SMB-handtekening straks als verplichte beveiligingsmaatregel op Windows

Elwin Hodžić
6

Windows gaat in de toekomst de SMB-handtekening (voor verbindingen via het Server Message Block-protocol) verplicht stellen. Microsoft noemt dit een belangrijke maatregel om de beveiliging van hun besturingssystemen aanzienlijk te verbeteren.

Verplichte SMB-handtekening

Microsoft heeft aangekondigd dat het de handtekening van het SMB-protocol zal afdwingen voor Windows 11 Insider Preview Build 25381 en latere versies van Windows 10, 11 en Server. Voorheen was dit optioneel, maar Microsoft wil eerst de resultaten van de preview afwachten voordat het de maatregel definitief invoert. Dit sluit aan bij eerdere SMB-beveiligingsmaatregelen.

Belang van de SMB-handtekening

De cryptografische handtekening is essentieel om manipulaties te detecteren, zoals man-in-the-middle-aanvallen. Voorheen was SMB-ondertekening alleen verplicht voor bepaalde shares en verbindingen met domeincontrollers.

Hoe werkt de SMB-handtekening?

De client voegt een hash van het bericht toe aan het handtekeningveld van de SMB-header. De handtekening is gebaseerd op de sessiesleutel en de cipher suite (coderingsmethode) van de verbinding. Als er tijdens de verzending wordt geknoeid, komt de hash niet overeen en wordt de manipulatie gedetecteerd.

Verbeteringen in SMB-handtekening

In SMB 2.02 is de handtekening verbeterd met HMAC SHA-256 (SMB1 = MD5) en in SMB 3.0 met AES-CMAC. Volgens Microsoft bieden Windows Server 2022 en Windows 11 handtekeningversnelling via AES-128-GMAC.

Aanbevelingen en controle

In de tech-community blogpost geeft Microsoft verdere aanbevelingen en PowerShell-commando’s om de huidige instellingen te controleren. Beheerders kunnen hier ook informatie vinden over het uitschakelen van ondertekening aan de client- en serverzijde in noodgevallen.

Microsoft draait nu de duimschroeven aan voor protocolhardening in on-premise omgevingen. Het bedrijf moet nog beslissen wanneer ze verplichte SMB-encryptie met SMB 3.0 durven te implementeren. Windows Server 2022 biedt echter nog een ander versleuteld alternatief: SMB-over-QUIC.


Altijd op de hoogte blijven omtrent de ontwikkelingen van Windows? Schrijf je in voor de gratis nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Deel dit artikel

Elwin Hodžić
Elwin Hodžić(Web)redacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije tijd graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

EK 2024 live kijken? Zo kijk je o.a. Nederland – Frankrijk geheel gratis

Wil je het EK 2024 live volgen? In dit artikel lees je hoe je onder andere Nederland – Frankrijk aanstaande vrijdag in de hoogste kwaliteit met Nederl...

Bestel nu je tickets voor c’t live 2024!

Bestel nu je tickets voor c't live 2024!

6 Praat mee
avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
Wittemeister
Lezer
Wittemeister

Zou dit ook invloed hebben op de connecties met Windows die ik via samba maak?

MLN
Lezer
MLN

Met SMB2 werkt het maar ben niet zeker of het nog met SMB3 werkt..

C. Beerse
Lezer
C. Beerse

Samba is de unix/linux implementatie van het smb protocol. Ja daar speelt het ook. Bedenk dat het een communicatie protocol is, daarmee zijn er 2 partijen. Als 1 partij deze instelling eist, dan moet de ander mee werken. In de regel is het de server kant (daar waar de ‘share’ ligt) die de ‘eis’ stelt, de client doet daar aan mee.

Dus linux gebruikers die naar een windows-share gaan zullen mee moeten. Andersom zullen linux servers (de gemiddelde nas ook) deze instelling ook gaan vragen/bieden zodat windows gebruikers ook naar deze servers ‘veilig’ zijn.

Jacques
Lezer
Jacques

En nu in gewoon Nederlands voor “normale” pc-gebruikers?

Frans van Beek
Lezer
Frans van Beek

Inderdaad in gewoon JIP EN JANNEKE TAAL zodat ELKE gebruiker weet wat er bedoeld wordt en vooral stoppen met dat steeds veranderen voor iets wat goed werkt want daar wordt de PC gebruiker helemaal gestoord van. Microsoft heeft al genoeg verdiend in al die jaren met hun systeem dus genoeg is genoeg. Laat nogmaals wat goed werkt en duidelijk is voor de gebruiker gewoon zoals het is want elke verandering hoeft nog geen verbetering te zijn en dat is nu toch wel gebleken. En bepaalde dingen verplichten is helemaal uit den boze !

C. Beerse
Lezer
C. Beerse

De instelilngen voor het verbinden naar een share (remote drive) zullen onder water nadere beveiliging eisen. Het kan zijn dat oudere systemen daar niet aan mee kunnen werken.