Подписание SMB недавно было включено по умолчанию в выпусках Windows 11 Insider Enterprise, что вызвало некоторые сбои. Теперь у Microsoft есть обходной путь.
Более года назад Microsoft объявила, что больше не поставляется Windows 11 Home с блоком сообщений сервера версии 1 (SMB1), так как это очень старый протокол сетевой безопасности, который некоторое время считался небезопасным, и на смену ему пришли более новые версии. Тем не менее, SMB по-прежнему присутствует в Windows 11, и на самом деле компания сделала Подписание SMB — поведение по умолчанию в сборках Windows Insider Enterprise ранее в этом месяце. Однако Microsoft узнала, что аутентификация SMB не работает в определенных сценариях, и поэтому теперь предложила обходной путь для этой проблемы.
По сути, аутентификация SMB в сборках Windows 11 Insider больше не работает для гостевого входа, поскольку при использовании гостевой аутентификации происходит сбой подписи SMB. Ключ, используемый для создания подписи для отправляемого сообщения, является производным от пароля пользователя. Когда вы включаете гостевую аутентификацию, пароль отсутствует, а это означает, что эти две концепции взаимоисключающие, вы не можете иметь обе. Поскольку пароль пользователя для создания подписи недоступен, Windows в настоящее время просто прерывает соединение SMB для гостевой клиент с момента подписания SMB, для которого требуется пароль, теперь включен по умолчанию в некоторых программах предварительной оценки Windows. строит.
Важно отметить, что это не совсем радикальное изменение поведения. Microsoft прекратила разрешать гостевой вход по умолчанию еще в Windows 2000, остановила встроенные гостевые учетные записи из удаленное подключение к Windows и даже отключенный гостевой доступ SMB2 и SMB3, начиная с версии Windows 10 1709. Цель состоит в том, чтобы помешать злоумышленникам удаленно выполнять вредоносный код на вашем сервере без запроса учетных данных.
Таким образом, если вы используете гостевую аутентификацию в Windows, вы будете получать сообщения об ошибках о сетевом пути, а не найден (ошибка 0x80070035) или сообщение о том, что ваша организация блокирует неограниченный и не прошедший проверку подлинности гостевой доступ. Хотя вы можете включить доступ к угадыванию в SMB2+, следуя Руководство Майкрософт здесь, это не будет полезно в последних сборках Windows 11 Insider — и, предположительно, в будущих выпусках Windows после того, как это изменение вступит в силу — и соединение не будет установлено.
Рекомендуемое Microsoft исправление заключается в немедленном прекращении доступа к вашим сторонним устройствам с использованием гостевых учетных данных. Фирма предупредила, что продолжение такого поведения подвергает ваши данные риску, поскольку любой может использовать эту технику для доступа к вашим данным, не оставляя аудиторского следа. Было подчеркнуто, что производители устройств обычно включают гостевой доступ по умолчанию, потому что они не хотят иметь дело с клиентами в отношении сложности настройки более безопасной формы доступа. Фирма Редмонда рекомендовала вам ознакомиться с документацией вашего поставщика, чтобы включить аутентификацию на основе пароля, и если она не поддерживается, вам следует поэтапно отказаться от связанной с ней продукт полностью.
Однако, если отключение гостевого доступа SMB невозможно для вашей организации, единственным вариантом является отключить подпись SMB, которую Microsoft не рекомендует, так как это негативно влияет на безопасность вашей компании поза. Несмотря на это, Microsoft наметила три способа отключения подписи SMB, подробно описанные ниже:
- Графический (локальная групповая политика на одном устройстве)
- Открой Редактор локальной групповой политики (gpedit.msc) на вашем устройстве Windows.
- В дереве консоли выберите Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности.
- Двойной клик Сетевой клиент Microsoft: цифровая подпись сообщений (всегда).
- Выбирать Неполноценный > ХОРОШО.
- Командная строка (PowerShell на одном устройстве)
- Откройте консоль PowerShell с правами администратора.
- Бегать
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Групповая политика на основе домена (для парков, управляемых ИТ)
- Найдите политику безопасности, применяющую этот параметр к вашим устройствам Windows (вы можете использовать GPRESULT /H на client для создания результирующего набора отчетов о политике, чтобы показать, какая групповая политика требует подписи SMB.
- В GPMC.MSC измените Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности.
- Набор Сетевой клиент Microsoft: цифровая подпись сообщений (всегда) к Неполноценный.
- Примените обновленную политику к устройствам Windows, которым требуется гостевой доступ через SMB.
Что касается следующих шагов, Microsoft отметила, что будет работать над улучшением обмена сообщениями об ошибках и над более четким описанием в групповой политике в будущих выпусках Windows Insider. Соответствующая документация Microsoft, доступная в Интернете, также будет обновлена, чтобы лучше объяснить это изменение и соответствующие обходные пути. Однако общая рекомендация компании по-прежнему заключается в том, чтобы отключать гостевой доступ со сторонних устройств.