Kurumsal Windows altyapılarında servislerin büyük bölümü SMB (Server Message Block) protokolü üzerinden haberleşir. Gerek dosya paylaşımları (File Share), gerek Group Policy dağıtımı, gerek SYSVOL/NETLOGON erişimleri, gerekse istemci–sunucu kimlik doğrulama adımlarının bir kısmı SMB paket trafiğine dayanır.
Bu nedenle SMB güvenlik açısından en çok istismar edilen protokollerden biri hâline gelmiştir. Özellikle NTLM tabanlı kimlik doğrulamanın hâlâ pek çok ortamda kullanılıyor olması SMB’yi saldırganlar açısından cazip bir hedef yapmaktadır.
İşte burada devreye SMB Signing girer.
SMB Signing istemci ve sunucu arasında taşınan SMB paketlerinin kriptografik olarak imzalanmasını sağlayan bir güvenlik mekanizmasıdır. Bu imza doğrulaması sayesinde paketler:
- Gerçek kaynaktan geliyor mu?
- Yol sırasında değiştirildi mi?
- Manipüle edilmiş olabilir mi?
- Bir saldırgan tarafından yeniden oynatılıyor olabilir mi?
gibi sorulara net bir güvenlik yanıtı sağlar.
SMB Signing Tam Olarak Nasıl Çalışır?
SMB Signing etkinleştirildiğinde her SMB paketi, belirli bir algoritma ile HMAC tabanlı dijital imza içerir.
Bu imza paket şu kontrollerden geçene kadar işleme alınmaz:
Authentication Check — Kaynağın doğrulanması
Paketin gönderen sistemi gerçekten ilgili istemci/sunucu mu?
Kötü niyetli biri aynı paketi taklit etmeye çalışsa bile imzayı üretemeyeceği için reddedilir.
Integrity Check — Paket bütünlüğü
Paketin içeriği transfer sırasında değiştirilmişse (MITM) imza tutmayacağı için sistem paketi reddeder.
Anti-Replay / Anti-Relay Koruması
Yakalanan bir paket başka bir sunucuya iletilerek kimlik doğrulama sağlanamaz. Çünkü her imza oturuma özgüdür ve başka yerde yeniden kullanılamaz.
Bu üç doğrulama sayesinde SMB Signing, Windows ağlarında kimlik doğrulama manipülasyonlarının önüne geçen en güçlü savunma katmanlarından biri hâline gelir.
SMB Signing Zorunlu Olmazsa Neler Olabilir? (Gerçek Saldırı Senaryoları)
Zorunlu olmayan SMB Signing, ağ trafiğinin imzasız da çalışmasına izin verdiği için çok kritik saldırılara davetiye çıkarır.
Responder ile Net-NTLMv2 Hash Capture
Saldırgan, LLMNR/NBNS yayını yapan cihazları hedef alır.
SMB Signing zorunlu değilse istemci imzasız paket gönderir ve saldırgan şunları elde eder:
- Kullanıcı oturum bilgilerinin Net-NTLMv2 hash’i
- Hash’i offline bruteforce ile kırma imkânı
- Hash’i relay ederek başka bir sisteme giriş yapma ihtimali
Güvenlik açığı SMB Signing zorunlu olunca → bu yakalama tamamen başarısız olur.
NTLM Relay — En tehlikeli senaryo
Bu yöntem günümüz kurumsal ağlarını ele geçirmek için hâlâ en yaygın tekniktir.
Saldırı adımları şöyledir:
- Saldırgan Responder ile bir kullanıcının NTLM hash’ini yakalar.
- Bu hash’i SMB Signing gerektirmeyen başka bir sunucuya “relay” eder.
- Sunucu hash’i geçerli kabul ederek kullanıcının kimliğini doğrular.
- Saldırgan:
- Komut çalıştırabilir
- Admin hakları edinebilir
- Domain Controller üzerinde değişiklik bile yapabilir
Bu saldırının çalışabilmesi tamamen imzasız SMB trafiğine bağlıdır.
LLMNR/NBNS Poisoning ile SMB Spoofing
Active Directory ortamlarında hâlâ yaygın olan LLMNR ve NBNS yayınları, saldırganların cihazları sahte SMB sunucularına yönlendirmesine olanak tanır.
