Η υπογραφή SMB ενεργοποιήθηκε από προεπιλογή στις εκδόσεις των Windows 11 Insider Enterprise πρόσφατα, προκαλώντας ορισμένες αποτυχίες. Η Microsoft έχει τώρα μια λύση.
Πριν από περισσότερο από ένα χρόνο, η Microsoft ανακοίνωσε ότι θα το κάνει δεν αποστέλλονται πλέον τα Windows 11 Home with Server Message Block έκδοση 1 (SMB1), αφού είναι ένα πολύ παλιό πρωτόκολλο ασφάλειας δικτύου που θεωρείται επισφαλές εδώ και αρκετό καιρό και το διαδέχτηκαν νεότερες επαναλήψεις. Τούτου λεχθέντος, η SMB εξακολουθεί να είναι παρούσα στα Windows 11, και στην πραγματικότητα, η εταιρεία έκανε SMB που υπογράφει την προεπιλεγμένη συμπεριφορά στις εκδόσεις Windows Insider Enterprise νωρίτερα αυτό το μήνα. Ωστόσο, η Microsoft έχει μάθει ότι ο έλεγχος ταυτότητας SMB αποτυγχάνει σε ορισμένα σενάρια και ως εκ τούτου, έχει πλέον προσφέρει μια λύση για το ζήτημα.
Ουσιαστικά, ο έλεγχος ταυτότητας SMB στις εκδόσεις των Windows 11 Insider δεν λειτουργεί πλέον για συνδέσεις επισκέπτη, επειδή η υπογραφή SMB αποτυγχάνει όταν χρησιμοποιείτε τον έλεγχο ταυτότητας επισκέπτη. Το κλειδί που χρησιμοποιείται για τη δημιουργία υπογραφής για ένα μήνυμα που αποστέλλεται προέρχεται από τον κωδικό πρόσβασης του χρήστη. Όταν ενεργοποιείτε τον έλεγχο ταυτότητας επισκέπτη, δεν υπάρχει κωδικός πρόσβασης, πράγμα που σημαίνει ότι οι δύο έννοιες είναι αμοιβαία αποκλειόμενες, δεν μπορείτε να έχετε και τις δύο. Δεδομένου ότι δεν υπάρχει διαθέσιμος κωδικός πρόσβασης χρήστη για τη δημιουργία υπογραφής, τα Windows επί του παρόντος απλώς αποτυγχάνουν στη σύνδεση SMB για α πελάτης επισκέπτης αφού η υπογραφή SMB - η οποία απαιτεί κωδικό πρόσβασης - είναι πλέον ενεργοποιημένη από προεπιλογή σε ορισμένα Windows Insider κατασκευάζει.
Είναι σημαντικό να σημειωθεί ότι αυτό δεν είναι ακριβώς μια ριζική αλλαγή στη συμπεριφορά. Η Microsoft σταμάτησε να επιτρέπει τις συνδέσεις επισκεπτών από προεπιλογή στα Windows 2000, σταμάτησε τους ενσωματωμένους λογαριασμούς Guest από απομακρυσμένη σύνδεση στα Windows και ακόμη και απενεργοποιημένη πρόσβαση επισκέπτη SMB2 και SMB3 ξεκινώντας από την έκδοση των Windows 10 1709. Ο στόχος είναι να σταματήσετε τους κακόβουλους παράγοντες να εκτελούν εξ αποστάσεως κακόβουλο κώδικα στον διακομιστή σας χωρίς να απαιτούνται διαπιστευτήρια.
Ως εκ τούτου, εάν αξιοποιήσετε τον έλεγχο ταυτότητας επισκέπτη στα Windows, θα λάβετε μηνύματα σφάλματος σχετικά με τη διαδρομή δικτύου που δεν ανεύρεση (σφάλμα 0x80070035) ή ένα μήνυμα σχετικά με τον αποκλεισμό απεριόριστων και μη επαληθευμένων επισκεπτών από τον οργανισμό σας πρόσβαση. Ενώ μπορείτε να ενεργοποιήσετε την πρόσβαση εικασίας στο SMB2+ ακολουθώντας Ο οδηγός της Microsoft εδώ, δεν θα είναι χρήσιμο στις πιο πρόσφατες εκδόσεις των Windows 11 Insider - και πιθανώς μελλοντικές εκδόσεις των Windows μόλις κυκλοφορήσει αυτή η αλλαγή γενικά - και η σύνδεση θα αποτύχει.
