windows 2000, Windows XP és Windows Server 2003 rendszeren csoportházirend segítségével történő engedélyezéséhez és letiltásához a Microsoft Tudásbázis 887429. cikkében talál részletes útmutatót. A Microsoft Tudásbázis 887429. cikkében a Windows XP és a Windows Server 2003 rendszerre vonatkozó útmutató a Windows Vista és a Windows Server 2008 rendszerre is vonatkozik.

A megoldás hatása: Az SMB-csomagok aláírásának használata csökkentheti a fájlszolgáltatással kapcsolatos tranzakciók teljesítményét. Az ilyen házirenddel rendelkező számítógépek nem kommunikálnak azokkal a számítógépekkel, amelyeken nincs bekapcsolva az ügyféloldali csomagaláírás. Az SMB-aláírásokról és az esetleges hatásokról lásd a Microsoft hálózati kiszolgáló: Kommunikáció digitális aláírása (mindig) című cikket.

Egyéb információ

További tudnivalók:

Felelősséget kizáró nyilatkozat:

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2009. december 8.): Tanácsadó közzététele.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: