Microsoft、Windows 11でSMB認証が失敗する場合の回避策を提供

コンピューティングJul 20, 2023

最近、Windows 11 Insider Enterprise エディションで SMB 署名がデフォルトで有効になったため、いくつかの障害が発生しました。 Microsoft は現在、回避策を提供しています。

1 年以上前、マイクロソフトは次のことを発表しました。 Server Message Block バージョン 1 (SMB1) を搭載した Windows 11 Home は出荷されなくなりましたこれは、非常に古いネットワーク セキュリティ プロトコルであるため、しばらくの間安全ではないと考えられ、新しい反復によって引き継がれてきました。 とはいえ、SMB は Windows 11 にもまだ存在しており、実際、同社は Windows Insider Enterprise ビルドにおける SMB 署名のデフォルト動作 今月上旬。 ただし、Microsoft は、特定のシナリオで SMB 認証が失敗することを認識し、この問題の回避策を提供しました。

基本的に、ゲスト認証を使用すると SMB 署名が失敗するため、Windows 11 Insider ビルドの SMB 認証はゲスト ログオンでは機能しなくなりました。 送信されるメッセージの署名を生成するために使用されるキーは、ユーザーのパスワードから派生します。 ゲスト認証を有効にすると、パスワードはなくなります。つまり、2 つの概念は相互に排他的であり、両方を使用することはできません。 署名の作成に使用できるユーザー パスワードがないため、Windows は現在、SMB 接続に失敗するだけです。 特定の Windows Insider では、SMB 署名 (パスワードが必要) がデフォルトで有効になったため、ゲスト クライアント 構築します。

これは行動の根本的な変化ではないことに注意することが重要です。 Microsoft は、Windows 2000 の時点でデフォルトでのゲスト ログオンの許可を停止し、組み込みのゲスト アカウントを停止しました。 Windows にリモート接続し、Windows 10 バージョン以降では SMB2 および SMB3 ゲスト アクセスも無効化 1709. 目的は、悪意のある攻撃者が資格情報を必要とせずにサーバー上で悪意のあるコードをリモートで実行することを阻止することです。

そのため、Windows でゲスト認証を利用すると、ネットワーク パスが正しくないことに関するエラー メッセージが表示されます。 が見つかりました (エラー 0x80070035)、または無制限および未認証のゲストをブロックしている組織に関するメッセージ アクセス。 SMB2+ で推測アクセスを有効にするには、次のようにします。

Microsoftのガイドはこちら、最新の Windows 11 Insider ビルドでは役に立たず、おそらくこの変更が一般公開されれば将来の Windows エディションでも役に立たず、接続は失敗します。

Microsoft が推奨する修正プログラム ゲスト認証情報を使用したサードパーティ製デバイスへのアクセスを直ちに停止することです。 同社は、この手法を利用すれば誰でも監査証跡を残さずにデータにアクセスできるため、この行為を続けるとデータが危険にさらされると警告している。 デバイスメーカーは通常、より安全なアクセス形式の設定の複雑さに関して顧客とやり取りしたくないため、デフォルトでゲストアクセスを有効にしていると同社は強調している。 レドモンドの会社は、ベンダーのドキュメントを参照して有効にすることを推奨しています。 パスワードベースの認証がサポートされていない場合は、関連する認証を段階的に廃止する必要があります。 完全に製品です。

ただし、組織で SMB ゲスト アクセスを無効にすることができない場合、唯一の選択肢は次のとおりです。 SMB 署名を無効にします。会社のセキュリティに悪影響を与えるため、Microsoft は推奨しません。 姿勢。 いずれにせよ、Microsoft は SMB 署名を無効にする 3 つの方法を概説しており、その詳細を以下に示します。

  • グラフィカル (1 つのデバイス上のローカル グループ ポリシー)
    1. を開きます。 ローカルグループポリシーエディター (gpedit.msc) Windows デバイス上で。
    2. コンソール ツリーで、次を選択します。 [コンピュータの構成] > [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > [セキュリティ オプション].
    3. ダブルクリック Microsoft ネットワーク クライアント: 通信にデジタル署名を行う (常に).
    4. 選択する 無効 > OK.
  • コマンドライン (1 つのデバイス上の PowerShell)
    1. 管理者特権の PowerShell コンソールを開きます。
    2. 走る 
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • ドメインベースのグループ ポリシー (IT 管理のフリート上)
    1. この設定を Windows デバイスに適用するセキュリティ ポリシーを見つけます (GPRESULT /H を使用できます) クライアントは、どのグループ ポリシーが SMB 署名を必要としているかを示すポリシー レポートの結果セットを生成します。
    2. GPMC.MSC で、 [コンピュータの構成] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [ローカル ポリシー] > [セキュリティ オプション]。
    3. 設定 Microsoft ネットワーク クライアント: 通信にデジタル署名を行う (常に) 無効.
    4. SMB 経由のゲスト アクセスを必要とする Windows デバイスに更新されたポリシーを適用します。

次のステップに関して、Microsoft は、将来の Windows Insider リリースでエラー メッセージの改善と、グループ ポリシーでのより明確な説明に取り組む予定であると述べています。 オンラインで入手可能な Microsoft の関連ドキュメントも更新され、この変更と対応する回避策がより詳しく説明される予定です。 ただし、同社の全体的な推奨事項は、依然としてサードパーティ製デバイスからのゲスト アクセスを無効にすることです。