В последнем обновлении Windows 11 Insider Preview Build 25982 для участников программы Canary Channel Microsoft внесла значительные улучшения в систему безопасности, касающиеся шифрования SMB (Server Message Block). Теперь администраторы Windows могут требовать шифрование для всех исходящих соединений SMB, что предоставляет возможность обеспечивать сквозное шифрование данных (End-to-End Encryption, E2EE). Шифрование можно активировать для каждого отдельного ресурса или для всего файлового сервера через Windows Admin Center, Windows PowerShell или UNC Hardening.
Хотя возможность шифрования SMB была впервые представлена в SMB 3.0 на Windows 8 и Windows Server 2012, поддержка криптографических наборов AES-256-GCM была добавлена только в Windows 11 и Windows Server 2022.
Новую опцию можно настроить с помощью PowerShell или групповой политики “Требовать шифрование” в разделе “Конфигурация компьютера” “Административные шаблоны” “Сеть” “Рабочая станция Lanman (Lanman Workstation)”.
Групповая политика Windows 11 “Require encryption”
Представитель Microsoft отметилв блоге, что администратор теперь может принудительно включить шифрование SMB на всех соединениях и отказать в подключении, если сервер SMB не поддерживает такое шифрование. Такая мера предназначена для защиты от попыток перехвата данных
Дополнительно, начиная со сборки Windows 11 Insider Preview Build 25951, администраторы могут настраивать системы таким образом, чтобы автоматически блокировать отправку данных NTLM через SMB, предотвращая атаки PtH особенно эффективен в сетях на базе Windows, где используется протокол NTLM для аутентификации. Однако современные версии Windows включают в себя меры защиты для снижения риска атак “Pass-the-Hash”.