Windows 11 から SMB1 ファイアウォール・ルールが消える:セキュリティ強化の一貫

Microsoft drops SMB1 firewall rules in new Windows 11 build

2023/11/08 BleepingComputer — Windows 11 のビルド 25992 から、新しい SMB 共有を作成する際に SMB1 の Windows Defender ファイアウォール・ルールが追加されなくなると、今日の Canary Channel Insider Preview が伝えている。Windows XP SP2 以降では、SMB 共有を作成すると、指定されたファイアウォール・プロファイルの “File and Printer Sharing” グループ内でルールが自動的に設定されていた。


しかし、今日からは、Windows 11 は更新された制限付きの “File and Printer Sharing” グループがコンフィグレーションされ、インバウンドの NetBIOS ポート 137-139 (SMB1の機能) が省略されるという。

Microsoft の Amanda Langowski と Brandon LeBlanc は「この変更は、 SMB ファイアウォールのルールを、Windows Server の “File Server” ロールの動作に近づけるだけではなく、より高度なネットワーク・セキュリティのデフォルトを強制する。管理者は、この新しいファイアウォール・グループを変更するだけではなく、必要に応じて “File and Printer Sharing” グループを設定できる」と述べている。

Microsoft Principal Program Manager の Ned Pyle のブログ投稿には、「将来においては、このルールを更新して、インバウンドの ICMP/LLMNR/Spooler Service ポートを削除し、SMB 共有に必要なポートだけに制限する予定だ」と記されている。

また、ハードコードされたデフォルトとは異なるカスタム・ネットワーク・ポートを介して、SMB クライアントは TCP/QUIC/RDMA 経由で SMB サーバと接続できるようになった。以前において、SMB は TCP/445/QUIC/443/RDMA iWARP/5445 のみをサポートしていた。

Windwos Defender Firewall rules
Windows Defenderファイアウォールルール (Microsoft)
Windows を一歩ずつ、よりセキュアに

これらの改善は、Windows と Windows Server のセキュリティを強化するための広範な取り組みの一部であり、この数カ月に発行された他の更新プログラムでも、その点が強調されている。

Windows 11 Insider Preview Build 25982 の Canary Channel での導入に続き、管理者は全ての送信接続に対して SMB クライアントの暗号化を強制できるようになった。

すべてのディスティネーション・サーバが、SMB 3.x と暗号化のサポートを要求することで、Windows 管理者に対しては、すべての接続が安全であることが保証され、盗聴や傍受攻撃のリスクの軽減策が提供される。

また、管理者は、Windows 11 Insider Preview Build 25951 から、リモートのアウトバウンド接続で SMB を介した NTLM データの送信を自動的にブロックし、Pass-the-Hash/ NTLM Relay/Password-Cracking 攻撃を阻止するよう、Windows 11 システムをコンフィグレーションができる。

さらに Build 25381 では、すべての接続で NTLM リレー攻撃を防御するために、Microsoft はデフォルトでの SMB 署名 (セキュリティ署名) を要求し始めた。

2022年4月に Microsoft が表明したのは、数十年前からの SMB1 ファイル共有プロトコルを無効にするために、Windows 11 Home Insiders も最終的な段階にあることだ。

また、同社は 2022年9月に、NTLM 認証の試行が失敗した場合の影響を軽減するために、SMB 認証レート・リミッターを導入し、総当たり攻撃に対する防御を強化している。

Microsoft のレガシー・テクノロジーである SMB (Server Message Block) ですが、 最近の記事としては、2023/09/13 の「Windows 11 に新機能:SMB 経由の NTLM-Relay 攻撃を防ぐ仕組みとは?」と、2023/06/02 の「Windows 11 の SMB 署名を義務化:NTLM リレー攻撃に対する保護を優先する」があります。よろしければ、SMB で検索も、ご利用ください。