SMB allkirjastamine oli hiljuti Windows 11 Insider Enterprise väljaannetes vaikimisi lubatud, põhjustades mõningaid tõrkeid. Microsoftil on nüüd lahendus.
Rohkem kui aasta tagasi teatas Microsoft, et seda teeb ei tarnita enam Windows 11 Home serveri sõnumiploki versiooniga 1 (SMB1), kuna tegemist on väga vana võrguturbeprotokolliga, mida on mõnda aega peetud ebaturvaliseks ja millele on järgnenud uuemad iteratsioonid. Sellegipoolest on SMB endiselt Windows 11-s olemas ja tegelikult tegi ettevõte SMB allkirjastab vaikekäitumise Windows Insider Enterprise'i järgudes selle kuu alguses. Microsoft on aga teada saanud, et SMB autentimine teatud stsenaariumide korral ebaõnnestub, ja seetõttu on see nüüd pakkunud probleemi lahendamiseks lahenduse.
Põhimõtteliselt ei tööta SMB autentimine Windows 11 siseringiversioonis enam külaliste sisselogimiste puhul, kuna SMB allkirjastamine nurjub, kui kasutate külalisautentimist. Võti, mida kasutatakse saadetava sõnumi jaoks allkirja genereerimiseks, tuletatakse kasutaja paroolist. Kui lubate külalisena autentimise, siis parooli pole, mis tähendab, et need kaks mõistet välistavad üksteist, mõlemat ei saa kasutada. Kuna allkirja loomiseks pole kasutajaparooli saadaval, katkestab Windows praegu SMB-ühenduse a külalisklient, kuna SMB-allkirjastamine – mis nõuab parooli – on nüüd teatud Windows Insideris vaikimisi lubatud ehitab.
Oluline on märkida, et see ei ole just radikaalne muutus käitumises. Microsoft lõpetas Windows 2000-s vaikimisi külaliste sisselogimise lubamise, peatas sisseehitatud külaliskontod kaugühenduse loomine Windowsiga ja isegi SMB2 ja SMB3 külalisjuurdepääsu keelamine alates Windows 10 versioonist 1709. Eesmärk on peatada pahatahtlikud osalejad teie serveris pahatahtlikku koodi kaugkäivitamast, ilma mandaati nõudmata.
Seega, kui kasutate Windowsis külaliste autentimist, kuvatakse teile veateated võrgutee mitte leitakse (viga 0x80070035) või sõnum teie organisatsiooni kohta, mis blokeerib piiranguteta ja autentimata külalise juurdepääs. Kuigi saate lubada juurdepääsu SMB2+-s, järgides Microsofti juhend siin, pole see Windows 11 Insideri viimaste versioonide puhul abiks – ja arvatavasti ka tulevastes Windowsi väljaannetes, kui see muudatus üldiselt kasutusele võetakse – ning ühenduse loomine ebaõnnestub.
Microsofti soovitatud parandus on viivitamatult peatada juurdepääs oma kolmanda osapoole seadmetele, kasutades külalismandaate. Ettevõte on hoiatanud, et sellise käitumisega jätkamine seab teie andmed ohtu, kuna igaüks saab seda tehnikat kasutada teie andmetele juurdepääsuks kontrolljälge jätmata. Ta on rõhutanud, et seadmete tootjad lubavad tavaliselt vaikimisi külaliste juurdepääsu, kuna nad ei soovi klientidega suhelda seoses turvalisema juurdepääsuvormi seadistamise keerukusega. Redmondi ettevõte on soovitanud teil lubamiseks tutvuda oma müüja dokumentatsiooniga paroolipõhine autentimine ja kui seda ei toetata, peaksite sellega seotud järk-järgult loobuma toode täielikult.
Kui aga SMB külalisjuurdepääsu keelamine ei ole teie organisatsiooni jaoks võimalik, on teie ainus võimalus seda teha keelake SMB allkirjastamine, mida Microsoft ei soovita, kuna see mõjutab teie ettevõtte turvalisust negatiivselt hoiak. Sellest hoolimata on Microsoft välja toonud kolm viisi, kuidas saate SMB allkirjastamise keelata, mida kirjeldatakse allpool:
- Graafiline (kohalik rühmapoliitika ühes seadmes)
- Ava Kohalik rühmapoliitika redaktor (gpedit.msc) oma Windowsi seadmes.
- Valige konsoolipuust Arvuti konfiguratsioon> Windowsi sätted> Turvasätted> Kohalikud poliitikad> Turvasuvandid.
- Topeltklõps Microsofti võrguklient: allkirjastage side digitaalselt (alati).
- Valige Keelatud > Okei.
- Käsurida (PowerShell ühes seadmes)
- Avage administraatoritasemega PowerShelli konsool.
- Jookse
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Domeenipõhine rühmapoliitika (IT-ga hallatavatel autoparkidel)
- Otsige üles turvapoliitika, mis rakendab seda sätet teie Windowsi seadmetele (saate kasutada GPRESULT /H a klient loob tulemuseks oleva poliitikaaruande komplekti, et näidata, milline rühmapoliitika nõuab SMB allkirjastamist.
- Muutke failis GPMC.MSC Arvuti konfiguratsioon > Poliisid > Windowsi sätted > Turvasätted > Kohalikud poliitikad > Turvasuvandid.
- Määra Microsofti võrguklient: allkirjastage side digitaalselt (alati) juurde Keelatud.
- Rakendage värskendatud reegel Windowsi seadmetele, mis vajavad SMB kaudu külalisjuurdepääsu.
Järgmiste sammude osas on Microsoft märkinud, et töötab Windows Insideri tulevaste väljaannete veateadete täiustamise ja rühmapoliitika selgema kirjelduse nimel. Selle muudatuse ja vastavate lahenduste paremaks selgitamiseks värskendatakse ka võrgus saadaolevat seotud Microsofti dokumentatsiooni. Ettevõtte üldine soovitus on siiski keelata külaliste juurdepääs kolmandate osapoolte seadmetest.