SMB Signing zorunlu değilse:
- Kurban, sahte SMB sunucusuna bağlanır
- Parola hash’leri saldırgana iletilir
SMB Signing zorunlu ise:
İstemci, imzasız sahte sunucuya bağlanmayı reddeder.
Man-in-the-Middle (MITM) Paket Manipülasyonu
SMB Signing devre dışı ise saldırgan şu manipülasyonları yapabilir:
- SYSVOL içindeki GPO script’lerini değiştirme
- Oturum açılış script’lerine zararlı içerik ekleme
- Yazılım dağıtımı yapan paylaşımları değiştirme
- Sistem konfigürasyon dosyalarını oynama
Bu manipülasyonlar doğrudan Active Directory’nin ele geçirilmesi anlamına gelir.
SMB Signing Durumunu Kontrol Etme (Nmap Örneği)
Ağınızdaki bir sunucunun SMB Signing durumunu hızlıca analiz etmek için:
nmap --script smb2-security-mode -p445 <IP>
Örnek çıktı:
Message signing enabled but not required
Bu çıktı;
SMB Signing etkin ama zorunlu değil demektir.
Bu durumda:
- İstemci imzasız paket gönderebilir
- Saldırgan MITM yapabilir
- Relay saldırıları mümkündür
Bu yapılandırma kurumsal ağlarda yüksek riskli kabul edilir.
SMB Signing Doğru Yöntemle Nasıl Zorunlu Hale Getirilir?
SMB Signing’in zorunlu hale getirilmesinin en güvenli ve merkezi yönetim yöntemi GPO (Group Policy) üzerinden yapılandırmadır.
GPMC aracını açın
gpmc.msc
2. Politika yolunu izleyin
Computer Configuration
→ Policies
→ Windows Settings
→ Security Settings
→ Local Policies
→ Security Options
Aşağıdaki iki ayarı “Enabled” yapın:
Microsoft network client: Digitally sign communications (always)
İstemcilerin imzasız SMB paket göndermesini tamamen engeller.
Microsoft network server: Digitally sign communications (always)
Sunucuların imzasız SMB paket kabul etmesini yasaklar.
GPO’yu dağıtın
gpupdate /force
İstemciler yeniden başlatıldığında SMB Signing otomatik olarak devreye girer.
Performans Üzerinde Etkisi Var mı?
SMB Signing eskiden performans kaygılarına yol açıyordu, ancak güncel Windows Server ve Windows 10/11 sistemleri ile birlikte:
- HMAC hesaplamaları donanım hızlandırmalı,
- Gecikme milisaniye seviyesinde,
- Modern CPU’larda yük neredeyse fark edilmiyor.
Microsoft’un resmi testlerine göre performans kaybı:
%1 ile %3 arasında, yani kurumsal ortamda tamamen ihmal edilebilir.
SMB Signing’in Kurumsal Güvenlikteki Stratejik Önemi
SMB Signing zorunlu hale getirildiğinde:
✔ NTLM relay saldırıları büyük ölçüde engellenir
✔ Hash capture girişimleri bloklanır
✔ MITM üzerinden paket manipülasyonu durdurulur
✔ SYSVOL, NETLOGON ve GPO güvenliği sağlanır
✔ Domain Controller güvenliği güçlenir
✔ Lateral movement çok daha zor hâle gelir
✔ Pass-the-Hash saldırıları zayıflatılır
Bu nedenle SMB Signing, Azure AD Connect, Kerberos Hardening, NTLMv1 bloklama, LLMNR/NBNS kapatma gibi modern güvenlik sertleştirme adımlarının tam merkezinde yer alır.
SMB Signing, bir yapılandırma detayı değil kurumsal Windows altyapısının güvenliğinde olmazsa olmaz bir savunma mekanizmasıdır.
Günümüzde siber saldırıların önemli bir kısmı hâlâ:
- NTLM relay,
- Hash capture,
- MITM,
- SMB spoofing
gibi SMB tabanlı zafiyetleri kullanır.
Bu nedenle SMB Signing’i zorunlu hale getirmek Active Directory güvenliği açısından ilk yapılması gereken temel sertleştirme adımlarından biridir.
