SMB-ondertekening was recentelijk standaard ingeschakeld in Windows 11 Insider Enterprise-edities, wat enkele fouten veroorzaakte. Microsoft heeft nu een oplossing.
Meer dan een jaar geleden kondigde Microsoft aan dat dit zal gebeuren verzenden niet langer Windows 11 Home met Server Message Block versie 1 (SMB1), aangezien het een heel oud netwerkbeveiligingsprotocol is dat al enige tijd als onveilig werd beschouwd en is opgevolgd door nieuwere iteraties. Dat gezegd hebbende, SMB is nog steeds aanwezig in Windows 11, en in feite heeft het bedrijf het gemaakt SMB-ondertekening het standaardgedrag in Windows Insider Enterprise-builds eerder deze maand. Microsoft heeft echter vernomen dat SMB-authenticatie in bepaalde scenario's mislukt en heeft daarom nu een oplossing voor het probleem aangeboden.
In wezen werkt SMB-authenticatie in Windows 11 Insider-builds niet meer voor gastaanmeldingen omdat SMB-ondertekening mislukt wanneer u gastauthenticatie gebruikt. De sleutel die wordt gebruikt om een handtekening te genereren voor een bericht dat wordt verzonden, is afgeleid van het wachtwoord van de gebruiker. Wanneer u gastauthenticatie inschakelt, is er geen wachtwoord, wat betekent dat de twee concepten elkaar uitsluiten, u kunt niet beide hebben. Aangezien er geen gebruikerswachtwoord beschikbaar is om een handtekening te maken, mislukt Windows momenteel gewoon de SMB-verbinding voor een gastclient sinds SMB-ondertekening - waarvoor een wachtwoord vereist is - nu standaard is ingeschakeld in bepaalde Windows Insider bouwt.
Het is belangrijk op te merken dat dit niet bepaald een radicale gedragsverandering is. Microsoft stopte standaard met het toestaan van gastaanmeldingen in Windows 2000, stopte met ingebouwde gastaccounts op afstand verbinding maken met Windows, en zelfs SMB2- en SMB3-gasttoegang uitgeschakeld vanaf de Windows 10-versie 1709. Het doel is om te voorkomen dat kwaadwillende actoren op afstand schadelijke code op uw server uitvoeren zonder dat hiervoor inloggegevens nodig zijn.
Als u gastauthenticatie op Windows gebruikt, wordt u dus getrakteerd op foutmeldingen over het netwerkpad niet wordt gevonden (fout 0x80070035) of een bericht over uw organisatie die onbeperkte en niet-geverifieerde gast blokkeert toegang. Hoewel u goktoegang in SMB2+ kunt inschakelen door te volgen De handleiding van Microsoft hier, zal het niet nuttig zijn in de nieuwste Windows 11 Insider-builds - en vermoedelijk toekomstige edities van Windows zodra deze wijziging algemeen wordt uitgerold - en zal de verbinding mislukken.
De door Microsoft aanbevolen oplossing is om onmiddellijk te stoppen met toegang tot uw apparaten van derden met behulp van gastreferenties. Het bedrijf heeft gewaarschuwd dat het doorgaan met dit gedrag uw gegevens in gevaar brengt, aangezien iedereen deze techniek kan gebruiken om toegang te krijgen tot uw gegevens zonder een auditspoor achter te laten. Het heeft benadrukt dat apparaatfabrikanten doorgaans standaard gasttoegang inschakelen, omdat ze niet met klanten te maken willen hebben over de complexiteit van het opzetten van een veiligere vorm van toegang. De firma Redmond heeft aanbevolen dat u de documentatie van uw leverancier raadpleegt om in te schakelen op wachtwoord gebaseerde authenticatie en als dat niet wordt ondersteund, moet u de bijbehorende product volledig.
Als het uitschakelen van SMB-gasttoegang echter niet mogelijk is voor uw organisatie, is uw enige optie om dit te doen schakel SMB-ondertekening uit, wat Microsoft niet aanbeveelt omdat het een negatieve invloed heeft op de beveiliging van uw bedrijf houding. Hoe dan ook, Microsoft heeft drie manieren geschetst waarop u SMB-ondertekening kunt uitschakelen, hieronder beschreven:
- Grafisch (lokaal groepsbeleid op één apparaat)
- Open de Editor voor lokaal groepsbeleid (gpedit.msc) op uw Windows-apparaat.
- Selecteer in de consolestructuur Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.
- Dubbelklik Microsoft-netwerkclient: communicatie digitaal ondertekenen (altijd).
- Selecteer Gehandicapt > OK.
- Opdrachtregel (PowerShell op één apparaat)
- Open een PowerShell-console met beheerdersrechten.
- Loop
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Domeingebaseerd groepsbeleid (op door IT beheerde wagenparken)
- Zoek het beveiligingsbeleid dat deze instelling toepast op uw Windows-apparaten (u kunt GPRESULT /H gebruiken op een client om een resulterende set beleidsrapporten te genereren om aan te geven welk groepsbeleid SMB-ondertekening vereist.
- Wijzig in GPMC.MSC de Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.
- Set Microsoft-netwerkclient: communicatie digitaal ondertekenen (altijd) naar Gehandicapt.
- Pas het bijgewerkte beleid toe op Windows-apparaten die gasttoegang via SMB nodig hebben.
Wat de volgende stappen betreft, heeft Microsoft opgemerkt dat het zal werken aan het verbeteren van de foutberichten en een duidelijkere beschrijving van het groepsbeleid in toekomstige Windows Insider-releases. De bijbehorende Microsoft-documentatie die online beschikbaar is, wordt ook bijgewerkt om deze wijziging en de bijbehorende tijdelijke oplossingen beter uit te leggen. De algemene aanbeveling van het bedrijf is echter nog steeds om gasttoegang vanaf apparaten van derden uit te schakelen.