Microsoft предлага заобиколно решение за неуспешно SMB удостоверяване в Windows 11

SMB подписването беше активирано по подразбиране в изданията на Windows 11 Insider Enterprise наскоро, причинявайки някои неуспехи. Microsoft вече има заобиколно решение.

Преди повече от година Microsoft обяви, че ще го направи вече не се доставя Windows 11 Home със сървърен блок за съобщения версия 1 (SMB1), тъй като това е много стар протокол за мрежова сигурност, който се счита за несигурен от известно време и е наследен от по-нови итерации. Въпреки това SMB все още присъства в Windows 11 и всъщност компанията е създала SMB подписва поведението по подразбиране в компилации на Windows Insider Enterprise по-рано този месец. Microsoft обаче научи, че удостоверяването на SMB се проваля в определени сценарии и като такова сега предлага заобиколно решение за проблема.

По същество удостоверяването на SMB в компилациите на Windows 11 Insider вече не работи за влизане на гости, тъй като SMB подписването е неуспешно, когато използвате удостоверяване на гости. Ключът, използван за генериране на подпис за съобщение, което се изпраща, се извлича от паролата на потребителя. Когато активирате автентификация като гост, няма парола, което означава, че двете концепции са взаимно изключващи се, не можете да имате и двете. Тъй като няма налична потребителска парола за създаване на подпис, Windows в момента просто пропуска SMB връзката за a клиент за гости, тъй като SMB подписването - което изисква парола - вече е активирано по подразбиране в някои Windows Insider изгражда.

Важно е да се отбележи, че това не е точно радикална промяна в поведението. Microsoft спря да разрешава влизане на гости по подразбиране в Windows 2000, спря вградените акаунти за гости от отдалечено свързване с Windows и дори деактивиран SMB2 и SMB3 достъп за гости, започвайки с версия на Windows 10 1709. Целта е да спрете злонамерените участници от дистанционното изпълнение на злонамерен код на вашия сървър, без да изисквате идентификационни данни.

По този начин, ако използвате удостоверяване като гост в Windows, ще бъдете третирани със съобщения за грешка относно мрежовия път, който не намира се (грешка 0x80070035) или съобщение за вашата организация, блокираща неограничен и неупълномощен гост достъп. Докато можете да активирате достъп за предположения в SMB2+, като следвате Ръководството на Microsoft тук, това няма да бъде полезно в най-новите компилации на Windows 11 Insider – и вероятно в бъдещите издания на Windows, след като тази промяна стане обща – и връзката ще се провали.

Препоръчаната от Microsoft корекция е незабавно да спрете достъпа до вашите устройства на трети страни, използвайки идентификационни данни за гост. Фирмата предупреди, че продължаването на това поведение излага вашите данни на риск, тъй като всеки може да използва тази техника за достъп до вашите данни, без да оставя одитна следа. Той подчертава, че производителите на устройства обикновено позволяват достъп за гости по подразбиране, защото не искат да се занимават с клиенти по отношение на сложността на настройването на по-сигурна форма на достъп. Фирмата Redmond ви препоръчва да се консултирате с документацията на вашия доставчик, за да го активирате базирано на парола удостоверяване и ако това не се поддържа, трябва постепенно да премахнете свързаното продукт напълно.

Въпреки това, ако деактивирането на SMB гост достъп не е възможно за вашата организация, единствената ви възможност е да го направите деактивирайте SMB подписването, което Microsoft не препоръчва, тъй като се отразява негативно на сигурността на вашата компания поза. Независимо от това, Microsoft очерта три начина, по които можете да деактивирате подписването на SMB, описани по-долу:

  • Графичен (локална групова политика на едно устройство)
    1. Отвори Локален редактор на групови правила (gpedit.msc) на вашето устройство с Windows.
    2. В дървото на конзолата изберете Компютърна конфигурация > Настройки на Windows > Настройки за защита > Локални правила > Опции за защита.
    3. Кликнете два пъти Мрежов клиент на Microsoft: Комуникации с цифров подпис (винаги).
    4. Изберете хора с увреждания > Добре.
  • Команден ред (PowerShell на едно устройство)
    1. Отворете PowerShell конзола с повишени администраторски права.
    2. Бягай
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Групова политика, базирана на домейн (на паркове, управлявани от ИТ)
    1. Намерете политиката за сигурност, прилагаща тази настройка към вашите устройства с Windows (можете да използвате GPRESULT /H на клиент за генериране на резултатен набор от доклади за политика, за да покаже коя групова политика изисква SMB подписване.
    2. В GPMC.MSC променете Компютърна конфигурация > Правила > Настройки на Windows > Настройки за защита > Локални правила > Опции за защита.
    3. Комплект Мрежов клиент на Microsoft: Комуникации с цифров подпис (винаги) да се хора с увреждания.
    4. Приложете актуализираната политика към устройства с Windows, които се нуждаят от достъп като гост през SMB.

По отношение на следващите стъпки, Microsoft отбеляза, че ще работи върху подобряването на съобщенията за грешки и по-ясното описание в груповата политика в бъдещите версии на Windows Insider. Свързаната документация на Microsoft, достъпна онлайн, също ще бъде актуализирана, за да обясни по-добре тази промяна и съответните заобиколни решения. Общата препоръка на компанията обаче все още е да деактивирате достъпа на гости от устройства на трети страни.