Microsoft გთავაზობთ გამოსავალს SMB ავთენტიფიკაციის წარუმატებლობისთვის Windows 11-ში

გამოთვლაJul 20, 2023

SMB ხელმოწერა ნაგულისხმევად ჩართული იყო Windows 11 Insider Enterprise გამოცემებში ახლახან, რამაც გამოიწვია გარკვეული წარუმატებლობები. Microsoft-ს ახლა გამოსავალი აქვს.

ერთ წელზე მეტი ხნის წინ Microsoft-მა გამოაცხადა, რომ ეს იქნება აღარ გაიგზავნება Windows 11 Home სერვერის შეტყობინებების ბლოკის ვერსია 1 (SMB1), რადგან ეს არის ძალიან ძველი ქსელის უსაფრთხოების პროტოკოლი, რომელიც გარკვეული პერიოდის განმავლობაში არასაიმედოდ ითვლებოდა და მას შემდეგ ახალი გამეორებები მიიღეს. ამის თქმით, SMB კვლავ იმყოფება Windows 11-ში და ფაქტობრივად, კომპანიამ გააკეთა SMB ხელმოწერის ნაგულისხმევი ქცევა Windows Insider Enterprise build-ებში ამ თვის დასაწყისში. თუმცა, Microsoft-მა შეიტყო, რომ SMB ავთენტიფიკაცია გარკვეულ სცენარებში ვერ ხერხდება და, როგორც ასეთი, ახლა შესთავაზა პრობლემის გადაჭრა.

არსებითად, SMB ავთენტიფიკაცია Windows 11 Insider-ის ნაგებობებში აღარ მუშაობს სტუმრების შესვლისთვის, რადგან SMB ხელმოწერა ვერ ხერხდება, როდესაც თქვენ იყენებთ სტუმრის ავტორიზაციას. გასაღები, რომელიც გამოიყენება გაგზავნილი შეტყობინებისთვის ხელმოწერის შესაქმნელად, გამომდინარეობს მომხმარებლის პაროლიდან. როდესაც თქვენ ჩართავთ სტუმრის ავთენტიფიკაციას, არ არის პაროლი, რაც ნიშნავს, რომ ეს ორი კონცეფცია ურთიერთგამომრიცხავია, თქვენ არ შეგიძლიათ ორივე. ვინაიდან არ არსებობს მომხმარებლის პაროლი ხელმოწერის შესაქმნელად, Windows ამჟამად უბრალოდ ვერ ახერხებს SMB კავშირის ა სტუმარი კლიენტი SMB ხელმოწერის შემდეგ - რომელიც საჭიროებს პაროლს - ახლა ნაგულისხმევად ჩართულია ზოგიერთ Windows Insider-ში აშენებს.

მნიშვნელოვანია აღინიშნოს, რომ ეს არ არის ქცევის რადიკალური ცვლილება. მაიკროსოფტმა შეაჩერა სტუმრების შესვლა ნაგულისხმევად Windows 2000-ში, შეაჩერა სტუმრების ჩაშენებული ანგარიშები. Windows-თან დისტანციურად დაკავშირება და SMB2 და SMB3 სტუმრების წვდომაც კი გამორთულია Windows 10 ვერსიით დაწყებული 1709. მიზანია შეაჩეროს მავნე მოქმედი პირები დისტანციურად შეასრულონ მავნე კოდი თქვენს სერვერზე სერთიფიკატების მოთხოვნის გარეშე.

როგორც ასეთი, თუ თქვენ იყენებთ სტუმრის ავთენტიფიკაციას Windows-ზე, თქვენ მიიღებთ შეცდომის შეტყობინებებს ქსელის გზის შესახებ ნაპოვნია (შეცდომა 0x80070035) ან შეტყობინება თქვენი ორგანიზაციის შესახებ, რომელიც ბლოკავს შეუზღუდავი და დაუდასტურებელი სტუმრის წვდომა. მიუხედავად იმისა, რომ თქვენ შეგიძლიათ ჩართოთ გამოსაცნობი წვდომა SMB2+-ში შემდეგით Microsoft-ის სახელმძღვანელო აქ, ეს არ იქნება გამოსადეგი Windows 11 Insider-ის უახლეს ნაგებობებში - და სავარაუდოდ Windows-ის მომავალ გამოცემებში, როგორც კი ეს ცვლილება ზოგადად გამოვა - და კავშირი ვერ მოხდება.

