目錄
弱點名稱:已停用 SMB 簽署 (SMB Signing Disabled)
弱點描述:遠端 SMB 伺服器不需要簽署。
未經驗證的遠端攻擊者可惡意利用此弱點,對 SMB 伺服器發動攔截式攻擊。
Signing is not required on the remote SMB server.
An unauthenticated, remote attacker can exploit this to conduct man-in-the-middle attacks against the SMB server.
修補建議
在主機的組態中強制訊息簽署。
- 在 Windows 中,此項目位於原則設定「Microsoft 網路伺服器:數位簽署通訊 (永遠)」中。
- 在 Samba 中,此設定稱為「伺服器簽署」。如需詳細資訊,請參閱「另請參閱」連結。
修正步驟
- 執行 gpedit.msc 打開本機群組原則編輯器
- 選擇 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項]
- 在右邊窗點擊 “Microsoft 網路伺服器:數位簽章伺服器的通訊(自動)”.
- 選擇 “啟用”, 點擊 “確定” (GCB 設定值為 啟用)
描述
這項原則設定決定 SMB 伺服器元件是否需要封包簽章.
伺服器訊息區(SMB) 通訊協定是 Microsoft 檔案及列印共用和許多其他網路作業 (例如遠端 Windows 系統管理) 的基礎.
為避免攔截式攻擊修改傳送中的 SMB 封包, SMB 通訊協定支援 SMB 封包的數位簽章.
這項原則設定決定允許和 SMB 用戶端進行進一步的通訊之前, SMB 封包簽章是否必須經過交涉
若啟用此設定,
Microsoft 網路伺服器將不會與 Microsoft 網路用戶端通訊, 除非該用戶端同意執行 SMB 封包簽章.
若停用此設定,
會在用戶端與伺服器之間交涉 SMB 封包簽章.
CCE: CCE-9040-7
Nessus Plugin ID: 57608
https://zh-tw.tenable.com/plugins/nessus/57608