Windows gaat in de toekomst de SMB-handtekening (voor verbindingen via het Server Message Block-protocol) verplicht stellen. Microsoft noemt dit een belangrijke maatregel om de beveiliging van hun besturingssystemen aanzienlijk te verbeteren.
Verplichte SMB-handtekening
Microsoft heeft aangekondigd dat het de handtekening van het SMB-protocol zal afdwingen voor Windows 11 Insider Preview Build 25381 en latere versies van Windows 10, 11 en Server. Voorheen was dit optioneel, maar Microsoft wil eerst de resultaten van de preview afwachten voordat het de maatregel definitief invoert. Dit sluit aan bij eerdere SMB-beveiligingsmaatregelen.
Belang van de SMB-handtekening
De cryptografische handtekening is essentieel om manipulaties te detecteren, zoals man-in-the-middle-aanvallen. Voorheen was SMB-ondertekening alleen verplicht voor bepaalde shares en verbindingen met domeincontrollers.
Hoe werkt de SMB-handtekening?
De client voegt een hash van het bericht toe aan het handtekeningveld van de SMB-header. De handtekening is gebaseerd op de sessiesleutel en de cipher suite (coderingsmethode) van de verbinding. Als er tijdens de verzending wordt geknoeid, komt de hash niet overeen en wordt de manipulatie gedetecteerd.
Verbeteringen in SMB-handtekening
In SMB 2.02 is de handtekening verbeterd met HMAC SHA-256 (SMB1 = MD5) en in SMB 3.0 met AES-CMAC. Volgens Microsoft bieden Windows Server 2022 en Windows 11 handtekeningversnelling via AES-128-GMAC.
Aanbevelingen en controle
In de tech-community blogpost geeft Microsoft verdere aanbevelingen en PowerShell-commando’s om de huidige instellingen te controleren. Beheerders kunnen hier ook informatie vinden over het uitschakelen van ondertekening aan de client- en serverzijde in noodgevallen.
Conclusie
Microsoft draait nu de duimschroeven aan voor protocolhardening in on-premise omgevingen. Het bedrijf moet nog beslissen wanneer ze verplichte SMB-encryptie met SMB 3.0 durven te implementeren. Windows Server 2022 biedt echter nog een ander versleuteld alternatief: SMB-over-QUIC.
Altijd op de hoogte blijven omtrent de ontwikkelingen van Windows? Schrijf je in voor de gratis nieuwsbrief:
Zou dit ook invloed hebben op de connecties met Windows die ik via samba maak?
Met SMB2 werkt het maar ben niet zeker of het nog met SMB3 werkt..
Samba is de unix/linux implementatie van het smb protocol. Ja daar speelt het ook. Bedenk dat het een communicatie protocol is, daarmee zijn er 2 partijen. Als 1 partij deze instelling eist, dan moet de ander mee werken. In de regel is het de server kant (daar waar de ‘share’ ligt) die de ‘eis’ stelt, de client doet daar aan mee.
Dus linux gebruikers die naar een windows-share gaan zullen mee moeten. Andersom zullen linux servers (de gemiddelde nas ook) deze instelling ook gaan vragen/bieden zodat windows gebruikers ook naar deze servers ‘veilig’ zijn.
En nu in gewoon Nederlands voor “normale” pc-gebruikers?
Inderdaad in gewoon JIP EN JANNEKE TAAL zodat ELKE gebruiker weet wat er bedoeld wordt en vooral stoppen met dat steeds veranderen voor iets wat goed werkt want daar wordt de PC gebruiker helemaal gestoord van. Microsoft heeft al genoeg verdiend in al die jaren met hun systeem dus genoeg is genoeg. Laat nogmaals wat goed werkt en duidelijk is voor de gebruiker gewoon zoals het is want elke verandering hoeft nog geen verbetering te zijn en dat is nu toch wel gebleken. En bepaalde dingen verplichten is helemaal uit den boze !
De instelilngen voor het verbinden naar een share (remote drive) zullen onder water nadere beveiliging eisen. Het kan zijn dat oudere systemen daar niet aan mee kunnen werken.