Windows 11 の SMB 署名を義務化：NTLM リレー攻撃に対する保護を優先する

Windows 11 to require SMB signing to prevent NTLM relay attacks

2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名：セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。

Microsoft は、「これにより、従来からの動作が変更される。Windows 10／11 では、SYSVOL／NETLOGON という名前の共有に接続する場合にのみ、デフォルトで SMB (Server Message Block) 署名が必要だった。また、Active Directory ドメイン・コントローラでは、あらゆるクライアントが接続する場合に SMB 署名が必要だった」と説明している。

SMB 署名は、各メッセージの末尾に埋め込まれた署名とハッシュにより、送信者と受信者の身元を確認することで、悪意の認証要求をブロックするのに役立つ。

SMB 署名が無効になっている SMB サーバやリモート共有では、”The cryptographic signature is invalid”／”STATUS_INVALID_SIGNATURE”／”0xc000a000″／”-1073700864″ などのメッセージを表示する、さまざまな接続エラーが発生する。

このセキュリティ・メカニズムは、Windows 98 や 2000 の時から提供されており、Windows 11 や Windows Server 2022 ではアップデートされ、データの暗号化を大幅に高速化することでパフォーマンスと保護を向上させている。

パフォーマンスに影響を及ぼしかねないセキュリティ対策

あらゆるセキュリティ・チームにとって、NTLM リレー攻撃のブロックは最重要課題だが、SMB コピー速度の低下につながる可能性があるため、このアプローチに疑問を持つ Windows 管理者がいるかもしれない。

Microsoft は、「SMB 署名は、SMB コピー操作のパフォーマンスを低下させる可能性があるが、物理 CPU のコアや仮想 CPU の追加により、また、最新かつ高速の CPU を使用することで軽減できる」と述べている。

ただし、管理者にはオプションが提供される。昇格した Windows PowerShell ターミナルから、以下のコマンドを実行することで、サーバ／クライアント接続における SMB 署名の要件を無効にできる：

Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false

これらのコマンドを実行しても、システムの再起動は必要ないが、すでに開いている SMB 接続は閉じるまで署名を要求し続ける。

Microsoft の Principal Program Manager である Ned Pyleは、「この、署名に関するデフォルトの変更は、Windows Server だけではなく、Pro／Education などの Windows エディションに対しての、今後の数ヶ月の間に適用されると予想される。Insiders での状況次第では、メジャーリ・リースにも反映されるだろう」と述べている。

この 6月2日の発表は、Windows／Windows Server のセキュリティを改善するために、2022年を通して示されてきた、広範なアクションの一部である。

2022年4月の時点で Microsoft は、30年前のファイル共有プロトコルを、Windows 11 Home Insiders のデフォルトでは無効にした。それは、Windows で SMB1 を無効化にする最終段階の発表でもあった。

その５カ月後に同社は、インバウンドの NTLM 認証試行の失敗に対処するための、新たな保護方針を発表している。具体的に言うと、SMB 認証レートリミッターの導入であり、それによりブルートフォース攻撃に対抗するというものだ。

Windows のような長い歴史を持つ OS は、さまざまな問題を引きずっています。NTLM に関してはリレー攻撃の問題だけではなく、2023/03/10 の「MFA の限界を知ろう：Active Directory との相性の悪さについて深堀りする」で指摘されている問題もあるようです。よろしければ、NTLM で検索も、ご利用ください。