Microsoft offre una soluzione alternativa per l'autenticazione SMB che non riesce in Windows 11

InformaticaJul 20, 2023
click fraud protection

La firma SMB è stata abilitata per impostazione predefinita nelle edizioni Windows 11 Insider Enterprise di recente, causando alcuni errori. Microsoft ora ha una soluzione alternativa.

Più di un anno fa, Microsoft ha annunciato che lo farà non viene più fornito Windows 11 Home con Server Message Block versione 1 (SMB1), poiché è un protocollo di sicurezza di rete molto vecchio che è stato considerato insicuro per qualche tempo ed è stato sostituito da iterazioni più recenti. Detto questo, SMB è ancora presente in Windows 11 e, in effetti, l'azienda ha creato SMB che firma il comportamento predefinito nelle build di Windows Insider Enterprise all'inizio di questo mese. Tuttavia, Microsoft ha appreso che l'autenticazione SMB non riesce in determinati scenari e, pertanto, ha ora offerto una soluzione alternativa per il problema.

In sostanza, l'autenticazione SMB nelle build di Windows 11 Insider non funziona più per gli accessi guest perché la firma SMB non riesce quando si utilizza l'autenticazione guest. La chiave utilizzata per generare una firma per un messaggio che viene inviato deriva dalla password dell'utente. Quando abiliti l'autenticazione ospite, non c'è password, il che significa che i due concetti si escludono a vicenda, non puoi averli entrambi. Poiché non è disponibile alcuna password utente per creare una firma, Windows attualmente fallisce solo la connessione SMB per a client ospite poiché la firma SMB, che richiede una password, è ora abilitata per impostazione predefinita in alcuni Windows Insider costruisce.

È importante notare che questo non è esattamente un cambiamento radicale nel comportamento. Microsoft ha smesso di consentire gli accessi guest per impostazione predefinita in Windows 2000, ha interrotto gli account Guest integrati da connessione remota a Windows e persino disabilitato l'accesso guest SMB2 e SMB3 a partire dalla versione di Windows 10 1709. L'obiettivo è impedire agli attori malintenzionati di eseguire in remoto codice dannoso sul tuo server senza richiedere credenziali.

Pertanto, se sfrutti l'autenticazione guest su Windows, non riceverai messaggi di errore sul percorso di rete essere trovato (errore 0x80070035) o un messaggio sulla tua organizzazione che blocca guest senza restrizioni e non autenticati accesso. Mentre puoi abilitare l'accesso indovinato in SMB2 + seguendo La guida di Microsoft qui, non sarà utile nelle ultime build di Windows 11 Insider e presumibilmente nelle future edizioni di Windows una volta che questa modifica verrà implementata in generale e la connessione fallirà.

Correzione consigliata da Microsoft è interrompere immediatamente l'accesso ai tuoi dispositivi di terze parti utilizzando le credenziali dell'ospite. L'azienda ha avvertito che continuare con questo comportamento mette a rischio i tuoi dati poiché chiunque può utilizzare questa tecnica per accedere ai tuoi dati senza lasciare una traccia di controllo. Ha sottolineato che i produttori di dispositivi in ​​genere abilitano l'accesso ospite per impostazione predefinita perché non vogliono trattare con i clienti in merito alla complessità della configurazione di una forma di accesso più sicura. L'azienda di Redmond ha consigliato di consultare la documentazione del fornitore per abilitare autenticazione basata su password e, se non è supportata, è necessario eliminare gradualmente l'autenticazione associata prodotto completamente.

Tuttavia, se la disabilitazione dell'accesso guest SMB non è possibile per la tua organizzazione, l'unica opzione è farlo disabilitare la firma SMB, che Microsoft sconsiglia poiché influisce negativamente sulla sicurezza della tua azienda postura. Indipendentemente da ciò, Microsoft ha delineato tre modi in cui è possibile disabilitare la firma SMB, descritti di seguito:

  • Grafico (criterio di gruppo locale su un dispositivo)
    1. Apri il Editor Criteri di gruppo locali (gpedit.msc) sul tuo dispositivo Windows.
    2. Nella struttura della console selezionare Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza.
    3. Doppio click Client di rete Microsoft: firmare digitalmente le comunicazioni (sempre).
    4. Selezionare Disabilitato > OK.
  • Riga di comando (PowerShell su un dispositivo)
    1. Apri una console PowerShell con privilegi elevati di amministratore.
    2. Correre 
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Criteri di gruppo basati sul dominio (su parchi istanze gestiti dall'IT)
    1. Individua la politica di sicurezza che applica questa impostazione ai tuoi dispositivi Windows (puoi usare GPRESULT /H su a client per generare un set risultante di report sui criteri per mostrare quale criterio di gruppo richiede la firma SMB.
    2. In GPMC.MSC, modificare il file Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Opzioni di sicurezza.
    3. Impostato Client di rete Microsoft: firmare digitalmente le comunicazioni (sempre) A Disabilitato.
    4. Applica il criterio aggiornato ai dispositivi Windows che richiedono l'accesso guest tramite SMB.

In termini di passaggi successivi, Microsoft ha notato che lavorerà per migliorare la messaggistica di errore e avere una descrizione più chiara nei criteri di gruppo nelle future versioni di Windows Insider. Anche la documentazione Microsoft associata disponibile online verrà aggiornata per spiegare meglio questa modifica e le soluzioni alternative corrispondenti. Tuttavia, la raccomandazione generale dell'azienda è ancora quella di disabilitare l'accesso degli ospiti da dispositivi di terze parti.