Microsoft-ის რეკომენდირებული შესწორება არის დაუყოვნებლივ შეწყვიტოთ თქვენს მესამე მხარის მოწყობილობებზე წვდომა სტუმრის რწმუნებათა სიგელების გამოყენებით. ფირმამ გააფრთხილა, რომ ამ ქცევის გაგრძელება თქვენს მონაცემებს საფრთხის ქვეშ აყენებს, რადგან ნებისმიერს შეუძლია გამოიყენოს ეს ტექნიკა თქვენს მონაცემებზე წვდომისთვის აუდიტის კვალის დატოვების გარეშე. მან ხაზგასმით აღნიშნა, რომ მოწყობილობების მწარმოებლები, როგორც წესი, უშვებენ სტუმრების წვდომას ნაგულისხმევად, რადგან მათ არ სურთ მომხმარებლებთან ურთიერთობა წვდომის უფრო უსაფრთხო ფორმის დაყენების სირთულესთან დაკავშირებით. რედმონდის ფირმამ გირჩიათ, რომ ჩართოთ თქვენი გამყიდველის დოკუმენტაცია პაროლზე დაფუძნებული ავტორიზაცია და თუ ეს არ არის მხარდაჭერილი, თქვენ უნდა გააუქმოთ ასოცირებული პროდუქტი მთლიანად.

თუმცა, თუ თქვენი ორგანიზაციისთვის SMB სტუმრების წვდომის გამორთვა შეუძლებელია, თქვენი ერთადერთი ვარიანტია გამორთეთ SMB ხელმოწერა, რასაც Microsoft არ გირჩევთ, რადგან ეს უარყოფითად აისახება თქვენი კომპანიის უსაფრთხოებაზე პოზა. მიუხედავად ამისა, Microsoft-მა გამოავლინა სამი გზა, რომლითაც შეგიძლიათ გამორთოთ SMB ხელმოწერა, დეტალურად ქვემოთ:

  • გრაფიკული (ადგილობრივი ჯგუფის პოლიტიკა ერთ მოწყობილობაზე)
    1. Გააღე ადგილობრივი ჯგუფის პოლიტიკის რედაქტორი (gpedit.msc) თქვენს Windows მოწყობილობაზე.
    2. კონსოლის ხეში აირჩიეთ კომპიუტერის კონფიგურაცია > Windows პარამეტრები > უსაფრთხოების პარამეტრები > ლოკალური პოლიტიკა > უსაფრთხოების პარამეტრები.
    3. ორჯერ დააწკაპუნეთ Microsoft-ის ქსელის კლიენტი: კომუნიკაციების ციფრული ხელმოწერა (ყოველთვის).
    4. აირჩიეთ გამორთულია > კარგი.
  • ბრძანების ხაზი (PowerShell ერთ მოწყობილობაზე)
    1. გახსენით ადმინისტრატორის მიერ ამაღლებული PowerShell კონსოლი.
    2. გაიქეცი 
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • დომენზე დაფუძნებული ჯგუფის პოლიტიკა (IT მართულ ფლოტებზე)
    1. იპოვნეთ უსაფრთხოების პოლიტიკა, რომელიც იყენებს ამ პარამეტრს თქვენს Windows მოწყობილობებზე (შეგიძლიათ გამოიყენოთ GPRESULT/H კლიენტმა შექმნას პოლიტიკის ანგარიშის შედეგიანი ნაკრები, რათა აჩვენოს, რომელი ჯგუფის პოლიტიკა მოითხოვს SMB ხელმოწერას.
    2. GPMC.MSC-ში შეცვალეთ კომპიუტერის კონფიგურაცია > პოლიტიკა > Windows პარამეტრები > უსაფრთხოების პარამეტრები > ლოკალური პოლიტიკა > უსაფრთხოების პარამეტრები.
    3. კომპლექტი Microsoft-ის ქსელის კლიენტი: კომუნიკაციების ციფრული ხელმოწერა (ყოველთვის) რომ გამორთულია.
    4. გამოიყენეთ განახლებული პოლიტიკა Windows მოწყობილობებზე, რომლებსაც სტუმრის წვდომა სჭირდებათ SMB-ზე.

შემდეგი ნაბიჯების კუთხით, Microsoft-მა აღნიშნა, რომ ის იმუშავებს შეცდომის შეტყობინებების გაუმჯობესებაზე და ჯგუფურ პოლიტიკაში უფრო მკაფიო აღწერაზე Windows Insider-ის მომავალ გამოშვებებში. ასევე განახლდება დაკავშირებული Microsoft-ის დოკუმენტაცია, რომელიც ხელმისაწვდომია ონლაინ რეჟიმში, რათა უკეთ აიხსნას ეს ცვლილება და შესაბამისი გამოსავალი. თუმცა, კომპანიის საერთო რეკომენდაცია მაინც არის მესამე მხარის მოწყობილობებიდან სტუმრების წვდომის გამორთვა.