Podepisování SMB bylo nedávno ve výchozím nastavení povoleno v edicích Windows 11 Insider Enterprise, což způsobilo určité selhání. Microsoft má nyní řešení.
Před více než rokem Microsoft oznámil, že bude již nedodáváme Windows 11 Home s blokem zpráv serveru verze 1 (SMB1), protože se jedná o velmi starý síťový bezpečnostní protokol, který byl nějakou dobu považován za nezabezpečený a byl nahrazen novějšími iteracemi. To znamená, že SMB je stále přítomen ve Windows 11 a ve skutečnosti je společnost vytvořila SMB podepisování výchozí chování v sestavení Windows Insider Enterprise dříve tento měsíc. Společnost Microsoft však zjistila, že ověřování SMB v určitých scénářích selhává, a jako takové nyní nabídlo řešení tohoto problému.
Ověřování SMB v sestaveních Windows 11 Insider již v podstatě nefunguje pro přihlášení hostů, protože podepisování SMB selže, když používáte ověřování hosta. Klíč používaný ke generování podpisu pro odesílanou zprávu je odvozen od hesla uživatele. Když povolíte ověřování hosta, neexistuje žádné heslo, což znamená, že se tyto dva koncepty vzájemně vylučují, nemůžete mít oba. Vzhledem k tomu, že není k dispozici žádné uživatelské heslo pro vytvoření podpisu, Windows aktuálně selhává připojení SMB pro a hostujícího klienta, protože podepisování SMB – které vyžaduje heslo – je nyní v některých programech Windows Insider ve výchozím nastavení povoleno staví.
Je důležité si uvědomit, že to není úplně radikální změna v chování. Microsoft přestal povolovat přihlášení hostů ve výchozím nastavení ve Windows 2000, zastavil vestavěné účty hostů vzdálené připojení k Windows a dokonce i zakázání přístupu pro hosty SMB2 a SMB3 počínaje verzí Windows 10 1709. Cílem je zabránit zlomyslným aktérům ve vzdáleném spouštění škodlivého kódu na vašem serveru bez vyžadování přihlašovacích údajů.
Pokud tedy v systému Windows využijete ověřování hosta, budou se vám zobrazovat chybové zprávy o síťové cestě nikoli nachází se (chyba 0x80070035) nebo zpráva o tom, že vaše organizace blokuje neomezeného a neověřeného hosta přístup. I když můžete povolit přístup odhadování v SMB2+ následujícím způsobem Průvodce Microsoftu zde, nebude to užitečné v nejnovějších sestaveních Windows 11 Insider - a pravděpodobně budoucích vydáních Windows, jakmile se tato změna obecně zavede - a připojení se nezdaří.
Oprava doporučená společností Microsoft je okamžitě zastavit přístup k vašim zařízením třetích stran pomocí přihlašovacích údajů hosta. Společnost varovala, že pokračování v tomto chování vystavuje vaše data riziku, protože kdokoli může tuto techniku využít k přístupu k vašim datům, aniž by zanechal auditní stopu. Zdůraznil, že výrobci zařízení obvykle ve výchozím nastavení povolují přístup pro hosty, protože nechtějí řešit se zákazníky složitost nastavení bezpečnější formy přístupu. Redmondská firma doporučuje, abyste si pro povolení nahlédli do dokumentace vašeho dodavatele autentizace na základě hesla, a pokud není podporována, měli byste postupně vyřadit přidružené produkt úplně.
Pokud však zakázání přístupu hostů SMB pro vaši organizaci není možné, jedinou možností je zakázat podepisování SMB, což společnost Microsoft nedoporučuje, protože to negativně ovlivňuje zabezpečení vaší společnosti držení těla. Bez ohledu na to společnost Microsoft nastínila tři způsoby, jak můžete zakázat podepisování SMB, podrobně níže:
- Grafické (zásady místní skupiny na jednom zařízení)
- Otevři Editor místních zásad skupiny (gpedit.msc) na vašem zařízení se systémem Windows.
- Ve stromu konzoly vyberte Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Možnosti zabezpečení.
- Dvojklik Síťový klient Microsoft: Digitálně podepisujte komunikaci (vždy).
- Vybrat Zakázáno > OK.
- Příkazový řádek (PowerShell na jednom zařízení)
- Otevřete konzolu PowerShell se zvýšenou úrovní správce.
- Běh
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Zásady skupiny založené na doméně (u flotil spravovaných IT)
- Vyhledejte zásady zabezpečení aplikující toto nastavení na vaše zařízení se systémem Windows (můžete použít GPRESULT /H na a klient vygeneruje výslednou sadu zpráv o zásadách, které ukazují, které zásady skupiny vyžadují podepisování SMB.
- V GPMC.MSC změňte Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Možnosti zabezpečení.
- Soubor Síťový klient Microsoft: Digitálně podepisujte komunikaci (vždy) na Zakázáno.
- Použijte aktualizované zásady na zařízení se systémem Windows, která potřebují přístup hosta přes SMB.
Pokud jde o další kroky, Microsoft poznamenal, že bude pracovat na vylepšení chybových zpráv a jasnějším popisu v zásadách skupiny v budoucích verzích programu Windows Insider. Související dokumentace společnosti Microsoft dostupná online bude také aktualizována, aby lépe vysvětlila tuto změnu a odpovídající zástupná řešení. Celkovým doporučením společnosti však stále je zakázat přístup hostů ze zařízení třetích stran.