SMB-signering ble aktivert som standard i Windows 11 Insider Enterprise-utgaver nylig, noe som forårsaket noen feil. Microsoft har nå en løsning.
For over et år siden kunngjorde Microsoft at det vil gjøre det sender ikke lenger Windows 11 Home med Server Message Block versjon 1 (SMB1), siden det er en veldig gammel nettverkssikkerhetsprotokoll som har blitt ansett som usikker en stund og har blitt etterfulgt av nyere iterasjoner. Når det er sagt, er SMB fortsatt til stede i Windows 11, og faktisk laget selskapet SMB signerer standard oppførsel i Windows Insider Enterprise builds tidligere denne måneden. Microsoft har imidlertid fått vite at SMB-autentisering svikter i visse scenarier, og som sådan har det nå tilbudt en løsning for problemet.
I hovedsak fungerer ikke SMB-autentisering i Windows 11 Insider-bygg for gjestepålogginger lenger fordi SMB-signering mislykkes når du bruker gjesteautentisering. Nøkkelen som brukes til å generere en signatur for en melding som sendes, er avledet fra brukerens passord. Når du aktiverer gjesteautentisering, er det ikke noe passord, noe som betyr at de to konseptene utelukker hverandre, du kan ikke ha begge. Siden det ikke er noe brukerpassord tilgjengelig for å lage en signatur, svikter Windows for øyeblikket bare SMB-tilkoblingen for en gjesteklient siden SMB-signering - som krever et passord - nå er aktivert som standard i visse Windows Insider bygger.
Det er viktig å merke seg at dette ikke akkurat er en radikal endring i atferd. Microsoft sluttet å tillate gjestepålogginger som standard tilbake i Windows 2000, stoppet innebygde gjestekontoer fra ekstern tilkobling til Windows, og til og med deaktivert SMB2- og SMB3-gjestetilgang fra og med Windows 10-versjonen 1709. Målet er å stoppe ondsinnede aktører fra å eksternt utføre ondsinnet kode på serveren din uten å kreve legitimasjon.
Som sådan, hvis du utnytter gjesteautentisering på Windows, vil du bli behandlet på feilmeldinger om nettverksbanen ikke blir funnet (feil 0x80070035) eller en melding om at organisasjonen din blokkerer ubegrenset og uautentisert gjest adgang. Mens du kan aktivere gjettetilgang i SMB2+ ved å følge Microsofts guide her, vil det ikke være nyttig i de siste Windows 11 Insider-byggene - og antagelig fremtidige utgaver av Windows når denne endringen rulles ut generelt - og tilkoblingen vil mislykkes.
Microsofts anbefalte løsning er å umiddelbart slutte å få tilgang til tredjepartsenhetene dine ved å bruke gjestelegitimasjon. Firmaet har advart om at å fortsette med denne oppførselen setter dataene dine i fare, ettersom alle kan bruke denne teknikken for å få tilgang til dataene dine uten å forlate et revisjonsspor. Den har understreket at enhetsprodusenter vanligvis aktiverer gjestetilgang som standard fordi de ikke ønsker å forholde seg til kunder angående kompleksiteten ved å sette opp en sikrere form for tilgang. Redmond-firmaet har anbefalt at du konsulterer leverandørens dokumentasjon for å aktivere passordbasert autentisering, og hvis det ikke støttes, bør du fase ut den tilknyttede produktet fullstendig.
Men hvis deaktivering av SMB-gjestetilgang ikke er mulig for organisasjonen din, er det eneste alternativet å gjøre det deaktiver SMB-signering, noe Microsoft ikke anbefaler siden det påvirker bedriftens sikkerhet negativt holdning. Uansett har Microsoft skissert tre måter du kan deaktivere SMB-signering på, beskrevet nedenfor:
- Grafisk (lokal gruppepolicy på én enhet)
- Åpne Redaktør for lokal gruppepolicy (gpedit.msc) på din Windows-enhet.
- Velg i konsolltreet Datamaskinkonfigurasjon > Windows-innstillinger > Sikkerhetsinnstillinger > Lokale retningslinjer > Sikkerhetsalternativer.
- Dobbeltklikk Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid).
- Plukke ut Funksjonshemmet > OK.
- Kommandolinje (PowerShell på én enhet)
- Åpne en administratoropphøyd PowerShell-konsoll.
- Løpe
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Domenebasert gruppepolicy (på IT-administrerte flåter)
- Finn sikkerhetspolicyen som bruker denne innstillingen på Windows-enhetene dine (du kan bruke GPRESULT /H på en klient for å generere et resulterende sett med policyrapporter for å vise hvilken gruppepolicy som krever SMB-signering.
- I GPMC.MSC endrer du Datamaskinkonfigurasjon > Politikker > Windows-innstillinger > Sikkerhetsinnstillinger > Lokale retningslinjer > Sikkerhetsalternativer.
- Sett Microsoft-nettverksklient: Signer kommunikasjon digitalt (alltid) til Funksjonshemmet.
- Bruk den oppdaterte policyen på Windows-enheter som trenger gjestetilgang via SMB.
Når det gjelder neste trinn, har Microsoft notert seg at de vil jobbe med å forbedre feilmeldingene og ha en klarere beskrivelse i gruppepolicy i fremtidige Windows Insider-utgivelser. Den tilknyttede Microsoft-dokumentasjonen som er tilgjengelig på nettet, vil også bli oppdatert for å bedre forklare denne endringen og de tilsvarende løsningene. Imidlertid er selskapets generelle anbefaling fortsatt å deaktivere gjestetilgang fra tredjepartsenheter.