Az SMB-aláírás a közelmúltban alapértelmezés szerint engedélyezve volt a Windows 11 Insider Enterprise kiadásaiban, ami hibákat okozott. A Microsoftnak most van megoldása.
Több mint egy éve a Microsoft bejelentette, hogy megteszi már nem szállítják a Windows 11 Home Server Message Block 1-es verziójával (SMB1), mivel ez egy nagyon régi hálózati biztonsági protokoll, amelyet egy ideje nem biztonságosnak tartottak, és amelyet újabb iterációk váltottak fel. Ennek ellenére az SMB továbbra is jelen van a Windows 11-ben, és valójában a vállalat készítette Az SMB aláírása az alapértelmezett viselkedés a Windows Insider Enterprise buildekben Korábban, ebben a hónapban. A Microsoft azonban megtudta, hogy az SMB-hitelesítés bizonyos forgatókönyvek esetén meghiúsul, ezért most megoldást kínált a probléma megoldására.
Lényegében az SMB-hitelesítés a Windows 11 Insider buildekben már nem működik vendég-bejelentkezés esetén, mivel az SMB-aláírás meghiúsul vendéghitelesítés használatakor. Az elküldött üzenet aláírásának létrehozásához használt kulcs a felhasználó jelszavából származik. Ha engedélyezi a vendéghitelesítést, akkor nincs jelszó, ami azt jelenti, hogy a két fogalom kizárja egymást, nem lehet mindkettő. Mivel nem áll rendelkezésre felhasználói jelszó az aláírás létrehozásához, a Windows jelenleg csak meghiúsítja az SMB-kapcsolatot a vendég kliens, mivel az SMB-aláírás – amelyhez jelszó szükséges – mostantól alapértelmezés szerint engedélyezve van bizonyos Windows Insiderekben épít.
Fontos megjegyezni, hogy ez nem éppen radikális változás a viselkedésben. A Microsoft alapértelmezés szerint nem engedélyezte a vendég bejelentkezést a Windows 2000 rendszerben, és leállította a beépített vendégfiókokat távolról csatlakozhat a Windows rendszerhez, sőt a Windows 10 verziótól kezdve letiltotta az SMB2 és SMB3 vendéghozzáférést 1709. A cél az, hogy megakadályozzák a rosszindulatú szereplőket abban, hogy távolról, hitelesítési adatok megkövetelése nélkül rosszindulatú kódot hajtsanak végre a szerveren.
Ennek megfelelően, ha kihasználja a vendéghitelesítést Windows rendszeren, a rendszer hibaüzeneteket kap a hálózati elérési útról. megtalálták (0x80070035-ös hiba), vagy üzenet arról, hogy a szervezet blokkolja a korlátlan és nem hitelesített vendégeket hozzáférés. Míg az SMB2+-ban engedélyezheti a tippelési hozzáférést, ha követi A Microsoft útmutatója itt, nem lesz hasznos a legújabb Windows 11 Insider buildekben – és feltehetően a Windows jövőbeli kiadásaiban, amint ez a változás általánosan bevezetik –, és a kapcsolat meghiúsul.
A Microsoft által javasolt javítás Azonnal le kell állítania harmadik fél eszközeinek vendég hitelesítési adataival való elérését. A cég felhívta a figyelmet arra, hogy ennek a magatartásnak a folytatása veszélybe sodorja az Ön adatait, mivel bárki felhasználhatja ezt a technikát az adatokhoz anélkül, hogy ellenőrzési nyomot hagyna. Hangsúlyozta, hogy az eszközgyártók általában alapértelmezés szerint engedélyezik a vendég hozzáférést, mert nem akarnak foglalkozni az ügyfelekkel a biztonságosabb hozzáférési mód beállításának bonyolultságával kapcsolatban. A redmondi cég azt javasolta, hogy az engedélyezéshez tekintse át a szállító dokumentációját jelszó alapú hitelesítés, és ha ez nem támogatott, akkor fokozatosan törölje le a kapcsolódót termék teljesen.
Ha azonban az SMB-vendég hozzáférés letiltása nem lehetséges a szervezetben, akkor az egyetlen lehetőség tiltsa le az SMB-aláírást, amit a Microsoft nem javasol, mivel negatívan befolyásolja a vállalat biztonságát testtartás. Ettől függetlenül a Microsoft három módot vázolt fel az SMB-aláírás letiltására, amelyeket alább részletezünk:
- Grafikus (helyi csoportházirend egy eszközön)
- Nyissa meg a Helyi csoportházirend-szerkesztő (gpedit.msc) Windows-eszközén.
- A konzolfában válassza ki a lehetőséget Számítógép konfigurációja > Windows beállítások > Biztonsági beállítások > Helyi házirendek > Biztonsági beállítások.
- Dupla kattintás Microsoft hálózati kliens: A kommunikáció digitális aláírása (mindig).
- Válassza ki Tiltva > rendben.
- Parancssor (PowerShell egy eszközön)
- Nyisson meg egy rendszergazdai szintű PowerShell-konzolt.
- Fuss
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Domain alapú csoportházirend (informatikailag felügyelt flottákon)
- Keresse meg azt a biztonsági házirendet, amely ezt a beállítást alkalmazza Windows-eszközeire (a GPRESULT /H segítségével a kliens, hogy létrehozzon egy eredő házirend-jelentéskészletet, amely megmutatja, melyik csoportházirend igényel SMB-aláírást.
- A GPMC.MSC-ben módosítsa a Számítógép konfigurációja > Házirendek > Windows beállítások > Biztonsági beállítások > Helyi házirendek > Biztonsági beállítások.
- Készlet Microsoft hálózati kliens: A kommunikáció digitális aláírása (mindig) nak nek Tiltva.
- Alkalmazza a frissített házirendet azokra a Windows-eszközökre, amelyek vendég hozzáférést igényelnek SMB-n keresztül.
A következő lépésekkel kapcsolatban a Microsoft megjegyezte, hogy a jövőbeni Windows Insider-kiadásokban a hibaüzenetek javításán és a csoportházirend egyértelműbb leírásán fog dolgozni. A kapcsolódó, online elérhető Microsoft-dokumentáció is frissül, hogy jobban elmagyarázza ezt a változást és a megfelelő megoldásokat. A vállalat általános ajánlása azonban továbbra is az, hogy tiltsa le a vendég hozzáférést a harmadik féltől származó eszközökről.