SMB-allekirjoitus oli oletuksena käytössä Windows 11 Insider Enterprise -versioissa äskettäin, mikä aiheutti joitain virheitä. Microsoftilla on nyt ratkaisu.
Yli vuosi sitten Microsoft ilmoitti tekevänsä ei enää toimita Windows 11 Homea, jossa on palvelinviestilohkon versio 1 (SMB1), koska se on hyvin vanha verkon suojausprotokolla, jota on pidetty turvattomana jo jonkin aikaa ja jota on seurannut uudemmat iteraatiot. SMB on kuitenkin edelleen läsnä Windows 11:ssä, ja itse asiassa yritys teki SMB-allekirjoitus oletuskäyttäytymistä Windows Insider Enterprise -koontiversioissa aikaisemmin tässä kuussa. Microsoft on kuitenkin oppinut, että SMB-todennus epäonnistuu tietyissä skenaarioissa, ja sellaisena se on nyt tarjonnut ratkaisun ongelmaan.
Pohjimmiltaan SMB-todennus Windows 11 Insider -koontiversioissa ei enää toimi vieraskirjautumisissa, koska SMB-allekirjoitus epäonnistuu, kun käytät vierastodennusta. Avain, jolla luodaan allekirjoitus lähetettävälle viestille, johdetaan käyttäjän salasanasta. Kun otat vierastodennuksen käyttöön, salasanaa ei ole, mikä tarkoittaa, että nämä kaksi käsitettä ovat toisensa poissulkevia, molempia ei voi käyttää. Koska allekirjoituksen luomiseen ei ole saatavilla käyttäjän salasanaa, Windows katkaisee tällä hetkellä vain SMB-yhteyden a vierasasiakas, koska SMB-allekirjoitus - joka vaatii salasanan - on nyt oletuksena käytössä tietyissä Windows Insiderissä rakentaa.
On tärkeää huomata, että tämä ei ole aivan radikaali muutos käyttäytymisessä. Microsoft lopetti oletusarvoisesti vieraskirjautumisten sallimisen Windows 2000:ssa, lopetti sisäänrakennetut vierastilit muodostaa etäyhteyden Windowsiin ja jopa poistanut SMB2- ja SMB3-vieraskäytön Windows 10 -versiosta alkaen 1709. Tavoitteena on estää haitallisia toimijoita suorittamasta haitallista koodia etänä palvelimellasi ilman valtuustietoja.
Jos hyödynnät vierailijatodennusta Windowsissa, saat virheilmoituksia verkkopolusta ei löydetään (virhe 0x80070035) tai viesti siitä, että organisaatiosi estää rajoittamattoman ja todentamattoman vieraan pääsy. Vaikka voit ottaa arvauksen käyttöön SMB2+:ssa seuraamalla Microsoftin opas täällä, se ei ole hyödyllinen uusimmissa Windows 11 Insider -versioissa - ja oletettavasti tulevissa Windows-versioissa, kun tämä muutos tulee yleisesti käyttöön - ja yhteys epäonnistuu.
Microsoftin suosittelema korjaus on lopettaa välittömästi pääsy kolmannen osapuolen laitteillesi vieraiden tunnistetiedoilla. Yritys on varoittanut, että tämän toiminnan jatkaminen vaarantaa tietosi, koska kuka tahansa voi käyttää tätä tekniikkaa päästäkseen käsiksi tietoihisi jättämättä jäljitysjälkeä. Se on korostanut, että laitevalmistajat sallivat yleensä vierailijakäytön oletuksena, koska he eivät halua olla tekemisissä asiakkaiden kanssa turvallisemman käyttötavan määrittämisen monimutkaisuudesta. Redmond-yritys on suositellut, että tutustut toimittajasi dokumentaatioon salasanapohjainen todennus, ja jos sitä ei tueta, sinun on lopetettava vaiheittain siihen liittyvä tuote kokonaan.
Jos SMB-vieraskäytön poistaminen ei kuitenkaan ole mahdollista organisaatiossasi, ainoa vaihtoehtosi on poista SMB-allekirjoitus käytöstä, mitä Microsoft ei suosittele, koska se vaikuttaa negatiivisesti yrityksesi turvallisuuteen ryhti. Siitä huolimatta Microsoft on hahmotellut alla kolme tapaa, joilla voit poistaa SMB-allekirjoituksen käytöstä:
- Graafinen (paikallinen ryhmäkäytäntö yhdellä laitteella)
- Avaa Paikallinen ryhmäkäytäntöeditori (gpedit.msc) Windows-laitteellasi.
- Valitse konsolipuusta Tietokoneen asetukset > Windows-asetukset > Suojausasetukset > Paikalliset käytännöt > Suojausasetukset.
- Tuplaklikkaus Microsoftin verkkoasiakas: allekirjoita viestintä digitaalisesti (aina).
- Valitse Liikuntarajoitteinen > OK.
- Komentorivi (PowerShell yhdessä laitteessa)
- Avaa järjestelmänvalvojan korotettu PowerShell-konsoli.
- Juosta
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Verkkotunnuspohjainen ryhmäkäytäntö (IT-hallinnassa)
- Etsi suojauskäytäntö, joka soveltaa tätä asetusta Windows-laitteihisi (voit käyttää GPRESULT /H: ta a asiakas voi luoda tuloksena olevan käytäntöraportin joukon, joka näyttää, mikä ryhmäkäytäntö vaatii SMB-allekirjoituksen.
- Muuta GPMC.MSC: ssä Tietokoneen asetukset > Käytännöt > Windows-asetukset > Suojausasetukset > Paikalliset käytännöt > Suojausasetukset.
- Aseta Microsoftin verkkoasiakas: allekirjoita viestintä digitaalisesti (aina) to Liikuntarajoitteinen.
- Käytä päivitettyä käytäntöä Windows-laitteisiin, jotka tarvitsevat vieraskäyttöoikeuden SMB: n kautta.
Mitä tulee seuraaviin vaiheisiin, Microsoft on todennut, että se pyrkii parantamaan virheviestien lähettämistä ja antamaan selkeämmän kuvauksen ryhmäkäytännössä tulevissa Windows Insider -julkaisuissa. Verkossa saatavilla oleva Microsoft-dokumentaatio päivitetään myös tämän muutoksen ja vastaavien kiertotapojen selventämiseksi. Yrityksen yleinen suositus on kuitenkin edelleen estää vieraiden pääsy kolmansien osapuolien laitteilta.