Microsoft ofrece una solución para la autenticación SMB que falla en Windows 11

La firma SMB se habilitó de forma predeterminada en las ediciones de Windows 11 Insider Enterprise recientemente, lo que provocó algunas fallas. Microsoft ahora tiene una solución.

Hace más de un año, Microsoft anunció que ya no se envía Windows 11 Home con Server Message Block versión 1 (SMB1), ya que es un protocolo de seguridad de red muy antiguo que se ha considerado inseguro durante algún tiempo y ha sido reemplazado por iteraciones más recientes. Dicho esto, SMB sigue presente en Windows 11 y, de hecho, la empresa hizo SMB que firma el comportamiento predeterminado en las compilaciones de Windows Insider Enterprise a principios de este mes. Sin embargo, Microsoft se enteró de que la autenticación SMB está fallando en ciertos escenarios y, como tal, ahora ha ofrecido una solución para el problema.

Esencialmente, la autenticación SMB en las compilaciones de Windows 11 Insider ya no funciona para los inicios de sesión de invitados porque la firma SMB falla cuando se utiliza la autenticación de invitado. La clave utilizada para generar una firma para un mensaje que se envía se deriva de la contraseña del usuario. Cuando habilita la autenticación de invitado, no hay contraseña, lo que significa que los dos conceptos son mutuamente excluyentes, no puede tener ambos. Dado que no hay una contraseña de usuario disponible para crear una firma, Windows actualmente solo falla la conexión SMB por un cliente invitado ya que la firma SMB, que requiere una contraseña, ahora está habilitada de forma predeterminada en ciertos Windows Insider construye

Es importante tener en cuenta que esto no es exactamente un cambio radical en el comportamiento. Microsoft dejó de permitir inicios de sesión de invitados de forma predeterminada en Windows 2000, detuvo las cuentas de invitados integradas de conectarse de forma remota a Windows, e incluso deshabilitar el acceso de invitado SMB2 y SMB3 a partir de la versión de Windows 10 1709. El objetivo es evitar que los actores maliciosos ejecuten código malicioso de forma remota en su servidor sin necesidad de credenciales.

Como tal, si aprovecha la autenticación de invitado en Windows, recibirá mensajes de error sobre la ruta de la red no encontrado (error 0x80070035) o un mensaje sobre el bloqueo de invitados no restringidos y no autenticados por parte de su organización acceso. Si bien puede habilitar el acceso de conjetura en SMB2+ siguiendo Guía de Microsoft aquí, no será útil en las últimas compilaciones de Windows 11 Insider, y presumiblemente en futuras ediciones de Windows una vez que este cambio se implemente en general, y la conexión fallará.

Corrección recomendada por Microsoft es dejar de acceder inmediatamente a sus dispositivos de terceros utilizando credenciales de invitado. La firma ha advertido que continuar con este comportamiento pone en riesgo sus datos, ya que cualquiera puede utilizar esta técnica para acceder a sus datos sin dejar un rastro de auditoría. Ha enfatizado que los fabricantes de dispositivos generalmente permiten el acceso de invitados de forma predeterminada porque no quieren tratar con los clientes con respecto a la complejidad de configurar una forma de acceso más segura. La firma de Redmond ha recomendado que consulte la documentación de su proveedor para habilitar autenticación basada en contraseña y, si no es compatible, debe eliminar gradualmente la autenticación asociada producto por completo.

Sin embargo, si su organización no puede deshabilitar el acceso de invitado SMB, su única opción es deshabilite la firma SMB, que Microsoft no recomienda ya que afecta negativamente la seguridad de su empresa postura. Independientemente, Microsoft ha descrito tres formas en las que puede deshabilitar la firma SMB, que se detallan a continuación:

  • Gráfica (política de grupo local en un dispositivo)
    1. Abre el Editor de directivas de grupo local (gpedit.msc) en su dispositivo Windows.
    2. En el árbol de la consola, seleccione Configuración de la computadora> Configuración de Windows> Configuración de seguridad> Políticas locales> Opciones de seguridad.
    3. Haga doble clic Cliente de red de Microsoft: firma digital de comunicaciones (siempre).
    4. Seleccionar Desactivado > DE ACUERDO.
  • Línea de comandos (PowerShell en un dispositivo)
    1. Abra una consola de PowerShell con privilegios de administrador.
    2. Correr
Establecer-SmbClientConfiguration -RequireSecuritySignature $false
  • Política de grupo basada en dominio (en flotas administradas por TI)
    1. Localice la política de seguridad que aplica esta configuración a sus dispositivos Windows (puede usar GPRESULT /H en un cliente para generar un conjunto resultante de informes de políticas para mostrar qué política de grupo requiere la firma SMB.
    2. En GPMC.MSC, cambie el Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad.
    3. Colocar Cliente de red de Microsoft: firma digital de comunicaciones (siempre) a Desactivado.
    4. Aplique la política actualizada a los dispositivos de Windows que necesitan acceso de invitado a través de SMB.

En cuanto a los próximos pasos, Microsoft ha señalado que trabajará para mejorar los mensajes de error y tener una descripción más clara en la política de grupo en futuras versiones de Windows Insider. La documentación asociada de Microsoft disponible en línea también se actualizará para explicar mejor este cambio y las soluciones alternativas correspondientes. Sin embargo, la recomendación general de la compañía sigue siendo deshabilitar el acceso de invitados desde dispositivos de terceros.