Pular para o conteúdo principal

Windows 11 permitirá que os administradores exijam criptografia SMB para conexões de saída



A Microsoft lançou hoje o Windows 11 Insider Preview Build 25982, que traz uma novidade que faz parte de um esforço mais amplo para melhorar a segurança do Windows e do Windows Server.

A partir desta versão, o Windows 11 permitirá que os administradores determinem a criptografia do cliente SMB para todas as conexões de saída, sendo uma opção de defesa contra ataques de espionagem e interceptação.

Criptografia SMB

Ao exigir que todos os servidores de destino suportem criptografia SMB 3.x, os administradores do Windows podem garantir que os clientes só possam estabelecer uma conexão se essas condições forem atendidas.

A criptografia SMB fornece criptografia de dados de ponta a ponta e pode ser habilitada por compartilhamento ou para todo o servidor de arquivos.


Configurando por GPO ou PowerShell

A nova opção pode ser configurada usando a política de grupo ‘Exigir criptografia’ em Configuração do Computador \ Modelos Administrativos \ Rede \ Estação de Trabalho Lanman.



PowerShell


Para configurar o cliente SMB para criptografia necessária para todos os servidores SMB (ou seja, para conexões de saída), defina o seguinte parâmetro do PowerShell:

 

Set-SmbClientConfiguration -RequireEncryption $true

 

Para ver a configuração efetiva em uma máquina:

 

Configuração Get-SmbClient | FL exige criptografia


Os administradores também podem configurar sistemas Windows para bloquear automaticamente o envio de dados NTLM por SMB em conexões de saída remotas, evitando ataques de pass-the-hash, retransmissão NTLM ou quebra de senha.

Quando ativado, evita que a senha com hash do usuário seja enviada para servidores remotos, impedindo efetivamente esses ataques.

Criptografia SMB x Assinatura SMB

A assinatura SMB, introduzida no Windows 98 e 2000, foi atualizada no Windows 11 e no Windows Server 2022 para aprimorar a proteção e o desempenho, aumentando significativamente as velocidades de criptografia de dados.

A Microsoft também começou a exigir assinatura SMB (também conhecida como assinaturas de segurança) por padrão para todas as conexões para defesa contra ataques de retransmissão NTLM.

A criptografia SMB substitui a assinatura SMB e fornece o mesmo nível de proteção contra adulteração, o que significa que se o seu cliente SMB exigir assinatura, a criptografia SMB a desativará. 

Não faz sentido exigir ambos porque a criptografia prevalece.




Labels:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »