SMB protokolu ile ilgili detaylı açıklamayı bir önceki makalemizde yapmıştık. SMBv1-v2-v3’ün desteklediği işletim sistemleri, SMBv1 ile ilgili açıklar, nasıl kapatılması gerektiği ile ilgili detaylar mevcuttu. Bu yazıda SMB Signing zorunluluğunu açıklayacagız.

SMB trafiğinin packet seviyesinde digital olarak imzalanması araya girme (Man-in-the-Middle Attack) saldırılarının engellenmesini sağlar. SMB Signing tüm windows sürümlerinde desteklenmektedir fakat varsayılan olarak sadece domain controller sunucularında aktiftir. Aşağıda örnek bir tarama sonucunu görebilirsiniz. SMB Signig acık ancak zorunlu degil. 

SMB Signing Required konfigürasyonu register veya GPO üzerinden yapılabilir. SMB trafiğinin hem client hem de server bacagının oldugunu unutmamalıyız.

Server registry keys, HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters.

Client registry keys, HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanWorkStationParameters.

SMB imzalamadaki bir diğer önemli gelişme performanstır. SMB imzalamayı etkinleştirmek, özellikle WAN üzerinden geçen trafiğin performansını önemli ölçüde azaltır. Hızlı network bant genişliği, modern network kartları ve CPU’ların performans iyileşmesine katkı sağlayacaktır.

https://docs.microsoft.com/tr-tr/archive/blogs/josebda/the-basics-of-smb-signing-covering-both-smb1-and-smb2

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/microsoft-network-client-digitally-sign-communications-always

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/microsoft-network-server-digitally-sign-communications-always#default-values

Close