Podpisovanje SMB je bilo nedavno privzeto omogočeno v izdajah Windows 11 Insider Enterprise, kar je povzročilo nekaj napak. Microsoft ima zdaj rešitev.
Pred več kot letom dni je Microsoft napovedal, da bo Windows 11 Home s strežnikom Message Block različica 1 (SMB1) ni več dobavljen, saj gre za zelo star omrežni varnostni protokol, ki je že nekaj časa veljal za nevarnega in so ga nasledile novejše iteracije. Kljub temu je SMB še vedno prisoten v sistemu Windows 11 in dejansko je podjetje ustvarilo Podpisovanje SMB je privzeto vedenje v različicah Windows Insider Enterprise v začetku tega meseca. Vendar je Microsoft ugotovil, da preverjanje pristnosti SMB v določenih scenarijih ne uspe, in kot tako je zdaj ponudil rešitev za težavo.
V bistvu preverjanje pristnosti SMB v različicah Windows 11 Insider ne deluje več za prijave gostov, ker podpisovanje SMB ne uspe, ko uporabljate preverjanje pristnosti gostov. Ključ, ki se uporablja za ustvarjanje podpisa za sporočilo, ki se pošilja, izhaja iz uporabnikovega gesla. Ko omogočite gostujočo avtentikacijo, ni gesla, kar pomeni, da se koncepta med seboj izključujeta, ne morete imeti obeh. Ker ni na voljo uporabniškega gesla za ustvarjanje podpisa, Windows trenutno samo prekine povezavo SMB za a gostujoči odjemalec, saj je podpisovanje SMB – ki zahteva geslo – zdaj privzeto omogočeno v nekaterih programih Windows Insider gradi.
Pomembno je omeniti, da to ni ravno radikalna sprememba vedenja. Microsoft je v operacijskem sistemu Windows 2000 nehal dovoljevati prijave gostov privzeto, ustavil je vgrajene račune gostov iz povezovanje na daljavo z operacijskim sistemom Windows in celo onemogočen gostujoči dostop SMB2 in SMB3, začenši z različico sistema Windows 10 1709. Cilj je zlonamernim akterjem preprečiti oddaljeno izvajanje zlonamerne kode na vašem strežniku, ne da bi zahtevali poverilnice.
Če torej v sistemu Windows uporabljate preverjanje pristnosti gosta, boste prejeli sporočila o napaki o omrežni poti, ki ni najden (napaka 0x80070035) ali sporočilo o tem, da vaša organizacija blokira neomejenega in nepreverjenega gosta dostop. Medtem ko lahko omogočite ugibni dostop v SMB2+ tako, da sledite Microsoftov vodnik tukaj, ne bo v pomoč pri najnovejših različicah sistema Windows 11 Insider – in verjetno v prihodnjih izdajah sistema Windows, ko bo ta sprememba splošno uvedena – in povezava ne bo uspela.
Popravek, ki ga priporoča Microsoft je takojšnja ustavitev dostopa do vaših naprav tretjih oseb z uporabo poverilnic gosta. Podjetje je opozorilo, da nadaljevanje takšnega vedenja ogroža vaše podatke, saj lahko vsakdo uporabi to tehniko za dostop do vaših podatkov, ne da bi pustil revizijsko sled. Poudarjeno je, da proizvajalci naprav običajno privzeto omogočijo gostujoči dostop, ker se ne želijo ukvarjati s strankami glede kompleksnosti vzpostavitve varnejše oblike dostopa. Podjetje Redmond je priporočilo, da si ogledate dokumentacijo vašega prodajalca, da omogočite preverjanje pristnosti na podlagi gesla in če to ni podprto, postopoma odpravite povezano izdelek popolnoma.
Če pa onemogočanje gostujočega dostopa SMB za vašo organizacijo ni mogoče, je vaša edina možnost onemogočite podpisovanje SMB, česar Microsoft ne priporoča, saj negativno vpliva na varnost vašega podjetja drža. Ne glede na to je Microsoft opisal tri načine, na katere lahko onemogočite podpisovanje SMB, ki so podrobno opisani spodaj:
- Grafični (pravilnik lokalne skupine na eni napravi)
- Odprite Urejevalnik pravilnika lokalne skupine (gpedit.msc) v napravi Windows.
- V drevesu konzole izberite Konfiguracija računalnika > Nastavitve sistema Windows > Varnostne nastavitve > Lokalni pravilniki > Varnostne možnosti.
- Dvojni klik Microsoftov omrežni odjemalec: digitalno podpišite komunikacije (vedno).
- Izberite Onemogočeno > v redu.
- Ukazna vrstica (PowerShell v eni napravi)
- Odprite skrbniško povišano konzolo PowerShell.
- Teči
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Pravilnik skupine na podlagi domene (na voznih parkih, ki jih upravlja IT)
- Poiščite varnostni pravilnik, ki uporablja to nastavitev za vaše naprave Windows (uporabite lahko GPRESULT /H na odjemalec za ustvarjanje nastalega nabora poročil o pravilniku, ki pokaže, kateri pravilnik skupine zahteva podpisovanje SMB.
- V GPMC.MSC spremenite Konfiguracija računalnika > Pravilniki > Nastavitve sistema Windows > Varnostne nastavitve > Lokalni pravilniki > Varnostne možnosti.
- Set Microsoftov omrežni odjemalec: digitalno podpišite komunikacije (vedno) do Onemogočeno.
- Uporabite posodobljen pravilnik za naprave Windows, ki potrebujejo gostujoči dostop prek SMB.
Kar zadeva naslednje korake, je Microsoft ugotovil, da si bo prizadeval za izboljšanje sporočil o napakah in jasnejši opis v pravilniku skupine v prihodnjih izdajah programa Windows Insider. Povezana Microsoftova dokumentacija, ki je na voljo na spletu, bo prav tako posodobljena, da bo bolje razložila to spremembo in ustrezne rešitve. Vendar pa je splošno priporočilo podjetja še vedno onemogočanje gostujočega dostopa iz naprav tretjih oseb.