SMB pasirašymas neseniai buvo įjungtas pagal numatytuosius nustatymus „Windows 11 Insider Enterprise“ leidimuose, todėl įvyko tam tikrų gedimų. „Microsoft“ dabar turi sprendimą.
Daugiau nei prieš metus „Microsoft“ paskelbė, kad tai padarys nebesiunčiama „Windows 11 Home“ su serverio pranešimų bloko 1 versija (SMB1), nes tai labai senas tinklo saugos protokolas, kuris kurį laiką buvo laikomas nesaugiu ir buvo pakeistas naujesnėmis iteracijomis. Be to, SMB vis dar yra „Windows 11“, o iš tikrųjų įmonė sukūrė SMB pasirašo pagal numatytuosius veiksmus Windows Insider Enterprise versijose anksčiau šį mėnesį. Tačiau „Microsoft“ sužinojo, kad tam tikrais atvejais SMB autentifikavimas nepavyksta, todėl dabar ji pasiūlė problemos sprendimą.
Iš esmės SMB autentifikavimas „Windows 11 Insider“ versijose nebeveikia svečiams prisijungiant, nes SMB pasirašymas nepavyksta, kai naudojate svečio autentifikavimą. Raktas, naudojamas siunčiamo pranešimo parašui generuoti, yra gaunamas iš vartotojo slaptažodžio. Kai įgalinate svečio autentifikavimą, slaptažodžio nėra, o tai reiškia, kad abi sąvokos yra viena kitą paneigiančios, negalite turėti abiejų. Kadangi nėra vartotojo slaptažodžio parašui sukurti, Windows šiuo metu tiesiog nepavyksta užmegzti SMB ryšio svečio klientas, nes SMB pasirašymas, kuriam reikalingas slaptažodis, dabar yra įjungtas pagal numatytuosius nustatymus tam tikrose „Windows Insider“. stato.
Svarbu pažymėti, kad tai nėra visiškai radikalus elgesio pokytis. „Microsoft“ nustojo leisti svečiams prisijungti pagal numatytuosius nustatymus sistemoje „Windows 2000“, sustabdė įtaisytąsias svečių paskyras nuotoliniu būdu prisijungti prie „Windows“ ir netgi išjungti SMB2 ir SMB3 svečio prieigą, pradedant nuo „Windows 10“ versijos 1709. Tikslas yra neleisti piktybiniams veikėjams nuotoliniu būdu vykdyti kenkėjiško kodo jūsų serveryje, nereikalaujant kredencialų.
Taigi, jei naudojate svečio autentifikavimą sistemoje „Windows“, jums bus pateikti klaidų pranešimai apie tinklo kelią, o ne rastas (0x80070035 klaida) arba pranešimas apie tai, kad jūsų organizacija blokuoja neribotą ir neautentifikuotą svečią prieiga. Nors galite įgalinti spėjimo prieigą SMB2+, atlikdami toliau nurodytus veiksmus „Microsoft“ vadovas čia, jis nebus naudingas naujausiose „Windows 11 Insider“ versijose (ir tikriausiai būsimuose „Windows“ leidimuose, kai šis pakeitimas bus išleistas apskritai), ir ryšys nutrūks.
„Microsoft“ rekomenduojamas pataisymas yra nedelsiant sustabdyti prieigą prie trečiųjų šalių įrenginių naudojant svečio kredencialus. Įmonė perspėjo, kad tęsiant tokį elgesį jūsų duomenims kyla pavojus, nes kiekvienas gali pasinaudoti šia technika, kad pasiektų jūsų duomenis nepalikdamas audito pėdsakų. Ji pabrėžė, kad įrenginių gamintojai paprastai suteikia svečio prieigą pagal numatytuosius nustatymus, nes nenori bendrauti su klientais dėl saugesnės prieigos formos nustatymo sudėtingumo. Redmondo įmonė rekomendavo peržiūrėti pardavėjo dokumentus, kad įgalintumėte slaptažodžiu pagrįstas autentifikavimas ir, jei jis nepalaikomas, turėtumėte laipsniškai atsisakyti susieto produktas visiškai.
Tačiau jei jūsų organizacijoje neįmanoma išjungti SMB svečio prieigos, vienintelė galimybė yra tai padaryti išjungti SMB pasirašymą, kurio „Microsoft“ nerekomenduoja, nes tai neigiamai veikia jūsų įmonės saugumą laikysena. Nepaisant to, „Microsoft“ apibūdino tris būdus, kuriais galite išjungti SMB pasirašymą, aprašytus toliau:
- Grafinis (vietinės grupės politika viename įrenginyje)
- Atidaryk Vietos grupės strategijos redaktorius (gpedit.msc) „Windows“ įrenginyje.
- Konsolės medyje pasirinkite Kompiuterio konfigūracija > „Windows“ nustatymai > saugos nustatymai > vietinė politika > saugos parinktys.
- Dukart spustelėkite „Microsoft“ tinklo klientas: skaitmeniniu būdu pasirašyti ryšius (visada).
- Pasirinkite Išjungta > Gerai.
- Komandinė eilutė („PowerShell“ viename įrenginyje)
- Atidarykite administratoriaus padidintą „PowerShell“ konsolę.
- Bėk
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Domenu pagrįsta grupės politika (IT valdomuose parkuose)
- Raskite saugos politiką, kuri taiko šį nustatymą jūsų „Windows“ įrenginiams (galite naudoti GPRESULT /H a klientas, kad sugeneruotų gautą politikos ataskaitos rinkinį, kad parodytų, kuriai grupės strategijai reikalingas SMB pasirašymas.
- GPMC.MSC pakeiskite Kompiuterio konfigūracija > Politikos > „Windows“ nustatymai > Saugos nustatymai > Vietinė politika > Saugos parinktys.
- Nustatyti „Microsoft“ tinklo klientas: skaitmeniniu būdu pasirašyti ryšius (visada) į Išjungta.
- Taikykite atnaujintą politiką „Windows“ įrenginiams, kuriems reikalinga svečio prieiga per SMB.
Kalbant apie tolesnius veiksmus, „Microsoft“ pažymėjo, kad ji stengsis tobulinti klaidų pranešimus ir turėti aiškesnį grupės strategijos aprašymą būsimuose „Windows Insider“ leidimuose. Susijusi Microsoft dokumentacija, pasiekiama internete, taip pat bus atnaujinta, kad būtų geriau paaiškintas šis pakeitimas ir atitinkami sprendimai. Tačiau bendra bendrovės rekomendacija vis tiek yra išjungti svečių prieigą iš trečiųjų šalių įrenginių.