מיקרוסופט מציעה פתרון לכשל באימות SMB ב-Windows 11

חתימת SMB הופעלה כברירת מחדל במהדורות Windows 11 Insider Enterprise לאחרונה, מה שגרם לכמה כשלים. למיקרוסופט יש כעת פתרון לעקיפת הבעיה.

לפני יותר משנה, מיקרוסופט הודיעה שתעשה זאת כבר לא שולחים את Windows 11 Home עם Server Message Block גרסה 1 (SMB1), מאחר ומדובר בפרוטוקול אבטחת רשת ישן מאוד שנחשב לא מאובטח במשך זמן מה ויורש על ידי איטרציות חדשות יותר. עם זאת, SMB עדיין קיים ב-Windows 11, ולמעשה, החברה יצרה חתימת SMB על התנהגות ברירת המחדל ב-Windows Insider Enterprise builds מוקדם יותר החודש. עם זאת, למיקרוסופט נודע כי אימות SMB נכשל בתרחישים מסוימים, וככזה, היא הציעה כעת פתרון לבעיה.

בעיקרו של דבר, אימות SMB ב-Windows 11 Insider builds אינו עובד יותר עבור כניסות אורחים מכיוון שהחתימה של SMB נכשלת כאשר אתה משתמש באימות אורח. המפתח המשמש ליצירת חתימה להודעה שנשלחת נגזר מהסיסמה של המשתמש. כאשר אתה מפעיל אימות אורח, אין סיסמה, מה שאומר ששני המושגים סותרים זה את זה, אתה לא יכול לקבל את שניהם. מכיוון שאין סיסמת משתמש זמינה ליצירת חתימה, Windows כרגע פשוט נכשל בחיבור ה-SMB עבור א לקוח אורח מאז חתימת SMB - הדורשת סיסמה - מופעלת כעת כברירת מחדל ב-Windows Insider מסוימים בונה.

חשוב לציין שזה לא בדיוק שינוי קיצוני בהתנהגות. מיקרוסופט הפסיקה לאפשר כניסה לאורחים כברירת מחדל כבר ב-Windows 2000, הפסיקה חשבונות אורח מובנים מ התחברות מרחוק ל-Windows, ואפילו השביתה גישת אורחים SMB2 ו-SMB3 החל מגרסת Windows 10 1709. המטרה היא למנוע משחקנים זדוניים לבצע מרחוק קוד זדוני בשרת שלך מבלי לדרוש אישורים.

ככזה, אם אתה ממנף את אימות האורח ב-Windows, תקבל הודעות שגיאה לגבי נתיב הרשת לא נמצא (שגיאה 0x80070035) או הודעה על הארגון שלך שחוסם אורח בלתי מוגבל ולא מאומת גִישָׁה. אמנם אתה יכול לאפשר גישת ניחוש ב-SMB2+ על ידי מעקב המדריך של מיקרוסופט כאן, זה לא יועיל בגירסאות האחרונות של Windows 11 Insider - וככל הנראה במהדורות עתידיות של Windows ברגע שהשינוי הזה ייצא בדרך כלל - והחיבור ייכשל.

התיקון המומלץ של מיקרוסופט היא להפסיק מיד את הגישה למכשירי הצד השלישי שלך באמצעות אישורי אורח. החברה הזהירה כי המשך התנהגות זו מסכנת את הנתונים שלך מכיוון שכל אחד יכול להשתמש בטכניקה זו כדי לגשת לנתונים שלך מבלי להשאיר עקבות ביקורת. הוא הדגיש כי יצרני מכשירים מאפשרים בדרך כלל גישה לאורחים כברירת מחדל מכיוון שהם לא רוצים להתמודד עם לקוחות בנוגע למורכבות של הגדרת צורת גישה מאובטחת יותר. חברת רדמונד המליצה לך לעיין בתיעוד של הספק שלך כדי לאפשר אימות מבוסס סיסמה ואם זה לא נתמך, עליך לבטל את השלב המשויך מוצר לחלוטין.

עם זאת, אם השבתת גישת אורח SMB אינה אפשרית עבור הארגון שלך, האפשרות היחידה שלך היא לעשות זאת השבת את החתימה ב-SMB, שמיקרוסופט לא ממליצה עליו מכיוון שהיא משפיעה לרעה על אבטחת החברה שלך יְצִיבָה. בלי קשר, מיקרוסופט תיארה שלוש דרכים שבהן תוכל להשבית את החתימה ב-SMB, המפורטות להלן:

  • גרפי (מדיניות קבוצתית מקומית במכשיר אחד)
    1. פתח את ה עורך מדיניות קבוצתית מקומית (gpedit.msc) במכשיר Windows שלך.
    2. בעץ המסוף, בחר תצורת מחשב > הגדרות Windows > הגדרות אבטחה > מדיניות מקומית > אפשרויות אבטחה.
    3. לחץ לחיצה כפולה לקוח רשת של Microsoft: חתימה דיגיטלית על תקשורת (תמיד).
    4. בחר נָכֶה > בסדר.
  • שורת פקודה (PowerShell במכשיר אחד)
    1. פתח קונסולת PowerShell ברמת מנהל מערכת.
    2. לָרוּץ
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • מדיניות קבוצתית מבוססת דומיין (על ציים מנוהלים ב-IT)
    1. אתר את מדיניות האבטחה המיישמת הגדרה זו על מכשירי Windows שלך (תוכל להשתמש ב-GPRESULT /H על לקוח כדי להפיק קבוצה של דוח מדיניות כדי להראות איזו מדיניות קבוצתית דורשת חתימת SMB.
    2. ב-GPMC.MSC, שנה את תצורת מחשב > מדיניות > הגדרות Windows > הגדרות אבטחה > מדיניות מקומית > אפשרויות אבטחה.
    3. מַעֲרֶכֶת לקוח רשת של Microsoft: חתימה דיגיטלית על תקשורת (תמיד) ל נָכֶה.
    4. החל את המדיניות המעודכנת על מכשירי Windows הזקוקים לגישה של אורח דרך SMB.

מבחינת השלבים הבאים, מיקרוסופט ציינה שהיא תעבוד על שיפור הודעות השגיאה ותיאור ברור יותר במדיניות הקבוצתית במהדורות עתידיות של Windows Insider. התיעוד המשויך של Microsoft הזמין באינטרנט יעודכן גם הוא כדי להסביר טוב יותר את השינוי הזה ואת הדרכים לעקיפת הבעיה. עם זאת, ההמלצה הכוללת של החברה היא עדיין להשבית את גישת האורחים ממכשירי צד שלישי.