Microsoft tilbyder en løsning for SMB-godkendelse, der mislykkes i Windows 11

SMB-signering blev aktiveret som standard i Windows 11 Insider Enterprise-udgaver for nylig, hvilket forårsagede nogle fejl. Microsoft har nu en løsning.

For over et år siden meddelte Microsoft, at det vil sender ikke længere Windows 11 Home med Server Message Block version 1 (SMB1), da det er en meget gammel netværkssikkerhedsprotokol, der i nogen tid er blevet betragtet som usikker og er blevet efterfulgt af nyere iterationer. Når det er sagt, er SMB stadig til stede i Windows 11, og det har virksomheden faktisk lavet SMB-signering af standardadfærden i Windows Insider Enterprise builds tidligere på måneden. Microsoft har dog erfaret, at SMB-godkendelse fejler i visse scenarier, og som sådan har det nu tilbudt en løsning på problemet.

Grundlæggende fungerer SMB-godkendelse i Windows 11 Insider-builds ikke længere for gæstelogon, fordi SMB-signering mislykkes, når du bruger gæstegodkendelse. Nøglen, der bruges til at generere en signatur for en besked, der sendes, er afledt af brugerens adgangskode. Når du aktiverer gæstegodkendelse, er der ingen adgangskode, hvilket betyder, at de to koncepter udelukker hinanden, du kan ikke have begge. Da der ikke er nogen tilgængelig brugeradgangskode til at oprette en signatur, fejler Windows i øjeblikket bare SMB-forbindelsen for en gæsteklient, da SMB-signering - som kræver en adgangskode - nu er aktiveret som standard i visse Windows Insider bygger.

Det er vigtigt at bemærke, at dette ikke ligefrem er en radikal ændring i adfærd. Microsoft stoppede med at tillade gæstelogon som standard tilbage i Windows 2000, stoppede indbyggede gæstekonti fra fjernforbindelse til Windows og endda deaktiveret SMB2- og SMB3-gæsteadgang startende med Windows 10-version 1709. Målet er at forhindre ondsindede aktører i at eksternt udføre ondsindet kode på din server uden at kræve legitimationsoplysninger.

Som sådan, hvis du udnytter gæstegodkendelse på Windows, vil du blive behandlet med fejlmeddelelser om netværksstien ikke bliver fundet (fejl 0x80070035) eller en besked om, at din organisation blokerer ubegrænset og uautoriseret gæst adgang. Mens du kan aktivere gætteadgang i SMB2+ ved at følge Microsofts guide her, vil det ikke være nyttigt i de seneste Windows 11 Insider-builds - og formentlig fremtidige udgaver af Windows, når først denne ændring ruller ud generelt - og forbindelsen vil mislykkes.

Microsofts anbefalede rettelse er straks at stoppe med at få adgang til dine tredjepartsenheder ved hjælp af gæstelegitimationsoplysninger. Firmaet har advaret om, at fortsættelse med denne adfærd bringer dine data i fare, da enhver kan bruge denne teknik til at få adgang til dine data uden at forlade et revisionsspor. Det har understreget, at enhedsproducenter typisk aktiverer gæsteadgang som standard, fordi de ikke ønsker at beskæftige sig med kunder med hensyn til kompleksiteten i at opsætte en mere sikker form for adgang. Redmond-firmaet har anbefalet, at du konsulterer din leverandørs dokumentation for at aktivere adgangskodebaseret godkendelse, og hvis det ikke understøttes, bør du udfase den tilknyttede produktet fuldstændigt.

Men hvis deaktivering af SMB-gæsteadgang ikke er muligt for din organisation, er din eneste mulighed at gøre det deaktiver SMB-signering, hvilket Microsoft ikke anbefaler, da det påvirker din virksomheds sikkerhed negativt positur. Uanset hvad har Microsoft skitseret tre måder, hvorpå du kan deaktivere SMB-signering, beskrevet nedenfor:

  • Grafisk (lokal gruppepolitik på én enhed)
    1. Åbn Lokal gruppepolitik editor (gpedit.msc) på din Windows-enhed.
    2. Vælg i konsoltræet Computerkonfiguration > Windows-indstillinger > Sikkerhedsindstillinger > Lokale politikker > Sikkerhedsindstillinger.
    3. Dobbeltklik Microsoft netværksklient: Signer kommunikation digitalt (altid).
    4. Vælg handicappet > Okay.
  • Kommandolinje (PowerShell på én enhed)
    1. Åbn en administrator-forhøjet PowerShell-konsol.
    2. Løb
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Domænebaseret gruppepolitik (på it-administrerede flåder)
    1. Find sikkerhedspolitikken, der anvender denne indstilling på dine Windows-enheder (du kan bruge GPRESULT /H på en klient til at generere et resulterende sæt politikrapporter for at vise, hvilken gruppepolitik der kræver SMB-signering.
    2. I GPMC.MSC skal du ændre Computerkonfiguration > Politikker > Windows-indstillinger > Sikkerhedsindstillinger > Lokale politikker > Sikkerhedsindstillinger.
    3. Sæt Microsoft netværksklient: Signer kommunikation digitalt (altid) til handicappet.
    4. Anvend den opdaterede politik på Windows-enheder, der har brug for gæsteadgang via SMB.

Med hensyn til de næste trin har Microsoft bemærket, at det vil arbejde på at forbedre fejlmeddelelsen og have en klarere beskrivelse i gruppepolitikken i fremtidige Windows Insider-udgivelser. Den tilknyttede Microsoft-dokumentation, der er tilgængelig online, vil også blive opdateret for bedre at forklare denne ændring og de tilsvarende løsninger. Virksomhedens overordnede anbefaling er dog stadig at deaktivere gæsteadgang fra tredjepartsenheder.