Podpisovanie SMB bolo predvolene povolené vo vydaniach Windows 11 Insider Enterprise nedávno, čo spôsobilo určité zlyhania. Microsoft má teraz riešenie.
Pred viac ako rokom Microsoft oznámil, že to urobí už sa nedodáva Windows 11 Home s blokom správ servera verzie 1 (SMB1), keďže ide o veľmi starý sieťový bezpečnostný protokol, ktorý bol nejaký čas považovaný za nezabezpečený a bol nahradený novšími iteráciami. To znamená, že malé a stredné podniky sú stále prítomné v systéme Windows 11 a v skutočnosti to urobila spoločnosť SMB podpisujúce predvolené správanie v zostavách Windows Insider Enterprise začiatkom tohto mesiaca. Spoločnosť Microsoft sa však dozvedela, že autentifikácia SMB v určitých scenároch zlyháva, a ako taká teraz ponúkla riešenie tohto problému.
Overenie SMB v zostavách Windows 11 Insider už v podstate nefunguje pri prihlasovaní hostí, pretože pri používaní overovania hosťa zlyhá podpisovanie SMB. Kľúč používaný na generovanie podpisu pre odosielanú správu je odvodený od hesla používateľa. Keď povolíte autentifikáciu hosťa, neexistuje žiadne heslo, čo znamená, že tieto dva koncepty sa navzájom vylučujú, nemôžete mať oboje. Keďže nie je k dispozícii žiadne heslo používateľa na vytvorenie podpisu, systému Windows momentálne zlyhá pripojenie SMB pre a hosťujúceho klienta, pretože podpisovanie SMB – ktoré vyžaduje heslo – je teraz v niektorých programoch Windows Insider predvolene povolené stavia.
Je dôležité poznamenať, že to nie je úplne radikálna zmena v správaní. Spoločnosť Microsoft prestala štandardne povoľovať prihlasovanie hostí v systéme Windows 2000 a zastavila vstavané účty hostí vzdialené pripojenie k Windowsu a dokonca aj zakázanie prístupu hostí SMB2 a SMB3 počnúc verziou Windowsu 10 1709. Cieľom je zabrániť škodlivým aktérom vzdialene spúšťať škodlivý kód na vašom serveri bez vyžadovania poverení.
Ak teda v systéme Windows využijete autentifikáciu hosťa, budú sa vám zobrazovať chybové hlásenia o sieťovej ceste nie nachádza sa (chyba 0x80070035) alebo správa o tom, že vaša organizácia blokuje neobmedzeného a neovereného hosťa prístup. Aj keď môžete povoliť prístup hádania v SMB2+ sledovaním Sprievodca Microsoftu tu, nebude to užitočné v najnovších zostavách Windows 11 Insider – a pravdepodobne budúcich vydaniach Windowsu, keď sa táto zmena všeobecne zavedie – a pripojenie zlyhá.
Oprava odporúčaná spoločnosťou Microsoft je okamžite zastaviť prístup k vašim zariadeniam tretích strán pomocou prihlasovacích údajov hosťa. Spoločnosť varovala, že pokračovanie v tomto správaní ohrozuje vaše údaje, pretože ktokoľvek môže využiť túto techniku na prístup k vašim údajom bez zanechania auditnej stopy. Zdôraznil, že výrobcovia zariadení zvyčajne štandardne povoľujú prístup pre hostí, pretože sa nechcú so zákazníkmi zaoberať zložitosťou nastavenia bezpečnejšej formy prístupu. Redmondská firma vám odporučila, aby ste si túto možnosť povolili v dokumentácii vášho predajcu overenie založené na hesle a ak to nie je podporované, mali by ste postupne zrušiť pridružené produkt úplne.
Ak však zakázanie prístupu hosťa SMB nie je pre vašu organizáciu možné, vašou jedinou možnosťou je zakázať podpisovanie SMB, čo spoločnosť Microsoft neodporúča, pretože to negatívne ovplyvňuje bezpečnosť vašej spoločnosti držanie tela. Bez ohľadu na to spoločnosť Microsoft načrtla tri spôsoby, ako môžete zakázať podpisovanie SMB, podrobne uvedené nižšie:
- Grafické (zásady miestnej skupiny na jednom zariadení)
- Otvor Editor miestnej politiky skupiny (gpedit.msc) na vašom zariadení so systémom Windows.
- V strome konzoly vyberte Konfigurácia počítača > Nastavenia systému Windows > Nastavenia zabezpečenia > Miestne zásady > Možnosti zabezpečenia.
- Dvojité kliknutie Sieťový klient Microsoft: Digitálne podpisovanie komunikácie (vždy).
- Vyberte Zakázané > OK.
- Príkazový riadok (PowerShell na jednom zariadení)
- Otvorte konzolu PowerShell vylepšenú správcom.
- Bežať
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Zásady skupiny založené na doméne (na flotilách spravovaných IT)
- Nájdite bezpečnostnú politiku aplikujúcu toto nastavenie na vaše Windows zariadenia (môžete použiť GPRESULT /H na a klient vygeneruje výslednú sadu správ o politike, ktorá ukáže, ktorá skupinová politika vyžaduje podpísanie SMB.
- V GPMC.MSC zmeňte Konfigurácia počítača > Zásady > Nastavenia systému Windows > Nastavenia zabezpečenia > Miestne zásady > Možnosti zabezpečenia.
- Set Sieťový klient Microsoft: Digitálne podpisovanie komunikácie (vždy) do Zakázané.
- Použite aktualizované zásady na zariadenia so systémom Windows, ktoré potrebujú prístup hosťa cez SMB.
Pokiaľ ide o ďalšie kroky, spoločnosť Microsoft poznamenala, že bude pracovať na zlepšení chybových správ a na jasnejšom popise v zásadách skupiny v budúcich vydaniach programu Windows Insider. Súvisiaca dokumentácia spoločnosti Microsoft dostupná online bude tiež aktualizovaná, aby lepšie vysvetlila túto zmenu a príslušné riešenia. Celkovým odporúčaním spoločnosti je však stále zakázať prístup hostí zo zariadení tretích strán.