A assinatura SMB foi habilitada por padrão nas edições do Windows 11 Insider Enterprise recentemente, causando algumas falhas. A Microsoft agora tem uma solução alternativa.
Há mais de um ano, a Microsoft anunciou que não enviamos mais o Windows 11 Home com Server Message Block versão 1 (SMB1), já que é um protocolo de segurança de rede muito antigo que foi considerado inseguro por algum tempo e foi sucedido por iterações mais recentes. Dito isto, o SMB ainda está presente no Windows 11 e, de fato, a empresa fez SMB assinando o comportamento padrão nas compilações do Windows Insider Enterprise no início deste mês. No entanto, a Microsoft descobriu que a autenticação SMB está falhando em determinados cenários e, como tal, agora oferece uma solução alternativa para o problema.
Essencialmente, a autenticação SMB nas compilações do Windows 11 Insider não está mais funcionando para logons de convidados porque a assinatura SMB falha quando você está utilizando a autenticação de convidados. A chave usada para gerar uma assinatura para uma mensagem que está sendo enviada é derivada da senha do usuário. Quando você habilita a autenticação de convidado, não há senha, o que significa que os dois conceitos são mutuamente exclusivos, você não pode ter os dois. Como não há senha de usuário disponível para criar uma assinatura, o Windows atualmente apenas falha na conexão SMB por um cliente convidado, pois a assinatura SMB - que requer uma senha - agora está habilitada por padrão em determinados Windows Insider constrói.
É importante notar que esta não é exatamente uma mudança radical de comportamento. A Microsoft parou de permitir logons de convidados por padrão no Windows 2000, interrompeu as contas de convidados integradas de conectando-se remotamente ao Windows e até mesmo desabilitando o acesso de convidado SMB2 e SMB3 a partir da versão Windows 10 1709. O objetivo é impedir que atores mal-intencionados executem remotamente códigos maliciosos em seu servidor sem a necessidade de credenciais.
Dessa forma, se você aproveitar a autenticação de convidado no Windows, receberá mensagens de erro sobre o caminho de rede não sendo encontrado (erro 0x80070035) ou uma mensagem sobre sua organização bloqueando convidados irrestritos e não autenticados acesso. Embora você possa habilitar o acesso por palpite no SMB2+ seguindo Guia da Microsoft aqui, não será útil nas compilações mais recentes do Windows 11 Insider - e presumivelmente nas edições futuras do Windows assim que essa alteração for lançada em geral - e a conexão falhará.
Correção recomendada pela Microsoft é parar imediatamente de acessar seus dispositivos de terceiros usando credenciais de convidado. A empresa alertou que continuar com esse comportamento coloca seus dados em risco, pois qualquer pessoa pode utilizar essa técnica para acessar seus dados sem deixar uma trilha de auditoria. Ele enfatizou que os fabricantes de dispositivos geralmente permitem o acesso de convidado por padrão porque não querem lidar com os clientes em relação à complexidade de configurar uma forma de acesso mais segura. A firma de Redmond recomendou que você consulte a documentação do seu fornecedor para habilitar autenticação baseada em senha e se isso não for suportado, você deve eliminar gradualmente o associado produto completamente.
No entanto, se desabilitar o acesso de convidado SMB não for possível para sua organização, sua única opção é desativar a assinatura SMB, que a Microsoft não recomenda, pois afeta negativamente a segurança da sua empresa postura. Independentemente disso, a Microsoft descreveu três maneiras pelas quais você pode desabilitar a assinatura SMB, detalhadas abaixo:
- Gráfico (política de grupo local em um dispositivo)
- Abra o Editor de Diretiva de Grupo Local (gpedit.msc) em seu dispositivo Windows.
- Na árvore do console, selecione Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas locais > Opções de segurança.
- Duplo click Cliente de rede Microsoft: Assine digitalmente as comunicações (sempre).
- Selecione Desabilitado > OK.
- Linha de comando (PowerShell em um dispositivo)
- Abra um console do PowerShell elevado pelo administrador.
- Correr
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Política de grupo baseada em domínio (em frotas gerenciadas por TI)
- Localize a política de segurança que aplica esta configuração aos seus dispositivos Windows (você pode usar GPRESULT /H em um cliente para gerar um conjunto resultante de relatório de política para mostrar qual política de grupo está exigindo assinatura SMB.
- Em GPMC.MSC, altere o Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas locais > Opções de segurança.
- Definir Cliente de rede Microsoft: Assine digitalmente as comunicações (sempre) para Desabilitado.
- Aplique a política atualizada aos dispositivos Windows que precisam de acesso de convidado por SMB.
Em termos das próximas etapas, a Microsoft observou que trabalhará para melhorar as mensagens de erro e ter uma descrição mais clara na política de grupo em versões futuras do Windows Insider. A documentação associada da Microsoft disponível online também será atualizada para explicar melhor essa alteração e as soluções alternativas correspondentes. No entanto, a recomendação geral da empresa ainda é desabilitar o acesso de convidados de dispositivos de terceiros.