Microsoft는 Windows 11에 새로운 보안 기능을 추가하여 관리자가 SMB를 통한 NTLM을 차단하고 pass-the-hash, NTLM relay, 비밀번호 크래킹 공격을 방지할 수 있게 하였습니다. 이 기능은 원격 SMB 공유에 연결할 때 Windows가 원격 컴퓨터와 인증을 협상하려고 NTLM 챌린지 응답을 수행하는 것을 차단합니다. 이로 인해 사용자의 해시된 비밀번호가 원격 서버로 전송되는 것을 막아 이러한 유형의 공격을 효과적으로 방지합니다.

Windows 11 Insider Preview Build 25951부터 관리자는 그룹 정책과 PowerShell을 사용하여 원격 아웃바운드 연결에서 SMB를 통한 NTLM 데이터 전송을 차단하도록 Windows를 구성할 수 있습니다. 또한 NET USE와 PowerShell을 사용하여 SMB 연결에서 NTLM 사용을 완전히 끌 수도 있습니다. 이 외에도 이 빌드부터 시작하여 SMB 방언 관리라는 새로운 옵션이 제공되어 관리자가 조직 내에서 더 이상 사용되지 않는 SMB 프로토콜의 사용을 중단함으로써 오래되고 불안전한 Windows 장치의 연결을 차단할 수 있습니다.

Windows 11 Insider Preview Build 25381이 Canary Channel에 출시되면서 Redmond는 모든 연결에 대해 SMB 서명(보안 서명)을 기본적으로 요구하기 시작했습니다. 이는 NTLM relay 공격에 대비하기 위한 것으로, 이 공격에서 악의적인 행위자들은 네트워크 장치를 자신들이 제어하는 서버에 인증하도록 강제하여 Windows 도메인을 완전히 제어합니다.

요약

- Microsoft는 Windows 11에 새로운 보안 기능을 추가하여 관리자가 SMB를 통한 NTLM을 차단하고 pass-the-hash, NTLM relay, 비밀번호 크래킹 공격을 방지할 수 있게 하였다.
- Windows 11 Insider Preview Build 25951부터 관리자는 그룹 정책과 PowerShell을 사용하여 원격 아웃바운드 연결에서 SMB를 통한 NTLM 데이터 전송을 차단하도록 Windows를 구성할 수 있다.
- Windows 11 Insider Preview Build 25381이 Canary Channel에 출시되면서 Redmond는 모든 연결에 대해 SMB 서명(보안 서명)을 기본적으로 요구하기 시작했다. 이는 NTLM relay 공격에 대비하기 위한 것이다.

Reference

https://www.bleepingcomputer.com/news/security/new-windows-11-feature-blocks-ntlm-based-attacks-over-smb/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*