Microsoft propose une solution de contournement pour l'échec de l'authentification SMB dans Windows 11

La signature SMB a été activée par défaut dans les éditions Windows 11 Insider Enterprise récemment, provoquant des échecs. Microsoft a maintenant une solution de contournement.

Il y a plus d'un an, Microsoft a annoncé qu'il ne livre plus Windows 11 Famille avec Server Message Block version 1 (SMB1), car il s'agit d'un très ancien protocole de sécurité réseau qui a été considéré comme non sécurisé pendant un certain temps et a été remplacé par de nouvelles itérations. Cela dit, SMB est toujours présent dans Windows 11, et en fait, la société a fait SMB signant le comportement par défaut dans les builds Windows Insider Enterprise plus tôt ce mois-ci. Cependant, Microsoft a appris que l'authentification SMB échouait dans certains scénarios et, à ce titre, il a maintenant proposé une solution de contournement pour le problème.

Essentiellement, l'authentification SMB dans les versions de Windows 11 Insider ne fonctionne plus pour les connexions invité car la signature SMB échoue lorsque vous utilisez l'authentification invité. La clé utilisée pour générer une signature pour un message qui est envoyé est dérivée du mot de passe de l'utilisateur. Lorsque vous activez l'authentification des invités, il n'y a pas de mot de passe, ce qui signifie que les deux concepts s'excluent mutuellement, vous ne pouvez pas avoir les deux. Puisqu'il n'y a pas de mot de passe utilisateur disponible pour créer une signature, Windows échoue actuellement la connexion SMB pour un client invité puisque la signature SMB - qui nécessite un mot de passe - est désormais activée par défaut dans certains Windows Insider construit.

Il est important de noter qu'il ne s'agit pas exactement d'un changement radical de comportement. Microsoft a cessé d'autoriser les connexions d'invités par défaut dans Windows 2000, a arrêté les comptes d'invités intégrés à partir de se connecter à distance à Windows, et même désactiver l'accès invité SMB2 et SMB3 à partir de la version Windows 10 1709. L'objectif est d'empêcher les acteurs malveillants d'exécuter à distance du code malveillant sur votre serveur sans avoir besoin d'informations d'identification.

En tant que tel, si vous utilisez l'authentification invité sous Windows, vous recevrez des messages d'erreur concernant le chemin réseau non en cours de détection (erreur 0x80070035) ou un message indiquant que votre organisation bloque les invités illimités et non authentifiés accès. Bien que vous puissiez activer l'accès deviné dans SMB2+ en suivant Guide de Microsoft ici, cela ne sera pas utile dans les dernières versions de Windows 11 Insider - et vraisemblablement dans les futures éditions de Windows une fois que ce changement sera généralisé - et la connexion échouera.

Le correctif recommandé par Microsoft est d'arrêter immédiatement d'accéder à vos appareils tiers à l'aide des informations d'identification d'invité. L'entreprise a averti que continuer avec ce comportement met vos données en danger car n'importe qui peut utiliser cette technique pour accéder à vos données sans laisser de piste d'audit. Il a souligné que les fabricants d'appareils activent généralement l'accès invité par défaut, car ils ne veulent pas traiter avec les clients concernant la complexité de la mise en place d'une forme d'accès plus sécurisée. La firme de Redmond vous recommande de consulter la documentation de votre fournisseur pour activer l'authentification par mot de passe et si celle-ci n'est pas prise en charge, vous devez supprimer progressivement l'authentification associée produit complètement.

Toutefois, si la désactivation de l'accès invité SMB n'est pas possible pour votre organisation, votre seule option est de désactiver la signature SMB, ce que Microsoft ne recommande pas car cela affecte négativement la sécurité de votre entreprise posture. Quoi qu'il en soit, Microsoft a décrit trois façons de désactiver la signature SMB, détaillées ci-dessous :

  • Graphique (stratégie de groupe locale sur un appareil)
    1. Ouvrez le Éditeur de stratégie de groupe locale (gpedit.msc) sur votre appareil Windows.
    2. Dans l'arborescence de la console, sélectionnez Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
    3. Double-cliquez Client réseau Microsoft: signer numériquement les communications (toujours).
    4. Sélectionner Désactivé > D'ACCORD.
  • Ligne de commande (PowerShell sur un appareil)
    1. Ouvrez une console PowerShell élevée par l'administrateur.
    2. Courir
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Stratégie de groupe basée sur le domaine (sur les flottes gérées par l'informatique)
    1. Localisez la stratégie de sécurité appliquant ce paramètre à vos appareils Windows (vous pouvez utiliser GPRESULT /H sur un client pour générer un ensemble résultant de rapports de stratégie pour montrer quelle stratégie de groupe nécessite la signature SMB.
    2. Dans GPMC.MSC, modifiez le Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
    3. Ensemble Client réseau Microsoft: signer numériquement les communications (toujours) pour Désactivé.
    4. Appliquez la politique mise à jour aux appareils Windows nécessitant un accès invité via SMB.

En ce qui concerne les prochaines étapes, Microsoft a noté qu'il travaillera à l'amélioration de la messagerie d'erreur et à une description plus claire de la stratégie de groupe dans les futures versions de Windows Insider. La documentation Microsoft associée disponible en ligne sera également mise à jour pour mieux expliquer ce changement et les solutions de contournement correspondantes. Cependant, la recommandation générale de l'entreprise est toujours de désactiver l'accès invité à partir d'appareils tiers.