Menü Kapat
  • Anasayfa
  • SMB Signing Nedir, Neden Önemlidir ve Neden Gereklidir?
    •

SMB Signing Nedir, Neden Önemlidir ve Neden Gereklidir?

Murat 0 yorum

📌 SMB Signing Nedir?

SMB Signing (Server Message Block Signing), SMB protokolü üzerinden gönderilen verilerin bütünlüğünü ve güvenliğini sağlamak için kullanılan bir dijital imzalama mekanizmasıdır.

📌 Ana amacı: SMB protokolü ile istemci (client) ve sunucu (server) arasında yapılan veri aktarımında kimlik doğrulaması yapmak ve paketlerin değiştirilip değiştirilmediğini doğrulamaktır.

💡 Kısaca: SMB Signing, SMB protokolü ile iletilen verilerin sahte olmadığını ve kötü niyetli bir saldırgan tarafından değiştirilmediğini garanti altına alır.

📌 SMB Signing Neden Önemlidir?

🔹 Man-in-the-Middle (MitM) saldırılarını engeller → SMB trafiğinin saldırgan tarafından ele geçirilip değiştirilmesini önler.
🔹 Veri güvenliğini artırır → SMB üzerinden gönderilen dosyaların değiştirilmediğini doğrular.
🔹 Kimlik doğrulama mekanizması sağlar → Sunucu ve istemci arasındaki bağlantının güvenilir olduğunu garanti eder.
🔹 Güvenli dosya paylaşımı sağlar → Özellikle domain ortamlarında dosya paylaşımı yapılıyorsa, SMB Signing devreye girerek güvenliği artırır.

📌 SMB Signing Neden Gereklidir?

Eğer SMB Signing devre dışı bırakılırsa, bir saldırgan SMB trafiğini ele geçirerek kimlik bilgilerini çalabilir veya oturumları ele geçirebilir.

📌 Özellikle aşağıdaki durumlarda kesinlikle etkinleştirilmelidir:
Domain ortamlarında (Active Directory kullanılıyorsa)
Özellikle finans, sağlık veya hassas veri içeren sistemlerde
Açık ve güvenilmeyen ağlarda SMB kullanılıyorsa
NTLM veya Kerberos kimlik doğrulaması gerektiren sistemlerde

Eğer SMB Signing etkin değilse, saldırganlar NTLM hash saldırıları (Pass-the-Hash, NTLM Relay) ve Man-in-the-Middle saldırıları yapabilirler.

📌 SMB Signing Nasıl Çalışır?

🔹 SMB protokolü üzerinden gönderilen her mesaj, dijital olarak imzalanır.
🔹 Sunucu ve istemci, bu imzaları doğrular ve paketin değiştirilmediğini garanti eder.
🔹 Eğer SMB Signing zorunlu hale getirilmişse, imzasız SMB trafiği reddedilir.

📌 Özetle: SMB Signing, SMB trafiğine kriptografik bir güvenlik katmanı ekler.

📌 SMB Signing Nasıl Etkinleştirilir?

SMB Signing GPO (Group Policy), Registry veya PowerShell kullanılarak etkinleştirilebilir.

1️⃣ GPO Üzerinden SMB Signing Zorunlu Hale Getirme

Active Directory ortamında SMB Signing zorunlu hale getirmek için:

  1. Group Policy Management Console (GPMC) aç.
  2. “Computer Configuration” > “Windows Settings” > “Security Settings” > “Local Policies” > “Security Options” yoluna git.
  3. Aşağıdaki iki ayarı “Enabled” yap:
    • Microsoft network client: Digitally sign communications (always)
    • Microsoft network server: Digitally sign communications (always)
  4. GPO’yu ilgili OU’ya uygula ve “gpupdate /force” ile güncelle.

2️⃣ PowerShell ile SMB Signing Etkinleştirme

Eğer PowerShell kullanarak SMB Signing’i zorunlu hale getirmek istersen:

Set-SmbServerConfiguration -EnableSecuritySignature $true -Force
Set-SmbClientConfiguration -EnableSecuritySignature $true -Force

📌 Bu komut, istemci ve sunucu tarafında SMB Signing’i zorunlu hale getirir.

3️⃣ Registry Üzerinden SMB Signing Etkinleştirme

Eğer GPO veya PowerShell kullanamıyorsan, Registry ile ayarları değiştirebilirsin:

Sunucu Tarafında SMB Signing Etkinleştirme

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\LanmanServer\Parameters" -Name "RequireSecuritySignature" -Value 1

📌 Bu komut, SMB trafiğinde dijital imza gerekliliğini zorunlu kılar.

İstemci Tarafında SMB Signing Etkinleştirme

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "RequireSecuritySignature" -Value 1

📌 Bu komut, istemcinin SMB imza doğrulamasını etkinleştirir.

📌 SMB Signing’in Dezavantajları Var mı?

🔸 Performans Kaybı:

  • SMB trafiğine ekstra bir imzalama süreci eklendiği için, ağ trafiği çok yoğun olan ortamlarda hafif bir performans düşüşü olabilir.
  • Ancak bu performans kaybı genellikle gözle görülür bir fark yaratmaz ve güvenlik açısından gerekli olduğu için önerilir.

🔸 Eski Sistemlerle Uyum Sorunu:

  • Eski Windows sürümleri veya SMBv1 kullanan cihazlar SMB Signing’i desteklemeyebilir.
  • Eğer SMB Signing zorunlu hale getirilirse, bu cihazlar SMB sunucusuna bağlanamaz.

📌 Öneri: Eski sistemler yerine modern SMBv2/SMBv3 kullanan cihazlar tercih edilmelidir.

https://www.nartac.com

Ayrıca linkteki IIS crypto programı ile TLS sıkılaştırma işlemlerinizi kolayca yapabilirsiziz.Basit ve ücretsiz bir programdır.Kurulum gerektirmez.Faydalı olması dileğimle.

📌 Sonuç

SMB Signing, SMB protokolü üzerinden gelen verilerin değiştirilmediğini ve saldırıya uğramadığını garanti altına alır.
Man-in-the-Middle (MitM) ve NTLM relay saldırılarını önlemek için kritik bir güvenlik önlemidir.
GPO, PowerShell veya Registry ayarları ile kolayca etkinleştirilebilir.
Performans açısından küçük bir ek yük getirse de, güvenlik avantajları nedeniyle önerilir.

🚀 Özetle: SMB Signing, ağ güvenliğini artıran kritik bir mekanizmadır ve özellikle kurumsal ortamlarda zorunlu hale getirilmelidir!

Tagged , , , , , , , , , , , , , ,

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir