Microsoft nudi zaobilazno rješenje za neuspjeh SMB autentifikacije u sustavu Windows 11

RačunalstvoJul 20, 2023

SMB potpisivanje nedavno je omogućeno prema zadanim postavkama u izdanjima Windows 11 Insider Enterprise, što je uzrokovalo neke kvarove. Microsoft sada ima zaobilazno rješenje.

Prije više od godinu dana Microsoft je najavio da hoće više se ne isporučuje Windows 11 Home s blokom poruka poslužitelja verzija 1 (SMB1), jer se radi o vrlo starom mrežnom sigurnosnom protokolu koji se neko vrijeme smatrao nesigurnim te su ga naslijedile novije iteracije. S tim u vezi, SMB je još uvijek prisutan u Windowsu 11, i zapravo je tvrtka nastala SMB potpisivanje zadano ponašanje u verzijama programa Windows Insider Enterprise ranije ovog mjeseca. Međutim, Microsoft je saznao da provjera autentičnosti SMB-a ne uspijeva u određenim scenarijima, i kao takva, sada je ponudila zaobilazno rješenje za problem.

U biti, SMB provjera autentičnosti u Windows 11 Insider verzijama više ne radi za prijave gostiju jer SMB potpisivanje ne uspijeva kada koristite provjeru autentičnosti gosta. Ključ koji se koristi za generiranje potpisa za poruku koja se šalje izvodi se iz korisničke lozinke. Kada omogućite autentifikaciju gosta, nema lozinke, što znači da su dva koncepta međusobno isključiva, ne možete imati oba. Budući da nema dostupne korisničke lozinke za stvaranje potpisa, Windows trenutno samo ne uspije uspostaviti SMB vezu za a gostujući klijent jer je SMB potpisivanje - za koje je potrebna lozinka - sada omogućeno prema zadanim postavkama u određenim Windows Insiderima gradi.

Važno je napomenuti da se ne radi baš o radikalnoj promjeni ponašanja. Microsoft je prestao dopuštati prijavu gostiju prema zadanim postavkama još u sustavu Windows 2000, zaustavio je ugrađene račune gostiju iz daljinsko povezivanje na Windows, pa čak i onemogućen SMB2 i SMB3 gostujući pristup počevši od verzije Windows 10 1709. Cilj je spriječiti zlonamjerne aktere u daljinskom izvršavanju zlonamjernog koda na vašem poslužitelju bez potrebe za vjerodajnicama.

Kao takav, ako koristite autentifikaciju gosta u sustavu Windows, dobit ćete poruke pogreške o mrežnom putu koji nije pronađen (pogreška 0x80070035) ili poruka o tome da vaša organizacija blokira neograničenog i neautoriziranog gosta pristup. Dok možete omogućiti pristup pogađanju u SMB2+ slijedeći Microsoftov vodič ovdje, neće biti od pomoći u najnovijim Windows 11 Insider verzijama – i vjerojatno budućim izdanjima Windowsa nakon što se ova promjena općenito uvede – i veza neće uspjeti.

Popravak koji preporučuje Microsoft je da odmah prestanete pristupati svojim uređajima trećih strana koristeći vjerodajnice gosta. Tvrtka je upozorila da nastavak ovakvog ponašanja dovodi vaše podatke u opasnost jer svatko može upotrijebiti ovu tehniku ​​za pristup vašim podacima bez ostavljanja revizijskog traga. Naglašeno je da proizvođači uređaja obično prema zadanim postavkama omogućuju gostujući pristup jer ne žele imati posla s kupcima u pogledu složenosti postavljanja sigurnijeg oblika pristupa. Tvrtka iz Redmonda preporučila je da pogledate dokumentaciju svog dobavljača kako biste omogućili autentifikaciju temeljenu na lozinci, a ako to nije podržano, trebali biste postupno ukinuti pridruženu proizvod u potpunosti.

Međutim, ako onemogućavanje SMB gostujućeg pristupa nije moguće za vašu organizaciju, vaša je jedina opcija onemogućite SMB potpisivanje, što Microsoft ne preporučuje jer negativno utječe na sigurnost vaše tvrtke držanje. Bez obzira na to, Microsoft je opisao tri načina na koje možete onemogućiti SMB potpisivanje, detaljno opisano u nastavku:

  • Grafički (pravila lokalne grupe na jednom uređaju)
    1. Otvori Uređivač pravila lokalne grupe (gpedit.msc) na vašem Windows uređaju.
    2. U stablu konzole odaberite Konfiguracija računala > Windows postavke > Sigurnosne postavke > Lokalna pravila > Sigurnosne opcije.
    3. Dvostruki klik Microsoftov mrežni klijent: digitalno potpišite komunikaciju (uvijek).
    4. Izaberi Onemogućeno > u redu.
  • Naredbeni redak (PowerShell na jednom uređaju)
    1. Otvorite PowerShell konzolu s povišenim administratorskim pravima.
    2. Trčanje 
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Pravila grupe temeljena na domeni (na flotama kojima upravlja IT)
    1. Pronađite sigurnosnu politiku koja primjenjuje ovu postavku na vaše Windows uređaje (možete koristiti GPRESULT /H na klijent za generiranje rezultirajućeg skupa izvješća o politici da pokaže koja grupna politika zahtijeva SMB potpisivanje.
    2. U GPMC.MSC promijenite Konfiguracija računala > Pravila > Postavke sustava Windows > Sigurnosne postavke > Lokalna pravila > Sigurnosne opcije.
    3. set Microsoftov mrežni klijent: digitalno potpišite komunikaciju (uvijek) do Onemogućeno.
    4. Primijenite ažurirana pravila na Windows uređaje kojima je potreban gostujući pristup putem SMB-a.

Što se tiče sljedećih koraka, Microsoft je napomenuo da će raditi na poboljšanju poruka o pogreškama i jasnijem opisu u politici grupe u budućim izdanjima Windows Insidera. Povezana Microsoftova dokumentacija dostupna online također će se ažurirati kako bi se bolje objasnila ova promjena i odgovarajuća rješenja. Međutim, opća preporuka tvrtke i dalje je onemogućavanje pristupa gostima s uređaja trećih strana.