Microsoft는 Windows 11에서 SMB 인증 실패에 대한 해결 방법을 제공합니다.

컴퓨팅Jul 20, 2023

최근 Windows 11 Insider Enterprise 에디션에서 SMB 서명이 기본적으로 활성화되어 일부 오류가 발생했습니다. Microsoft는 이제 해결 방법을 가지고 있습니다.

1년여 전에 Microsoft는 더 이상 Windows 11 Home with Server Message Block 버전 1(SMB1)을 제공하지 않음, 그것은 한동안 안전하지 않은 것으로 간주되어 새로운 반복에 의해 계승된 매우 오래된 네트워크 보안 프로토콜이기 때문입니다. 즉, SMB는 Windows 11에 여전히 존재하며 실제로 회사는 Windows 참가자 엔터프라이즈 빌드의 기본 동작에 서명하는 SMB 이번달 초. 그러나 Microsoft는 특정 시나리오에서 SMB 인증이 실패한다는 사실을 알게 되었으며 이제 이 문제에 대한 해결 방법을 제공했습니다.

기본적으로 게스트 인증을 사용할 때 SMB 서명이 실패하기 때문에 Windows 11 Insider 빌드의 SMB 인증은 더 이상 게스트 로그온에 대해 작동하지 않습니다. 전송 중인 메시지의 서명을 생성하는 데 사용되는 키는 사용자의 암호에서 파생됩니다. 게스트 인증을 활성화하면 암호가 없습니다. 즉, 두 개념이 상호 배타적이므로 둘 다 가질 수 없습니다. 서명을 만드는 데 사용할 수 있는 사용자 암호가 없기 때문에 Windows는 현재 SMB 연결에 잠시 실패합니다. 암호가 필요한 SMB 서명 이후 게스트 클라이언트는 이제 특정 Windows 참가자에서 기본적으로 활성화됩니다. 빌드합니다.

이것이 정확히 행동의 급격한 변화가 아니라는 점에 유의하는 것이 중요합니다. Microsoft는 Windows 2000에서 기본적으로 게스트 로그온 허용을 중지하고 기본 제공 게스트 계정을 중지했습니다. Windows에 원격으로 연결하고 Windows 10 버전부터 SMB2 및 SMB3 게스트 액세스를 비활성화했습니다. 1709. 목표는 자격 증명을 요구하지 않고 악의적인 행위자가 서버에서 원격으로 악성 코드를 실행하지 못하도록 막는 것입니다.

따라서 Windows에서 게스트 인증을 활용하는 경우 네트워크 경로에 대한 오류 메시지가 표시되지 않습니다. 발견됨(오류 0x80070035) 또는 제한되지 않고 인증되지 않은 게스트를 차단하는 조직에 대한 메시지 입장. 다음을 수행하여 SMB2+에서 추측 액세스를 활성화할 수 있지만 마이크로소프트 가이드는 여기, 최신 Windows 11 Insider 빌드 및 이 변경 사항이 일반적으로 롤아웃되면 향후 Windows 버전에서는 도움이 되지 않으며 연결이 실패합니다.

Microsoft의 권장 수정 게스트 자격 증명을 사용하여 타사 장치에 대한 액세스를 즉시 중지하는 것입니다. 이 회사는 누구나 이 기술을 사용하여 감사 추적을 떠나지 않고 데이터에 액세스할 수 있으므로 이 동작을 계속하면 데이터가 위험에 처할 수 있다고 경고했습니다. 장치 제조업체는 보다 안전한 액세스 형식 설정의 복잡성과 관련하여 고객과 거래하기를 원하지 않기 때문에 일반적으로 기본적으로 게스트 액세스를 활성화한다고 강조했습니다. Redmond 회사는 공급업체의 설명서를 참조하여 활성화할 것을 권장했습니다. 암호 기반 인증이 지원되지 않는 경우 관련 인증을 단계적으로 중단해야 합니다. 제품을 완전히.

그러나 조직에서 SMB 게스트 액세스를 비활성화할 수 없는 경우 유일한 옵션은 회사 보안에 부정적인 영향을 미치므로 Microsoft에서 권장하지 않는 SMB 서명 비활성화 자세. 그럼에도 불구하고 Microsoft는 아래에 자세히 설명된 SMB 서명을 비활성화할 수 있는 세 가지 방법을 설명했습니다.

  • 그래픽(한 장치의 로컬 그룹 정책)
    1. 열기 로컬 그룹 정책 편집기 (gpedit.msc) Windows 장치에서.
    2. 콘솔 트리에서 선택 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션.
    3. 더블 클릭 Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상).
    4. 선택하다 장애가 있는 > 좋아요.
  • 명령줄(한 장치의 PowerShell)
    1. 관리자 권한 PowerShell 콘솔을 엽니다.
    2. 달리다 
세트-SmbClientConfiguration -RequireSecuritySignature $false
  • 도메인 기반 그룹 정책(IT 관리 플릿)
    1. 이 설정을 Windows 장치에 적용하는 보안 정책을 찾으십시오. SMB 서명이 필요한 그룹 정책을 보여 주는 결과 정책 보고서 세트를 생성하는 클라이언트.
    2. GPMC.MSC에서 다음을 변경합니다. 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션.
    3. 세트 Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상) 에게 장애가 있는.
    4. SMB를 통한 게스트 액세스가 필요한 Windows 장치에 업데이트된 정책을 적용합니다.

다음 단계와 관련하여 Microsoft는 오류 메시지를 개선하고 향후 Windows 참가자 릴리스에서 그룹 정책에 대한 명확한 설명을 제공할 것이라고 밝혔습니다. 온라인에서 사용할 수 있는 관련 Microsoft 설명서도 업데이트되어 이 변경 사항과 해당 해결 방법을 더 잘 설명합니다. 그러나 회사의 전반적인 권장 사항은 여전히 ​​타사 장치에서 게스트 액세스를 비활성화하는 것입니다.