Podpisywanie SMB było ostatnio domyślnie włączone w wersjach Windows 11 Insider Enterprise, powodując pewne awarie. Microsoft ma teraz obejście.
Ponad rok temu Microsoft ogłosił, że tak nie dostarczają już systemu Windows 11 Home z blokiem komunikatów serwera w wersji 1 (SMB1), ponieważ jest to bardzo stary protokół bezpieczeństwa sieci, który przez pewien czas był uważany za niebezpieczny i został zastąpiony nowszymi iteracjami. To powiedziawszy, SMB jest nadal obecny w systemie Windows 11 i tak naprawdę firma stworzyła Podpisywanie SMB domyślne zachowanie w kompilacjach programu Windows Insider Enterprise wcześniej w tym miesiącu. Jednak Microsoft dowiedział się, że uwierzytelnianie SMB kończy się niepowodzeniem w niektórych scenariuszach i dlatego oferuje teraz obejście tego problemu.
Zasadniczo uwierzytelnianie SMB w kompilacjach systemu Windows 11 Insider nie działa już w przypadku logowania gości, ponieważ podpisywanie SMB kończy się niepowodzeniem podczas korzystania z uwierzytelniania gościa. Klucz używany do generowania podpisu dla wysyłanej wiadomości pochodzi z hasła użytkownika. Gdy włączysz uwierzytelnianie gościa, nie ma hasła, co oznacza, że te dwie koncepcje wzajemnie się wykluczają, nie możesz mieć obu. Ponieważ nie ma dostępnego hasła użytkownika do utworzenia podpisu, system Windows obecnie po prostu nie może nawiązać połączenia SMB przez a klient-gość, ponieważ podpisywanie SMB — które wymaga hasła — jest teraz domyślnie włączone w niektórych niejawnych testerach systemu Windows buduje.
Należy zauważyć, że nie jest to radykalna zmiana zachowania. Microsoft przestał domyślnie zezwalać na logowanie gości w systemie Windows 2000, zatrzymał wbudowane konta gości łączenie się zdalnie z systemem Windows, a nawet wyłączanie dostępu gości SMB2 i SMB3 począwszy od wersji Windows 10 1709. Celem jest powstrzymanie złośliwych aktorów przed zdalnym wykonywaniem złośliwego kodu na twoim serwerze bez wymagania poświadczeń.
W związku z tym, jeśli użyjesz uwierzytelniania gościa w systemie Windows, nie będziesz otrzymywać komunikatów o błędach dotyczących ścieżki sieciowej znalezienie (błąd 0x80070035) lub wiadomość o tym, że Twoja organizacja blokuje nieograniczonego i nieuwierzytelnionego gościa dostęp. Chociaż możesz włączyć dostęp zgadywania w SMB2 +, wykonując następujące czynności Przewodnik Microsoft tutaj, nie będzie to pomocne w najnowszych kompilacjach systemu Windows 11 Insider – i prawdopodobnie przyszłych wersjach systemu Windows, gdy ta zmiana zostanie ogólnie wprowadzona – a połączenie się nie powiedzie.
Zalecana poprawka firmy Microsoft jest natychmiastowe zaprzestanie uzyskiwania dostępu do urządzeń innych firm przy użyciu poświadczeń gościa. Firma ostrzega, że kontynuowanie tego zachowania naraża twoje dane na ryzyko, ponieważ każdy może wykorzystać tę technikę, aby uzyskać dostęp do twoich danych bez pozostawiania śladu audytu. Podkreślono, że producenci urządzeń zazwyczaj domyślnie umożliwiają dostęp dla gości, ponieważ nie chcą mieć do czynienia z klientami w zakresie złożoności konfiguracji bezpieczniejszej formy dostępu. Firma z Redmond zaleciła zapoznanie się z dokumentacją dostawcy w celu włączenia uwierzytelnianie oparte na haśle, a jeśli nie jest obsługiwane, należy wycofać powiązane produkt całkowicie.
Jeśli jednak wyłączenie dostępu dla gości SMB nie jest możliwe w Twojej organizacji, jedyną opcją jest to zrobić wyłącz podpisywanie SMB, czego firma Microsoft nie zaleca, ponieważ negatywnie wpływa to na bezpieczeństwo Twojej firmy postawa. Niezależnie od tego firma Microsoft przedstawiła trzy sposoby wyłączenia podpisywania SMB, szczegółowo opisane poniżej:
- Graficzny (polityka grupy lokalnej na jednym urządzeniu)
- Otworzyć Edytor lokalnych zasad grupy (gpedit.msc) na urządzeniu z systemem Windows.
- W drzewie konsoli wybierz Konfiguracja komputera > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Opcje zabezpieczeń.
- Podwójne kliknięcie Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze).
- Wybierać Wyłączony > OK.
- Wiersz poleceń (PowerShell na jednym urządzeniu)
- Otwórz konsolę programu PowerShell z uprawnieniami administratora.
- Uruchomić
Set-SmbClientConfiguration-RequireSecuritySignature $false
- Zasady grupowe oparte na domenie (w przypadku flot zarządzanych przez dział IT)
- Znajdź zasady bezpieczeństwa stosujące to ustawienie do urządzeń z systemem Windows (możesz użyć GPRESULT /H na a klienta, aby wygenerował wynikowy zestaw raportów zasad, aby pokazać, które zasady grupy wymagają podpisania SMB.
- W GPMC.MSC zmień plik Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Opcje zabezpieczeń.
- Ustawić Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) Do Wyłączony.
- Zastosuj zaktualizowane zasady do urządzeń z systemem Windows wymagających dostępu gościa przez SMB.
Jeśli chodzi o kolejne kroki, Microsoft zauważył, że będzie pracował nad ulepszeniem komunikatów o błędach i jaśniejszym opisem zasad grupy w przyszłych wydaniach programu Windows Insider. Powiązana dokumentacja firmy Microsoft dostępna online również zostanie zaktualizowana, aby lepiej wyjaśnić tę zmianę i odpowiednie obejścia. Jednak ogólną rekomendacją firmy jest nadal wyłączanie dostępu dla gości z urządzeń innych firm.