GPO SMB Signing Configuration

SMB protokolü, Microsoft tabanlı bir ağda dosya ve yazıcı paylaşımı sağlamak için kullanılmaktadır. Aktarım halindeki SMB trafiğini değiştirebilecek ortadaki adam (MITM) saldırılarının algılanmasına yardımcı olmak için, SMB imzalamayı grup ilkesi aracılığıyla yapılandırabilmekteyiz.

SMB Signing, Windows’un tüm desteklenen sürümlerinde kullanılabilir. Microsoft ayrıca, SMB sürümü, dosya boyutları ve kullanımdaki belirli donanım gibi faktörlere bağlı olarak, SMB paket imzalamanın SMB‘nin performansını düşürebileceğini ve bunun da ağdan geçen her paketi imzaladığımız için beklenmesi gerektiğini ve bunun da ek yük eklediğini unutmamak gerekmektedir.

Bunun SMB trafiğini şifrelemediğini, yalnızca istemci ve sunucunun SMB trafiğinin değiştirilip değiştirilmediğini belirleyebilmesi için SMB imzalamayı yapılandıracağımızı unutmayın.

SMB Signing yapılandırılmasını ortamımıza göre GPO kullanarak yapabilmekteyiz, bu işlem için yeni bir GPO oluşturmanız tavsiye edilir.

Bu işlem için takip etmemiz gereken GPO adımı aşağıdaki gibidir;

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options.

SMB Signing yapılandırılması için kullanılması gereken 4 Policy bulunmaktadır, bu Policyleri açıklamak gerekirse aşağıdaki gibi bir tanım yapabiliriz.

Microsoft network server: Digitally sign communications (always)

Bu ilke , SMB sağlayan sunucunun paket imzalama gerektirip gerektirmediğini denetlemektedir, SMB istemcisiyle daha fazla iletişime izin verilmeden önce SMB paket imzalama konusunda anlaşmaya varılması gerekip gerekmediğini belirlemektedir.

Varsayılan olarak bu ayar etki alanı denetleyicileri için etkindir, ancak etki alanındaki diğer üye sunucular için devre dışı olarak gelmektedir.

Microsoft network server: Digitally sign communications (if client agrees)

Bu ilke, SMB sunucusunun SMB paket imzalama konusunda istekte bulunan istemcilerle anlaşıp anlaşmayacağını belirlemektedir. Bu ayar etkinleştirildiğinde SMB sunucusu, istemcinin isteğine göre SMB paket imzalama konusunda anlaşır. İstemcide SMB paket imzalama etkinleştirilmişse, sunucu tarafından görüşülür. Varsayılan olarak, bu ilke yalnızca etki alanı denetleyicilerinde etkindir.

Microsoft network client: Digitally sign communications (always)

Bu ilkenin etkinleştirilmesi, SMB istemcisinin her zaman SMB paket imzalaması gerektirmesini sağlar. Sunucu istemciyle SMB paket imzalamayı desteklemeyi kabul etmezse, istemci sunucuyla iletişim kurmaz. Varsayılan olarak bu ilke devre dışı olarak ayarlanmıştır, yani paket imzalama gerektirmeden varsayılan olarak SMB’ye izin verilir. Paket imzalamanın müzakere edilmesi hala mümkündür, sadece çalışması gerekmez.

Microsoft network client: Digitally sign communications (if server agrees)

Bu ilke varsayılan olarak etkindir ve SMB istemcisinin sunucuyla SMB paket imzalama konusunda anlaşmaya çalışıp çalışmadığını belirler. Bunun yerine bu devre dışı olarak ayarlanırsa, istemci SMB paket imzalama konusunda hiçbir şekilde anlaşma yapmaya çalışmaz.

Not: Microsoft artık “is server agress ve if client agress” seçeneklerinin kullanılmasını önermemektedir.

Bu seçeneklere göre yapılandırılmayı sağlayıp oluşturulan GPO’yu OU içerisine Link edebilirsiniz.

Bir Cevap Yazın

%d