Windows 11에서는 NTLM 릴레이 공격을 방지하기 위해 SMB 서명을 요구합니다.

Microsoft는 오늘의 Windows 빌드(엔터프라이즈 버전)가 카나리아 채널의 내부자에게 배포되는 것부터 시작하여 NTLM 릴레이 공격을 방어하기 위해 모든 연결에 기본적으로 SMB 서명(일명 보안 서명)이 필요하다고 밝혔습니다.

이러한 공격에서 위협 행위자는 네트워크 장치(도메인 컨트롤러 포함)가 공격자의 통제하에 있는 악성 서버에 대해 인증하도록 강제하여 이를 가장하고 권한을 상승시켜 Windows 도메인에 대한 완전한 제어권을 얻습니다.

마이크로소프트는 "이는 윈도우 10과 11이 SYSVOL과 NETLOGON이라는 공유에 연결할 때만 기본적으로 SMB 서명을 요구했고, 액티브 디렉터리 도메인 컨트롤러는 클라이언트가 연결될 때 SMB 서명을 요구했던 레거시 동작을 변화시킨다"고 말했다.

SMB 서명은 각 메시지 끝에 포함된 서명과 해시를 통해 보낸 사람과 받는 사람의 신원을 확인함으로써 악의적인 인증 요청을 차단하는 데 도움이 됩니다.

SMB 서명이 비활성화된 SMB 서버 및 원격 공유는 "암호화 서명이 잘못되었습니다", "STATUS_INVALID_SIGNATURE", "0xc000a000" 또는 "-1073700864"를 포함한 다양한 메시지와 함께 연결 오류를 유발합니다.

이 보안 메커니즘은 Windows 98 및 2000부터 한동안 사용 가능했으며, Windows 11 및 Windows Server 2022에서는 업데이트되어 데이터 암호화를 대폭 가속화하여 성능과 보호 기능을 향상시켰습니다.

NTLM 릴레이 공격 차단은 모든 보안 팀의 최우선 순위에 있어야 하지만 Windows 관리자는 SMB 복사 속도가 느려질 수 있으므로 이 접근 방식에 문제를 일으킬 수 있습니다.

"SMB 서명은 SMB 복사 작업의 성능을 저하시킬 수 있습니다. 더 많은 물리적 CPU 코어나 가상 CPU는 물론 더 새롭고 빠른 CPU를 사용하여 이를 완화할 수 있습니다."라고 Microsoft는 경고했습니다.

그러나 관리자는 관리자 권한 Windows PowerShell 터미널에서 다음 명령을 실행하여 서버 및 클라이언트 연결에서 SMB 서명 요구 사항을 비활성화할 수 있는 옵션이 있습니다.

이러한 명령을 실행한 후에는 시스템을 다시 시작할 필요가 없지만 이미 열려 있는 SMB 연결은 닫힐 때까지 계속해서 서명을 사용합니다.

"앞으로 몇 달에 걸쳐 Pro, Education 및 기타 Windows 버전과 Windows Server에 서명에 대한 기본 변경 사항이 적용될 것으로 예상됩니다. Insiders의 상황에 따라 주요 릴리스에 나타나기 시작할 것입니다." Microsoft 수석 프로그램 관리자인 Ned Pyle은 이렇게 말했습니다.

오늘 발표는 작년 내내 보여주었던 것처럼 Windows 및 Windows Server 보안을 개선하기 위한 광범위한 움직임의 일부입니다.

2022년 4월, Microsoft는 Windows 11 Home Insiders에 대해 기본적으로 30년 된 파일 공유 프로토콜을 비활성화하여 Windows에서 SMB1을 비활성화하는 최종 단계를 발표했습니다.

5개월 후, 회사는 실패한 인바운드 NTLM 인증 시도를 처리하기 위해 SMB 인증 속도 제한기를 도입하여 무차별 대입 공격에 대한 더 나은 보호를 발표했습니다.

Windows 11에서는 파일 탐색기에서 휴대폰 사진을 볼 수 있습니다.

Windows 11에 마침내 '작업 표시줄 버튼을 결합하지 않음' 모드가 추가되었습니다.

Microsoft는 향상된 탐색기 세부 정보 창인 Windows Spotlight를 테스트하고 있습니다.

Microsoft는 Windows Canary 빌드에서 기본적으로 LSA 보호를 활성화합니다.

Windows 11 Moment 3 체험, 새로운 모든 것이 여기에 있습니다