Penandatanganan SMB diaktifkan secara default di edisi Windows 11 Insider Enterprise baru-baru ini, menyebabkan beberapa kegagalan. Microsoft sekarang memiliki solusi.
Lebih dari setahun yang lalu, Microsoft mengumumkan akan melakukannya tidak lagi mengirimkan Windows 11 Home dengan Server Message Block versi 1 (SMB1), karena ini adalah protokol keamanan jaringan yang sangat lama yang telah dianggap tidak aman selama beberapa waktu dan telah digantikan oleh iterasi yang lebih baru. Konon, SMB masih hadir di Windows 11, dan nyatanya dibuat oleh perusahaan SMB menandatangani perilaku default di build Windows Insider Enterprise awal bulan ini. Namun, Microsoft telah mengetahui bahwa autentikasi SMB gagal dalam skenario tertentu, dan karena itu, Microsoft kini telah menawarkan solusi untuk masalah tersebut.
Pada dasarnya, autentikasi SMB di Windows 11 Insider build tidak lagi berfungsi untuk login tamu karena penandatanganan SMB gagal saat Anda menggunakan autentikasi tamu. Kunci yang digunakan untuk menghasilkan tanda tangan untuk pesan yang dikirim berasal dari kata sandi pengguna. Saat Anda mengaktifkan autentikasi tamu, tidak ada kata sandi, yang berarti bahwa kedua konsep tersebut saling eksklusif, Anda tidak dapat memiliki keduanya. Karena tidak ada kata sandi pengguna yang tersedia untuk membuat tanda tangan, Windows saat ini gagal menyambungkan SMB untuk a klien tamu sejak penandatanganan SMB - yang memerlukan kata sandi - sekarang diaktifkan secara default di Windows Insider tertentu membangun.
Penting untuk dicatat bahwa ini bukanlah perubahan perilaku yang radikal. Microsoft berhenti mengizinkan masuk tamu secara default di Windows 2000, menghentikan akun Tamu bawaan dari menghubungkan dari jarak jauh ke Windows, dan bahkan menonaktifkan akses tamu SMB2 dan SMB3 dimulai dengan versi Windows 10 1709. Tujuannya adalah untuk menghentikan aktor jahat mengeksekusi kode berbahaya dari jarak jauh di server Anda tanpa memerlukan kredensial.
Dengan demikian, jika Anda memanfaatkan autentikasi tamu di Windows, Anda akan disuguhi pesan kesalahan tentang jalur jaringan tidak ditemukan (kesalahan 0x80070035) atau pesan tentang organisasi Anda yang memblokir tamu yang tidak dibatasi dan tidak diautentikasi mengakses. Meskipun Anda dapat mengaktifkan akses tebakan di SMB2+ dengan mengikuti Panduan Microsoft di sini, itu tidak akan membantu dalam build Windows 11 Insider terbaru - dan mungkin edisi Windows yang akan datang setelah perubahan ini diluncurkan secara umum - dan koneksi akan gagal.
Perbaikan yang direkomendasikan Microsoft adalah segera berhenti mengakses perangkat pihak ketiga Anda menggunakan kredensial tamu. Perusahaan telah memperingatkan bahwa melanjutkan perilaku ini akan membahayakan data Anda karena siapa pun dapat menggunakan teknik ini untuk mengakses data Anda tanpa meninggalkan jejak audit. Telah ditekankan bahwa produsen perangkat biasanya mengaktifkan akses tamu secara default karena mereka tidak ingin berurusan dengan pelanggan terkait kerumitan penyiapan bentuk akses yang lebih aman. Perusahaan Redmond telah merekomendasikan agar Anda berkonsultasi dengan dokumentasi vendor Anda untuk mengaktifkan autentikasi berbasis kata sandi dan jika itu tidak didukung, Anda harus menghapus yang terkait produk sepenuhnya.
Namun, jika menonaktifkan akses tamu SMB tidak memungkinkan untuk organisasi Anda, satu-satunya pilihan Anda adalah melakukannya nonaktifkan penandatanganan SMB, yang tidak direkomendasikan Microsoft karena berdampak negatif pada keamanan perusahaan Anda sikap. Apapun, Microsoft telah menguraikan tiga cara di mana Anda dapat menonaktifkan penandatanganan SMB, dirinci di bawah ini:
- Grafis (kebijakan grup lokal pada satu perangkat)
- Buka Editor Kebijakan Grup Lokal (gpedit.msc) di perangkat Windows Anda.
- Di pohon konsol, pilih Konfigurasi Komputer > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal > Opsi Keamanan.
- Klik dua kali Klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu).
- Pilih Dengan disabilitas > OKE.
- Baris perintah (PowerShell di satu perangkat)
- Buka konsol PowerShell yang ditinggikan administrator.
- Berlari
Set-SmbClientConfiguration -MemerlukanSecuritySignature $false
- Kebijakan grup berbasis domain (pada armada yang dikelola TI)
- Temukan kebijakan keamanan yang menerapkan pengaturan ini ke perangkat Windows Anda (Anda dapat menggunakan GPRESULT /H pada a klien untuk menghasilkan serangkaian laporan kebijakan yang dihasilkan untuk menunjukkan kebijakan grup mana yang memerlukan penandatanganan SMB.
- Di GPMC.MSC, ubah Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Lokal > Opsi Keamanan.
- Mengatur Klien jaringan Microsoft: Menandatangani komunikasi secara digital (selalu) ke Dengan disabilitas.
- Terapkan kebijakan yang diperbarui ke perangkat Windows yang memerlukan akses tamu melalui SMB.
Dalam hal langkah selanjutnya, Microsoft telah mencatat bahwa itu akan bekerja untuk meningkatkan pesan kesalahan dan memiliki deskripsi yang lebih jelas dalam kebijakan grup di rilis Windows Insider di masa mendatang. Dokumentasi Microsoft terkait yang tersedia secara online juga akan diperbarui untuk menjelaskan perubahan ini dengan lebih baik dan solusi yang sesuai. Namun, rekomendasi keseluruhan perusahaan tetap menonaktifkan akses tamu dari perangkat pihak ketiga.