Windows 11 exigera la signature SMB pour empêcher les attaques de relais NTLM

Microsoft indique que la signature SMB (alias signatures de sécurité) sera requise par défaut pour toutes les connexions afin de se défendre contre les attaques de relais NTLM, à commencer par la version actuelle de Windows (édition Entreprise) déployée auprès des initiés dans le canal Canary.

Dans de telles attaques, les acteurs de la menace forcent les périphériques réseau (y compris les contrôleurs de domaine) à s'authentifier auprès des serveurs malveillants sous le contrôle des attaquants pour se faire passer pour eux et élever les privilèges pour obtenir un contrôle complet sur le domaine Windows.

"Cela modifie le comportement hérité, où Windows 10 et 11 nécessitaient la signature SMB par défaut uniquement lors de la connexion à des partages nommés SYSVOL et NETLOGON et où les contrôleurs de domaine Active Directory nécessitaient la signature SMB lorsqu'un client s'y connectait", a déclaré Microsoft.

La signature SMB aide à bloquer les demandes d'authentification malveillantes en confirmant les identités de l'expéditeur et du destinataire via des signatures et des hachages intégrés à la fin de chaque message.

Les serveurs SMB et les partages distants où la signature SMB est désactivée déclencheront des erreurs de connexion avec divers messages, notamment "La signature cryptographique n'est pas valide", "STATUS_INVALID_SIGNATURE", "0xc000a000" ou "-1073700864".

Ce mécanisme de sécurité est disponible depuis un certain temps maintenant, à commencer par Windows 98 et 2000, et il a été mis à jour dans Windows 11 et Windows Server 2022 pour améliorer les performances et la protection en accélérant considérablement le chiffrement des données.

Alors que le blocage des attaques de relais NTLM devrait figurer en tête de liste pour toute équipe de sécurité, les administrateurs Windows pourraient s'opposer à cette approche car elle pourrait entraîner une réduction des vitesses de copie SMB.

"La signature SMB peut réduire les performances des opérations de copie SMB. Vous pouvez atténuer cela avec plus de cœurs de processeur physiques ou de processeurs virtuels ainsi que des processeurs plus récents et plus rapides", a averti Microsoft.

Cependant, les administrateurs ont la possibilité de désactiver l'exigence de signature SMB dans les connexions serveur et client en exécutant les commandes suivantes à partir d'un terminal Windows PowerShell élevé :

Bien qu'aucun redémarrage du système ne soit requis après l'émission de ces commandes, les connexions SMB déjà ouvertes continueront à utiliser la signature jusqu'à leur fermeture.

« Attendez-vous à ce que ce changement par défaut pour la signature vienne dans Pro, Education et d'autres éditions Windows au cours des prochains mois, ainsi que dans Windows Server. Selon la façon dont les choses se passent dans Insiders, il commencera alors à apparaître dans les versions majeures », a déclaré Ned Pyle, responsable principal du programme Microsoft.

L'annonce d'aujourd'hui fait partie d'une initiative plus large visant à améliorer la sécurité de Windows et de Windows Server, comme l'a montré l'année dernière.

En avril 2022, Microsoft a annoncé la phase finale de désactivation de SMB1 dans Windows en désactivant par défaut le protocole de partage de fichiers vieux de 30 ans pour Windows 11 Home Insiders.

Cinq mois plus tard, la société a annoncé une meilleure protection contre les attaques par force brute avec l'introduction d'un limiteur de taux d'authentification SMB pour faire face aux échecs des tentatives d'authentification NTLM entrantes.

Windows 11 vous permettra de visualiser les photos du téléphone dans l'explorateur de fichiers

Windows 11 obtient enfin un mode "ne jamais combiner les boutons de la barre des tâches"

Microsoft teste le volet de détails de l'explorateur amélioré, Windows Spotlight

Microsoft active la protection LSA par défaut dans la version Windows Canary

Windows 11 Moment 3 pratique, voici tout ce qui est nouveau