Microsoft Windows 11 में विफल होने वाले SMB प्रमाणीकरण के लिए समाधान प्रदान करता है

कम्प्यूटिंगJul 20, 2023
click fraud protection

हाल ही में विंडोज 11 इनसाइडर एंटरप्राइज संस्करणों में एसएमबी साइनिंग को डिफ़ॉल्ट रूप से सक्षम किया गया था, जिससे कुछ विफलताएं हुईं। Microsoft के पास अब एक समाधान है.

एक वर्ष से अधिक समय पहले, माइक्रोसॉफ्ट ने घोषणा की थी कि वह ऐसा करेगा अब Windows 11 Home को सर्वर मैसेज ब्लॉक संस्करण 1 (SMB1) के साथ शिप नहीं किया जाएगा, क्योंकि यह एक बहुत पुराना नेटवर्क सुरक्षा प्रोटोकॉल है जिसे कुछ समय के लिए असुरक्षित माना गया है और नए पुनरावृत्तियों द्वारा इसका स्थान ले लिया गया है। जैसा कि कहा गया है, एसएमबी अभी भी विंडोज 11 में मौजूद है, और वास्तव में, कंपनी ने इसे बनाया है एसएमबी विंडोज़ इनसाइडर एंटरप्राइज़ बिल्ड में डिफ़ॉल्ट व्यवहार पर हस्ताक्षर कर रहा है इस महीने पहले। हालाँकि, Microsoft को पता चला है कि SMB प्रमाणीकरण कुछ परिदृश्यों में विफल हो रहा है, और इस प्रकार, उसने अब समस्या के समाधान की पेशकश की है।

अनिवार्य रूप से, विंडोज 11 इनसाइडर बिल्ड में एसएमबी प्रमाणीकरण अब अतिथि लॉगऑन के लिए काम नहीं कर रहा है क्योंकि जब आप अतिथि प्रमाणीकरण का उपयोग कर रहे हैं तो एसएमबी हस्ताक्षर विफल हो जाता है। भेजे जाने वाले संदेश के लिए हस्ताक्षर उत्पन्न करने के लिए उपयोग की जाने वाली कुंजी उपयोगकर्ता के पासवर्ड से प्राप्त होती है। जब आप अतिथि प्रमाणीकरण सक्षम करते हैं, तो कोई पासवर्ड नहीं होता है, जिसका अर्थ है कि दोनों अवधारणाएँ परस्पर अनन्य हैं, आपके पास दोनों नहीं हो सकते हैं। चूंकि हस्ताक्षर बनाने के लिए कोई उपयोगकर्ता पासवर्ड उपलब्ध नहीं है, विंडोज़ वर्तमान में एसएमबी कनेक्शन को विफल कर देता है एसएमबी हस्ताक्षर के बाद से अतिथि ग्राहक - जिसके लिए पासवर्ड की आवश्यकता होती है - अब कुछ विंडोज़ इनसाइडर में डिफ़ॉल्ट रूप से सक्षम है बनाता है.

यह ध्यान रखना महत्वपूर्ण है कि यह वास्तव में व्यवहार में कोई आमूल-चूल परिवर्तन नहीं है। Microsoft ने Windows 2000 में डिफ़ॉल्ट रूप से अतिथि लॉगऑन की अनुमति देना बंद कर दिया, अंतर्निहित अतिथि खातों को बंद कर दिया विंडोज से दूरस्थ रूप से कनेक्ट करना, और यहां तक ​​कि विंडोज 10 संस्करण से शुरू होने वाले SMB2 और SMB3 गेस्ट एक्सेस को भी अक्षम करना 1709. इसका उद्देश्य दुर्भावनापूर्ण अभिनेताओं को क्रेडेंशियल्स की आवश्यकता के बिना आपके सर्वर पर दुर्भावनापूर्ण कोड को दूरस्थ रूप से निष्पादित करने से रोकना है।

इस प्रकार, यदि आप विंडोज़ पर अतिथि प्रमाणीकरण का लाभ उठाते हैं, तो आपको नेटवर्क पथ के बारे में त्रुटि संदेश प्राप्त होंगे पाया जा रहा है (त्रुटि 0x80070035) या आपके संगठन द्वारा अप्रतिबंधित और अप्रमाणित अतिथि को अवरुद्ध करने के बारे में एक संदेश पहुँच। जबकि आप निम्नलिखित द्वारा SMB2+ में अनुमान पहुंच सक्षम कर सकते हैं माइक्रोसॉफ्ट की मार्गदर्शिका यहां, यह नवीनतम विंडोज 11 इनसाइडर बिल्ड में सहायक नहीं होगा - और संभवतः यह परिवर्तन आम तौर पर लागू होने के बाद विंडोज के भविष्य के संस्करणों में - और कनेक्शन विफल हो जाएगा।

