Bu ayarları Enable (Etkin) yapmanız gerekiyor. SMB Signing’in zorunlu olması için her iki ayarın da etkinleştirilmesi gerekiyor. İşte detaylar:
- Microsoft network client: Digitally sign communications (always):
Bu ayar, istemci cihazların SMB trafiğinde dijital imzalama kullanmasını zorunlu kılar. Bu sayede istemci, iletişimin güvenli olduğunu doğrular. Enable olarak ayarlanmalıdır. - Microsoft network server: Digitally sign communications (always):
Bu ayar, sunucuların SMB trafiğini dijital olarak imzalamasını zorunlu kılar. Bu, trafiğin manipüle edilmesini önler. Enable olarak ayarlanmalıdır.
Bu iki ayarı etkinleştirdiğinizde SMB trafiği dijital olarak imzalanacak ve zafiyetin kötüye kullanılması engellenecektir. Ancak, bu değişiklik sonrasında eski cihazlar veya SMB’yi imzalamayı desteklemeyen uygulamalar bağlantı sorunları yaşayabilir. Bu yüzden ayarı yapmadan önce bu tür uyumluluk problemlerini kontrol etmenizde fayda var.
- SMB Signing’i Aktif ve Zorunlu Hale Getirin:
- Windows Sunucular için:
Local Security PolicyveyaGroup Policy Management Console (GPMC)üzerinden SMB Signing’i zorunlu hale getirebilirsiniz.- İlgili ayar:
- “Microsoft network client: Digitally sign communications (always)” ve
- “Microsoft network server: Digitally sign communications (always)”
- Bu ayarı etkinleştirmek için:
- Run →
secpol.mscyazın ve çalıştırın. - Local Policies > Security Options yolunu izleyin.
- Yukarıdaki iki politikayı Enabled olarak ayarlayın.
- Run →
- Linux Sunucular için (Samba Kullanılıyorsa):
- Samba yapılandırma dosyasında (
/etc/samba/smb.conf), şu ayarı ekleyin veya değiştirin: - Değişiklikleri uyguladıktan sonra Samba hizmetini yeniden başlatın:
- Samba yapılandırma dosyasında (
- Windows Sunucular için:
Referans Linkleri
- Nessus Açıklaması: Tenable SMB Signing Plugin
- Microsoft Dokümantasyonu: Microsoft Security Policies
- Samba Belgeleri: Samba Server Signing