СМБ потписивање је недавно подразумевано омогућено у издањима Виндовс 11 Инсидер Ентерприсе, што је изазвало неке грешке. Мицрософт сада има решење.
Пре више од годину дана, Мицрософт је најавио да ће више не испоручује Виндовс 11 Хоме са серверским блоком порука верзије 1 (СМБ1), пошто се ради о веома старом мрежном безбедносном протоколу који се неко време сматра несигурним и који су га наследиле новије итерације. Уз то, СМБ је и даље присутан у оперативном систему Виндовс 11, а у ствари, компанија је направила СМБ потписивање подразумевано понашање у Виндовс Инсидер Ентерприсе верзијама раније овог месеца. Међутим, Мицрософт је сазнао да СМБ аутентификација не успева у одређеним сценаријима, и као такав, сада је понудио решење за овај проблем.
У суштини, СМБ аутентификација у верзијама Виндовс 11 Инсидер више не ради за пријављивање гостију јер СМБ потписивање не успева када користите аутентификацију госта. Кључ који се користи за генерисање потписа за поруку која се шаље је изведен из корисничке лозинке. Када омогућите аутентификацију госта, нема лозинке, што значи да се два концепта међусобно искључују, не можете имати оба. Пошто нема доступне корисничке лозинке за креирање потписа, Виндовс тренутно једноставно прекида СМБ везу за а гост клијент пошто је СМБ потписивање – за које је потребна лозинка – сада подразумевано омогућено у одређеним Виндовс Инсајдерима гради.
Важно је напоменути да ово није баш радикална промена у понашању. Мицрософт је престао да подразумевано дозвољава пријављивање гостију у Виндовс 2000, зауставио је уграђене гостујуће налоге од даљинско повезивање са Виндовс-ом, па чак и онемогућио СМБ2 и СМБ3 приступ за госте почевши од верзије Виндовс 10 1709. Циљ је да се спречи злонамерни актери да даљински извршавају злонамерни код на вашем серверу без захтевања акредитива.
Као такав, ако користите аутентификацију госта на Виндовс-у, биће вам третиране поруке о грешци о мрежној путањи која није бити пронађен (грешка 0к80070035) или порука о томе да ваша организација блокира неограниченог и неауторизованог госта приступ. Док можете да омогућите приступ нагађању у СМБ2+ тако што ћете пратити Мицрософтов водич овде, неће бити од помоћи у најновијим верзијама Виндовс 11 Инсајдера – и вероватно будућим издањима Виндовс-а када се ова промена уведе генерално – и веза неће успети.
Исправка коју препоручује Мицрософт је да одмах престанете да приступате вашим уређајима трећих страна користећи акредитиве за госте. Компанија је упозорила да наставак оваквог понашања доводи ваше податке у опасност јер свако може да користи ову технику за приступ вашим подацима без остављања ревизорског трага. Нагласио је да произвођачи уређаја обично подразумевано омогућавају приступ гостима јер не желе да се баве клијентима у вези са сложеношћу постављања безбеднијег облика приступа. Фирма из Редмонда је препоручила да консултујете документацију вашег продавца да бисте омогућили аутентификацију засновану на лозинки и ако то није подржано, требало би да постепено укинете повезане производ у потпуности.
Међутим, ако онемогућавање приступа СМБ гостију није могуће за вашу организацију, једина опција је да онемогућите СМБ потписивање, што Мицрософт не препоручује јер негативно утиче на безбедност ваше компаније држање. Без обзира на то, Мицрософт је навео три начина на које можете да онемогућите СМБ потписивање, детаљно у наставку:
- Графички (смернице локалне групе на једном уређају)
- Отвори Уредник локалних групних политика (гпедит.мсц) на вашем Виндовс уређају.
- У стаблу конзоле изаберите Конфигурација рачунара > Подешавања оперативног система Виндовс > Безбедносна подешавања > Локалне смернице > Безбедносне опције.
- Дупли клик Мицрософт мрежни клијент: Дигитално потписујте комуникације (увек).
- Изаберите Онемогућено > У реду.
- Командна линија (ПоверСхелл на једном уређају)
- Отворите ПоверСхелл конзолу са вишим нивоом администратора.
- Трцати
Сет-СмбЦлиентЦонфигуратион -РекуиреСецуритиСигнатуре $фалсе
- Групна политика заснована на домену (на флотама којима управља ИТ)
- Пронађите безбедносну политику која примењује ово подешавање на ваше Виндовс уређаје (можете да користите ГПРЕСУЛТ /Х на клијент да генерише резултујући скуп извештаја о смерницама да покаже које смернице групе захтевају СМБ потписивање.
- У ГПМЦ.МСЦ промените Конфигурација рачунара > Смернице > Виндовс подешавања > Безбедносне поставке > Локалне смернице > Безбедносне опције.
- Комплет Мицрософт мрежни клијент: Дигитално потписујте комуникације (увек) до Онемогућено.
- Примените ажуриране смернице на Виндовс уређаје којима је потребан гостујући приступ преко СМБ.
Што се тиче наредних корака, Мицрософт је приметио да ће радити на побољшању порука о грешкама и јаснијем опису групних политика у будућим издањима Виндовс Инсајдера. Повезана Мицрософт документација доступна на мрежи ће такође бити ажурирана како би се боље објаснила ова промена и одговарајућа решења. Међутим, општа препорука компаније је и даље да се онемогући приступ гостима са уређаја трећих страна.