Microsoft piedāvā risinājumu, ja SMB autentifikācija neizdodas operētājsistēmā Windows 11

DatortehnikaJul 20, 2023
click fraud protection

SMB parakstīšana nesen tika iespējota pēc noklusējuma Windows 11 Insider Enterprise izdevumos, izraisot dažas kļūmes. Microsoft tagad ir risinājums.

Vairāk nekā pirms gada Microsoft paziņoja, ka to darīs vairs nepiegādā Windows 11 Home ar servera ziņojumu bloka versiju 1 (SMB1), jo tas ir ļoti vecs tīkla drošības protokols, kas kādu laiku tika uzskatīts par nedrošu un kuram ir izdevies izmantot jaunākas iterācijas. Tas nozīmē, ka SMB joprojām ir pieejams operētājsistēmā Windows 11, un patiesībā uzņēmums to izveidoja SMB parakstīšanas noklusējuma darbība Windows Insider Enterprise būvējumos šī mēneša sākumā. Tomēr Microsoft ir uzzinājis, ka noteiktos scenārijos SMB autentifikācija neizdodas, un tāpēc tagad ir piedāvāts risinājums šai problēmai.

Būtībā SMB autentifikācija Windows 11 Insider būvējumos vairs nedarbojas viesa pieteikšanās gadījumā, jo SMB parakstīšana neizdodas, kad izmantojat viesa autentifikāciju. Nosūtāmā ziņojuma paraksta ģenerēšanai izmantotā atslēga tiek iegūta no lietotāja paroles. Iespējojot viesa autentifikāciju, paroles nav, kas nozīmē, ka abi jēdzieni ir viens otru izslēdzoši, un jums nevar būt abus. Tā kā nav pieejama lietotāja parole, lai izveidotu parakstu, Windows pašlaik vienkārši neizdodas izveidot SMB savienojumu a viesa klients, jo SMB parakstīšana, kurai nepieciešama parole, tagad ir iespējota pēc noklusējuma noteiktās Windows Insider būvē.

Ir svarīgi atzīmēt, ka tā nav gluži radikāla uzvedības maiņa. Microsoft pēc noklusējuma pārtrauca viesa pieteikšanos sistēmā Windows 2000, apturēja iebūvētos viesu kontus no attālināta savienojuma izveide ar Windows un pat atspējota SMB2 un SMB3 viesa piekļuve, sākot ar Windows 10 versiju 1709. Mērķis ir neļaut ļaunprātīgiem dalībniekiem attālināti izpildīt ļaunprātīgu kodu jūsu serverī, neprasot akreditācijas datus.

Tādējādi, ja izmantojat viesa autentifikāciju operētājsistēmā Windows, jums tiks parādīti kļūdu ziņojumi par tīkla ceļu, nevis tiek atrasta (kļūda 0x80070035) vai ziņojums par to, ka jūsu organizācija bloķē neierobežotu un neautentificētu viesu piekļuvi. Lai gan SMB2+ varat iespējot piekļuvi minējumiem, sekojot Microsoft rokasgrāmata šeit, tas nebūs noderīgs jaunākajās Windows 11 Insider versijās — un, iespējams, arī turpmākajos Windows izdevumos, tiklīdz šīs izmaiņas tiks ieviestas kopumā, un savienojums neizdosies.

Microsoft ieteiktais labojums ir nekavējoties pārtraukt piekļuvi savām trešās puses ierīcēm, izmantojot viesa akreditācijas datus. Uzņēmums ir brīdinājis, ka, turpinot šādu rīcību, jūsu dati tiek apdraudēti, jo ikviens var izmantot šo paņēmienu, lai piekļūtu jūsu datiem, neatstājot audita pēdas. Tā ir uzsvērusi, ka ierīču ražotāji parasti pēc noklusējuma nodrošina viesu piekļuvi, jo viņi nevēlas sazināties ar klientiem par drošāka piekļuves veida iestatīšanas sarežģītību. Redmondas uzņēmums ir ieteicis iepazīties ar pārdevēja dokumentāciju, lai to iespējotu uz paroli balstīta autentifikācija un, ja tā netiek atbalstīta, pakāpeniski pārtrauciet saistīto produkts pilnībā.

Tomēr, ja jūsu organizācijai nav iespējams atspējot SMB viesa piekļuvi, jūsu vienīgā iespēja ir atspējot SMB parakstīšanu, ko Microsoft neiesaka, jo tas negatīvi ietekmē jūsu uzņēmuma drošību poza. Neatkarīgi no tā, Microsoft ir izklāstījis trīs veidus, kā jūs varat atspējot SMB parakstīšanu, kas sīkāk aprakstīti tālāk:

  • Grafiska (vietējās grupas politika vienā ierīcē)
    1. Atveriet Vietējās grupas politikas redaktors (gpedit.msc) savā Windows ierīcē.
    2. Konsoles kokā atlasiet Datora konfigurācija> Windows iestatījumi> Drošības iestatījumi> Vietējās politikas> Drošības opcijas.
    3. Dubultklikšķi Microsoft tīkla klients: digitāli parakstiet sakarus (vienmēr).
    4. Izvēlieties Atspējots > labi.
  • Komandrinda (PowerShell vienā ierīcē)
    1. Atveriet administratora līmeņa PowerShell konsoli.
    2. Skrien 
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Uz domēnu balstīta grupas politika (IT pārvaldītajos autoparkos)
    1. Atrodiet drošības politiku, kas piemēro šo iestatījumu jūsu Windows ierīcēm (varat izmantot GPRESULT /H uz a klientam, lai ģenerētu iegūto politikas pārskatu kopu, lai parādītu, kurai grupas politikai ir nepieciešama SMB parakstīšana.
    2. Vietnē GPMC.MSC mainiet Datora konfigurācija > Politikas > Windows iestatījumi > Drošības iestatījumi > Vietējās politikas > Drošības opcijas.
    3. Iestatīt Microsoft tīkla klients: digitāli parakstiet sakarus (vienmēr) uz Atspējots.
    4. Lietojiet atjaunināto politiku Windows ierīcēm, kurām nepieciešama viesa piekļuve, izmantojot SMB.

Runājot par turpmākajām darbībām, Microsoft ir atzīmējusi, ka tā strādās pie kļūdu ziņojuma uzlabošanas un skaidrāka apraksta grupas politikā turpmākajos Windows Insider laidienos. Tiks atjaunināta arī saistītā Microsoft dokumentācija, kas ir pieejama tiešsaistē, lai labāk izskaidrotu šīs izmaiņas un atbilstošos risinājumus. Tomēr uzņēmuma vispārējais ieteikums joprojām ir atspējot viesu piekļuvi no trešo pušu ierīcēm.