Die SMB-Signierung war kürzlich in den Windows 11 Insider Enterprise-Editionen standardmäßig aktiviert, was zu einigen Fehlern führte. Microsoft hat jetzt einen Workaround.
Vor über einem Jahr hat Microsoft dies angekündigt Versenden Sie Windows 11 Home nicht mehr mit Server Message Block Version 1 (SMB1), da es sich um ein sehr altes Netzwerksicherheitsprotokoll handelt, das seit einiger Zeit als unsicher galt und von neueren Iterationen abgelöst wurde. Allerdings ist SMB in Windows 11 immer noch vorhanden, und das Unternehmen hat es tatsächlich geschafft SMB-Signierung ist das Standardverhalten in Windows Insider Enterprise-Builds früher in diesem Monat. Microsoft hat jedoch erfahren, dass die SMB-Authentifizierung in bestimmten Szenarien fehlschlägt, und bietet daher nun eine Problemumgehung für das Problem an.
Im Wesentlichen funktioniert die SMB-Authentifizierung in Windows 11 Insider-Builds nicht mehr für Gastanmeldungen, da die SMB-Signierung fehlschlägt, wenn Sie die Gastauthentifizierung verwenden. Der Schlüssel, der zum Generieren einer Signatur für eine gesendete Nachricht verwendet wird, wird aus dem Kennwort des Benutzers abgeleitet. Wenn Sie die Gastauthentifizierung aktivieren, gibt es kein Passwort, was bedeutet, dass sich die beiden Konzepte gegenseitig ausschließen und Sie nicht beides haben können. Da zum Erstellen einer Signatur kein Benutzerkennwort zur Verfügung steht, lässt Windows die SMB-Verbindung derzeit nur für eine Weile fehl Gast-Client, da die SMB-Signierung – die ein Passwort erfordert – jetzt in bestimmten Windows Insider standardmäßig aktiviert ist baut.
Es ist wichtig zu beachten, dass es sich hierbei nicht gerade um eine radikale Verhaltensänderung handelt. Microsoft hat bereits in Windows 2000 aufgehört, Gastanmeldungen standardmäßig zuzulassen, und die integrierten Gastkonten ab eingestellt Herstellen einer Remoteverbindung zu Windows und sogar Deaktivieren des SMB2- und SMB3-Gastzugriffs ab der Windows 10-Version 1709. Ziel ist es, böswillige Akteure daran zu hindern, aus der Ferne Schadcode auf Ihrem Server auszuführen, ohne dass Anmeldeinformationen erforderlich sind.
Wenn Sie also die Gastauthentifizierung unter Windows nutzen, erhalten Sie keine Fehlermeldungen zum Netzwerkpfad gefunden wird (Fehler 0x80070035) oder eine Meldung darüber, dass Ihre Organisation uneingeschränkte und nicht authentifizierte Gäste blockiert Zugang. Sie können den Rate-Zugriff in SMB2+ wie folgt aktivieren Microsofts Leitfaden hier, wird es in den neuesten Windows 11 Insider-Builds – und vermutlich auch in zukünftigen Editionen von Windows, sobald diese Änderung allgemein eingeführt wird – nicht hilfreich sein und die Verbindung wird fehlschlagen.
Von Microsoft empfohlener Fix besteht darin, den Zugriff auf Ihre Geräte von Drittanbietern mit Gastanmeldeinformationen sofort zu stoppen. Das Unternehmen hat darauf hingewiesen, dass die Fortsetzung dieses Verhaltens Ihre Daten gefährdet, da jeder diese Technik nutzen kann, um auf Ihre Daten zuzugreifen, ohne einen Prüfpfad zu hinterlassen. Es wurde betont, dass Gerätehersteller in der Regel den Gastzugang standardmäßig aktivieren, weil sie sich nicht mit den Kunden über die Komplexität der Einrichtung einer sichereren Zugangsform auseinandersetzen wollen. Das Unternehmen aus Redmond hat empfohlen, dass Sie zur Aktivierung die Dokumentation Ihres Anbieters konsultieren Passwortbasierte Authentifizierung. Wenn diese nicht unterstützt wird, sollten Sie die damit verbundene Authentifizierung auslaufen lassen Produkt vollständig.
Wenn die Deaktivierung des SMB-Gastzugriffs für Ihr Unternehmen jedoch nicht möglich ist, bleibt Ihnen nur die Möglichkeit, dies zu tun Deaktivieren Sie die SMB-Signierung, was Microsoft nicht empfiehlt, da es sich negativ auf die Sicherheit Ihres Unternehmens auswirkt Haltung. Ungeachtet dessen hat Microsoft drei Möglichkeiten beschrieben, wie Sie die SMB-Signierung deaktivieren können, die im Folgenden detailliert beschrieben werden:
- Grafisch (lokale Gruppenrichtlinie auf einem Gerät)
- Öffne das Editor für lokale Gruppenrichtlinien (gpedit.msc) auf Ihrem Windows-Gerät.
- Wählen Sie in der Konsolenstruktur aus Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
- Doppelklick Microsoft-Netzwerkclient: Kommunikation digital signieren (immer).
- Wählen Behinderte > OK.
- Befehlszeile (PowerShell auf einem Gerät)
- Öffnen Sie eine PowerShell-Konsole mit Administratorrechten.
- Laufen
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Domänenbasierte Gruppenrichtlinie (für IT-verwaltete Flotten)
- Suchen Sie die Sicherheitsrichtlinie, die diese Einstellung auf Ihre Windows-Geräte anwendet (Sie können GPRESULT /H auf einem verwenden). Der Client generiert einen resultierenden Richtlinienbericht, der zeigt, welche Gruppenrichtlinie eine SMB-Signierung erfordert.
- Ändern Sie in GPMC.MSC die Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
- Satz Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) Zu Behinderte.
- Wenden Sie die aktualisierte Richtlinie auf Windows-Geräte an, die Gastzugriff über SMB benötigen.
Was die nächsten Schritte angeht, hat Microsoft angemerkt, dass man daran arbeiten wird, die Fehlermeldungen zu verbessern und in zukünftigen Windows Insider-Versionen eine klarere Beschreibung in den Gruppenrichtlinien bereitzustellen. Die zugehörige online verfügbare Microsoft-Dokumentation wird ebenfalls aktualisiert, um diese Änderung und die entsprechenden Problemumgehungen besser zu erklären. Die allgemeine Empfehlung des Unternehmens lautet jedoch weiterhin, den Gastzugriff über Geräte von Drittanbietern zu deaktivieren.