꿈을꾸는 파랑새

마이크로소프트에서 제공하는 운영체제인 윈도우 11에서 NTLM 릴레이 공격을 방지하기 위해 SMB 서명 필요하다고 합니다.
공격에서 위협 행위자는 네트워크 장치(도메인 컨트롤러 포함)가 공격자의 제어하에 있는 악의적인 서버에 대해 인증하도록 강제하여 악의적인 서버를 가장하고 권한을 상승시켜 윈도우 도메인을 완전히 제어합니다.
윈도우 10과 11이 SYSVOL과 NETLOGON이라는 이름의 공유에 연결할 때만 기본적으로 SMB 서명을 요구하고, 액티브 디렉터리 도메인 컨트롤러가 클라이언트가 연결될 때 SMB 서명을 요구했던 레거시 동작을 변경
SMB 서명은 각 메시지 끝에 포함된 서명과 해시를 통해 발신자와 수신자의 신원을 확인하여 악의적인 인증 요청을 차단하는 데 도움이 됩니다.
The cryptographic signature is invalid," "STATUS_INVALID_SIGNATURE," "0xc000a000," or "-1073700864
SMB 서명이 비활성화된 SMB 서버 및 원격 공유는 "암호화 서명이 잘못되었습니다.", "STATUS_INVALID_SIGNATURE","0xc000a000" 또는 "-1073700864"를 비롯한 다양한 메시지와 함께 연결 오류를 내보냅니다.
SMB 서명은 SMB 복사 작업의 성능을 저하할 수 있습니다. 더 많은 물리적 CPU 코어 또는 가상 CPU는 물론 더 새롭고 더 빠른 CPU로 이를 완화할 수 있습니다.
관리자는 승격된 Windows PowerShell 터미널에서 다음 명령을 실행하여 서버와 클라이언트 연결에서 SMB 서명 요구 사항을 비활성화할 수 있음

windows 11
windows 11

Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false

해당 명령어 설명
Set-SmbClientConfiguration -RequireSecuritySignature $false 명령어는 SMB(Server Message Block) 클라이언트 구성을 변경하여 보안 서명(RequireSecuritySignature)을 비활성화하는 것을 의미
SMB는 파일 및 프린터 공유를 위한 프로토콜이며, 보안 서명은 클라이언트와 서버 간 통신의 무결성을 검증하기 위해 사용
Set-SmbServerConfiguration -RequireSecuritySignature $false 명령어는 SMB 서버 구성을 변경하여 보안 서명(RequireSecuritySignature)을 비활성화하는 것을 의미 해당 
설정을 변경하면 서버가 클라이언트로부터 수신한 SMB 통신의 무결성 검증을 요구하지 않게 됨
해당 명령어를 사용하여 SMB 클라이언트와 서버 간의 통신에서 보안 서명을 사용하지 않도록 설정할 수 있음
이렇게 하면 통신의 무결성을 검증하는 추가 오버헤드를 제거할 수 있지만 동시에 보안 취약점이 존재할 수 있으므로 주의
데이터 유출
악성 코드 감염
네트워크 공격
명령을 실행하고 시스템을 다시 시작할 필요는 없지만 이미 열린 SMB 연결은 닫힐 때까지 서명을 계속 사용
몇 개월 동안 윈도우 Pro,윈도우 Education 및 기타 윈도우 에디션과 Windows Server에 서명에 대한 이 기본 변경 사항이 적용될 것으로 예상이 됩니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band