Συνιστώμενη επιδιόρθωση της Microsoft είναι να διακόψετε αμέσως την πρόσβαση στις συσκευές τρίτων σας χρησιμοποιώντας διαπιστευτήρια επισκέπτη. Η εταιρεία έχει προειδοποιήσει ότι η συνέχιση αυτής της συμπεριφοράς θέτει τα δεδομένα σας σε κίνδυνο, καθώς οποιοσδήποτε μπορεί να χρησιμοποιήσει αυτήν την τεχνική για να αποκτήσει πρόσβαση στα δεδομένα σας χωρίς να αφήσει ίχνος ελέγχου. Έχει τονίσει ότι οι κατασκευαστές συσκευών συνήθως επιτρέπουν την πρόσβαση επισκέπτη από προεπιλογή, επειδή δεν θέλουν να συναλλάσσονται με πελάτες σχετικά με την πολυπλοκότητα της ρύθμισης μιας πιο ασφαλούς μορφής πρόσβασης. Η εταιρεία Redmond συνέστησε να συμβουλευτείτε την τεκμηρίωση του προμηθευτή σας για να την ενεργοποιήσετε έλεγχος ταυτότητας βάσει κωδικού πρόσβασης και εάν δεν υποστηρίζεται, θα πρέπει να καταργήσετε σταδιακά τη συσχέτιση προϊόν πλήρως.
Ωστόσο, εάν η απενεργοποίηση της πρόσβασης επισκέπτη SMB δεν είναι δυνατή για τον οργανισμό σας, η μόνη σας επιλογή είναι να το κάνετε απενεργοποιήστε την υπογραφή SMB, την οποία η Microsoft δεν συνιστά, καθώς επηρεάζει αρνητικά την ασφάλεια της εταιρείας σας σταση του ΣΩΜΑΤΟΣ. Ανεξάρτητα από αυτό, η Microsoft έχει περιγράψει τρεις τρόπους με τους οποίους μπορείτε να απενεργοποιήσετε την υπογραφή SMB, όπως περιγράφεται παρακάτω:
- Γραφικό (πολιτική τοπικής ομάδας σε μία συσκευή)
- Ανοιξε το Επεξεργαστής πολιτικής τοπικής ομάδας (gpedit.msc) στη συσκευή σας Windows.
- Στο δέντρο της κονσόλας, επιλέξτε Διαμόρφωση υπολογιστή > Ρυθμίσεις Windows > Ρυθμίσεις ασφαλείας > Τοπικές πολιτικές > Επιλογές ασφαλείας.
- Διπλό κλικ Πελάτης δικτύου Microsoft: Επικοινωνίες ψηφιακής υπογραφής (πάντα).
- Επιλέγω άτομα με ειδικές ανάγκες > Εντάξει.
- Γραμμή εντολών (PowerShell σε μία συσκευή)
- Ανοίξτε μια κονσόλα PowerShell με ανύψωση διαχειριστή.
- Τρέξιμο
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Πολιτική ομάδας που βασίζεται σε τομείς (σε στόλους που διαχειρίζονται IT)
- Εντοπίστε την πολιτική ασφαλείας που εφαρμόζει αυτήν τη ρύθμιση στις συσκευές σας Windows (μπορείτε να χρησιμοποιήσετε το GPRESULT /H σε πελάτη για να δημιουργήσει ένα προκύπτον σύνολο αναφοράς πολιτικής για να δείξει ποια πολιτική ομάδας απαιτεί υπογραφή SMB.
- Στο GPMC.MSC, αλλάξτε το Διαμόρφωση υπολογιστή > Πολιτικές > Ρυθμίσεις Windows > Ρυθμίσεις ασφαλείας > Τοπικές πολιτικές > Επιλογές ασφαλείας.
- Σειρά Πελάτης δικτύου Microsoft: Επικοινωνίες ψηφιακής υπογραφής (πάντα) προς την άτομα με ειδικές ανάγκες.
- Εφαρμόστε την ενημερωμένη πολιτική σε συσκευές Windows που χρειάζονται πρόσβαση επισκέπτη μέσω SMB.
Όσον αφορά τα επόμενα βήματα, η Microsoft έχει σημειώσει ότι θα εργαστεί για τη βελτίωση της ανταλλαγής μηνυμάτων σφάλματος και την ύπαρξη σαφέστερης περιγραφής στην πολιτική ομάδας σε μελλοντικές εκδόσεις του Windows Insider. Η σχετική τεκμηρίωση της Microsoft που είναι διαθέσιμη στο διαδίκτυο θα ενημερωθεί επίσης για να εξηγήσει καλύτερα αυτήν την αλλαγή και τις αντίστοιχες λύσεις. Ωστόσο, η γενική σύσταση της εταιρείας εξακολουθεί να είναι η απενεργοποίηση της πρόσβασης επισκέπτη από συσκευές τρίτων κατασκευαστών.