تقدم Microsoft حلًا بديلًا لفشل مصادقة SMB في نظام التشغيل Windows 11

منذ أكثر من عام ، أعلنت Microsoft أنها ستفعل ذلك لم يعد يشحن Windows 11 Home مع Server Message Block الإصدار 1 (SMB1)، نظرًا لأنه بروتوكول أمان شبكة قديم جدًا تم اعتباره غير آمن لبعض الوقت وقد خلفته التكرارات الأحدث. ومع ذلك ، لا يزال SMB موجودًا في Windows 11 ، وفي الواقع ، صنعت الشركة توقيع SMB على السلوك الافتراضي في Windows Insider Enterprise مسبقا في هذا الشهر. ومع ذلك ، علمت Microsoft أن مصادقة SMB تفشل في سيناريوهات معينة ، وعلى هذا النحو ، فقد قدمت الآن حلاً بديلًا لهذه المشكلة.

بشكل أساسي ، لا تعمل مصادقة SMB في إصدارات Windows 11 Insider لتسجيل دخول الضيف لأن توقيع SMB يفشل عند استخدام مصادقة الضيف. المفتاح المستخدم لإنشاء توقيع لرسالة يتم إرسالها مشتق من كلمة مرور المستخدم. عند تمكين مصادقة الضيف ، لا توجد كلمة مرور ، مما يعني أن المفهومين متنافيان ، ولا يمكنك الحصول على كليهما. نظرًا لعدم توفر كلمة مرور للمستخدم لإنشاء توقيع ، يفشل Windows حاليًا في اتصال SMB لملف عميل الضيف منذ توقيع SMB - الذي يتطلب كلمة مرور - ممكّن الآن افتراضيًا في بعض Windows Insider يبني.

من المهم ملاحظة أن هذا ليس تغييرًا جذريًا في السلوك بالضبط. توقفت Microsoft عن السماح بتسجيل دخول الضيف افتراضيًا مرة أخرى في نظام التشغيل Windows 2000 ، وأوقفت حسابات الضيف المضمنة من الاتصال عن بعد بنظام Windows ، وحتى تعطيل وصول الضيف SMB2 و SMB3 بدءًا من إصدار Windows 10 1709. الهدف هو منع الجهات الخبيثة من تنفيذ التعليمات البرمجية الضارة عن بعد على الخادم الخاص بك دون الحاجة إلى بيانات الاعتماد.

على هذا النحو ، إذا استفدت من مصادقة الضيف على Windows ، فسيتم التعامل مع رسائل خطأ حول مسار الشبكة لا تم العثور عليها (الخطأ 0x80070035) أو رسالة حول قيام مؤسستك بحظر ضيف غير مقيد وغير مصادق وصول. بينما يمكنك تمكين الوصول التخمين في SMB2 + باتباعك دليل مايكروسوفت هنا، لن يكون ذلك مفيدًا في أحدث إصدارات Windows 11 Insider - والإصدارات المستقبلية المفترضة من Windows بمجرد طرح هذا التغيير بشكل عام - وسيفشل الاتصال.

الإصلاح الموصى به من Microsoft هو التوقف فورًا عن الوصول إلى أجهزتك الخارجية باستخدام بيانات اعتماد الضيف. حذرت الشركة من أن الاستمرار في هذا السلوك يعرض بياناتك للخطر حيث يمكن لأي شخص استخدام هذه التقنية للوصول إلى بياناتك دون ترك أثر تدقيق. لقد شددت على أن مصنعي الأجهزة يمكّنون عادةً وصول الضيف افتراضيًا لأنهم لا يريدون التعامل مع العملاء فيما يتعلق بتعقيد إعداد شكل وصول أكثر أمانًا. أوصت شركة Redmond بأن تستشير وثائق البائع الخاص بك للتمكين المصادقة المستندة إلى كلمة المرور وإذا لم يكن ذلك مدعومًا ، فيجب عليك التخلص التدريجي من ملفات المنتج تماما.

ومع ذلك ، إذا كان تعطيل وصول ضيف SMB غير ممكن لمؤسستك ، فإن خيارك الوحيد هو تعطيل توقيع SMB ، والذي لا توصي به Microsoft لأنه يؤثر سلبًا على أمان شركتك وضعية. بغض النظر ، حددت Microsoft ثلاث طرق يمكنك من خلالها تعطيل توقيع SMB ، بالتفصيل أدناه:

• رسومية (سياسة المجموعة المحلية على جهاز واحد)
  1. افتح ال محرر نهج المجموعة المحلي (gpedit.msc) على جهاز Windows الخاص بك.
  2. في شجرة وحدة التحكم ، حدد تكوين الكمبيوتر> إعدادات Windows> إعدادات الأمان> السياسات المحلية> خيارات الأمان.
  3. نقرتين متتاليتين عميل شبكة Microsoft: توقيع الاتصالات رقميًا (دائمًا).
  4. يختار عاجز > نعم.
• سطر الأوامر (PowerShell على جهاز واحد)
  1. افتح وحدة تحكم PowerShell عالية المستوى.
  2. يجري

Set-SmbClientConfiguration -RequireSecuritySignature $ false

• سياسة المجموعة القائمة على المجال (على الأساطيل التي تديرها تقنية المعلومات)
  1. حدد موقع سياسة الأمان التي تطبق هذا الإعداد على أجهزة Windows الخاصة بك (يمكنك استخدام GPRESULT / H على ملف العميل لإنشاء مجموعة ناتجة من تقرير السياسة لإظهار سياسة المجموعة التي تتطلب توقيع SMB.
  2. في GPMC.MSC ، قم بتغيير ملف تكوين الكمبيوتر> السياسات> إعدادات Windows> إعدادات الأمان> السياسات المحلية> خيارات الأمان.
  3. تعيين عميل شبكة Microsoft: توقيع الاتصالات رقميًا (دائمًا) ل عاجز.
  4. قم بتطبيق السياسة المحدثة على أجهزة Windows التي تحتاج إلى وصول الضيف عبر SMB.

فيما يتعلق بالخطوات التالية ، لاحظت Microsoft أنها ستعمل على تحسين رسائل الخطأ والحصول على وصف أوضح في سياسة المجموعة في إصدارات Windows Insider المستقبلية. سيتم أيضًا تحديث وثائق Microsoft المرتبطة المتوفرة عبر الإنترنت لتوضيح هذا التغيير والحلول المقابلة له بشكل أفضل. ومع ذلك ، لا تزال توصية الشركة العامة هي تعطيل وصول الضيف من أجهزة الطرف الثالث.