माइक्रोसॉफ्ट द्वारा अनुशंसित समाधान अतिथि क्रेडेंशियल्स का उपयोग करके अपने तृतीय-पक्ष उपकरणों तक पहुंच तुरंत बंद करना है। फर्म ने चेतावनी दी है कि इस व्यवहार को जारी रखने से आपका डेटा खतरे में पड़ जाता है क्योंकि कोई भी ऑडिट ट्रेल छोड़े बिना आपके डेटा तक पहुंचने के लिए इस तकनीक का उपयोग कर सकता है। इसमें इस बात पर जोर दिया गया है कि डिवाइस निर्माता आम तौर पर डिफ़ॉल्ट रूप से अतिथि पहुंच को सक्षम करते हैं क्योंकि वे पहुंच के अधिक सुरक्षित रूप को स्थापित करने की जटिलता के संबंध में ग्राहकों के साथ व्यवहार नहीं करना चाहते हैं। रेडमंड फर्म ने अनुशंसा की है कि आप सक्षम करने के लिए अपने विक्रेता के दस्तावेज़ से परामर्श लें पासवर्ड-आधारित प्रमाणीकरण और यदि वह समर्थित नहीं है, तो आपको संबद्ध को चरणबद्ध तरीके से समाप्त कर देना चाहिए उत्पाद पूरी तरह से.

हालाँकि, यदि आपके संगठन के लिए SMB अतिथि पहुँच को अक्षम करना संभव नहीं है, तो आपके पास एकमात्र विकल्प है SMB हस्ताक्षर अक्षम करें, जिसकी Microsoft अनुशंसा नहीं करता क्योंकि यह आपकी कंपनी की सुरक्षा को नकारात्मक रूप से प्रभावित करता है आसन। भले ही, माइक्रोसॉफ्ट ने तीन तरीके बताए हैं जिनसे आप एसएमबी हस्ताक्षर को अक्षम कर सकते हैं, जिनका विवरण नीचे दिया गया है:

  • ग्राफिकल (एक डिवाइस पर स्थानीय समूह नीति)
    1. खोलें स्थानीय समूह नीति संपादक (gpedit.msc) आपके विंडोज़ डिवाइस पर।
    2. कंसोल ट्री में, चुनें कंप्यूटर कॉन्फ़िगरेशन > विंडोज़ सेटिंग्स > सुरक्षा सेटिंग्स > स्थानीय नीतियाँ > सुरक्षा विकल्प.
    3. डबल क्लिक करें माइक्रोसॉफ्ट नेटवर्क क्लाइंट: डिजिटली साइन संचार (हमेशा).
    4. चुनना अक्षम > ठीक.
  • कमांड-लाइन (एक डिवाइस पर पॉवरशेल)
    1. एक व्यवस्थापक-उन्नत पॉवरशेल कंसोल खोलें।
    2. दौड़ना 
सेट-SmbClientConfiguration -RequireSecuritySignature $false
  • डोमेन-आधारित समूह नीति (आईटी-प्रबंधित बेड़े पर)
    1. इस सेटिंग को अपने विंडोज़ उपकरणों पर लागू करने वाली सुरक्षा नीति का पता लगाएं (आप GPRESULT /H का उपयोग कर सकते हैं)। क्लाइंट को नीति रिपोर्ट का एक परिणामी सेट तैयार करना होगा ताकि यह दिखाया जा सके कि किस समूह नीति पर एसएमबी हस्ताक्षर की आवश्यकता है।
    2. GPMC.MSC में, बदलें कंप्यूटर कॉन्फ़िगरेशन > नीतियाँ > विंडोज़ सेटिंग्स > सुरक्षा सेटिंग्स > स्थानीय नीतियाँ > सुरक्षा विकल्प।
    3. तय करना माइक्रोसॉफ्ट नेटवर्क क्लाइंट: डिजिटली साइन संचार (हमेशा) को अक्षम.
    4. एसएमबी पर अतिथि पहुंच की आवश्यकता वाले विंडोज़ उपकरणों पर अद्यतन नीति लागू करें।

अगले चरणों के संदर्भ में, माइक्रोसॉफ्ट ने नोट किया है कि वह भविष्य में विंडोज इनसाइडर रिलीज में त्रुटि संदेश को बेहतर बनाने और समूह नीति में स्पष्ट विवरण देने पर काम करेगा। इस परिवर्तन और संबंधित समाधानों को बेहतर ढंग से समझाने के लिए ऑनलाइन उपलब्ध संबंधित Microsoft दस्तावेज़ को भी अद्यतन किया जाएगा। हालाँकि, कंपनी की समग्र अनुशंसा अभी भी तीसरे पक्ष के उपकरणों से अतिथि पहुंच को अक्षम करने की है।