一、漏洞詳情
1.1、漏洞描述
| 漏洞名稱 | 漏洞分類 | 漏洞類型 | 出現次數 |
|---|---|---|---|
  需要SMB簽名 |
其它 | 系統漏洞 | 1 |
1.2、漏洞介紹
SMB是一個協議名,全稱是Server Message Block(服務器消息快協議),用於在計算機間共享文件、打印機、串口等,電腦上的網上鄰居由它實現。SMB簽名是SMB協議中的安全機制,也稱為安全簽名。SMB簽名旨在幫助提高SMB協議的安全性,為了防止在傳輸過程中修改SMB數據包,SMB協議支持SMB數據包的數字簽名。所有Windows操作系統都支持客戶端SMB組件和服務器端SMB組件。要利用SMB數據包簽名,通信中涉及的客戶端SMB組件和服務器端SMB組件必須啟用或需要SMB數據包簽名。如果服務器啟用此設置,Microsoft網絡服務器將不與Microsoft網絡客戶端通信,除非該客戶端同意執行SMB數據包簽名。同樣,如果需要客戶端SMB簽名,則該客戶端將無法與未啟用數據包簽名的服務器建立會話。默認情況下,在工作站,服務器和域控制器上啟用客戶端SMB簽名。
SMB簽名在性能上有一些權衡。如果網絡性能對部署方案很重要,建議您不要使用SMB簽名;如果要在高度安全的環境中使用SMB,建議您使用SMB簽名。當啟用SMB簽名時,SMB將停止使用RDMA遠程直接數據存取,因為最大MTU限制為1,394字節,這會導致郵件碎片和重組,並降低整體性能。
SMB簽名在性能上有一些權衡。如果網絡性能對部署方案很重要,建議您不要使用SMB簽名;如果要在高度安全的環境中使用SMB,建議您使用SMB簽名。當啟用SMB簽名時,SMB將停止使用RDMA遠程直接數據存取,因為最大MTU限制為1,394字節,這會導致郵件碎片和重組,並降低整體性能。
1.3、漏洞危害
SMB服務上不需要簽名。未經身份驗證的遠程攻擊者可以利用此攻擊對SMB服務器進行中間人攻擊。
1.4、漏洞監測方式
# 返回有關SMB確定的SMB安全級別的信息 nmap -sS -sV -Pn -p 445 --script="smb-security-mode" 127.0.0.1 # 確定SMBv2服務器中的郵件簽名配置 nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" 127.0.0.1
二、漏洞解決方案
2.1、解決步驟如下
1)、使用Windows+R快捷鍵打開運行窗口輸入gpedit.msc進入本地組策略編輯器。
2)、依次點擊計算機配置>Windows設置>安全設置>本地策略>安全選項。注意:默認禁用狀態才會出現這個漏洞
3)、 如果是服務端需要啟用SMB簽名,請啟用Microsoft網絡服務器:對通信進行數字簽名(始終)。
此時注意:注意需求!確定是服務端還是客戶端的!
4)、如果是客戶端需要啟用SMB簽名,請啟用Microsoft網絡服務器:對通信進行數字簽名(如果客戶端允許)。
在第上面第 3)步已經說明,此處不再多詳解。
2.2、刷新策略,驗證結果
1)、管理員運行cmd輸入gpupdate /target:computer,是修改后的策略生效。
2)、 漏洞驗證。
