Microsoft erbjuder en lösning för SMB-autentisering som misslyckas i Windows 11

SMB-signering aktiverades som standard i Windows 11 Insider Enterprise-utgåvor nyligen, vilket orsakade vissa fel. Microsoft har nu en lösning.

För över ett år sedan meddelade Microsoft att det kommer skickar inte längre Windows 11 Home med Server Message Block version 1 (SMB1), eftersom det är ett mycket gammalt nätverkssäkerhetsprotokoll som har ansetts osäkert under en tid och har efterföljts av nyare iterationer. Som sagt, SMB är fortfarande närvarande i Windows 11, och i själva verket gjorde företaget SMB signerar standardbeteendet i Windows Insider Enterprise builds Tidigare den här månaden. Microsoft har dock fått reda på att SMB-autentisering misslyckas i vissa scenarier, och som sådan har det nu erbjudit en lösning för problemet.

I huvudsak fungerar inte SMB-autentisering i Windows 11 Insider-byggnader för gästinloggningar längre eftersom SMB-signering misslyckas när du använder gästautentisering. Nyckeln som används för att generera en signatur för ett meddelande som skickas härleds från användarens lösenord. När du aktiverar gästautentisering finns det inget lösenord, vilket innebär att de två begreppen utesluter varandra, du kan inte ha båda. Eftersom det inte finns något användarlösenord tillgängligt för att skapa en signatur, misslyckas Windows för närvarande SMB-anslutningen för en gästklient eftersom SMB-signering - som kräver ett lösenord - nu är aktiverad som standard i vissa Windows Insider bygger.

Det är viktigt att notera att detta inte precis är en radikal förändring i beteende. Microsoft slutade tillåta gästinloggningar som standard tillbaka i Windows 2000, stoppade inbyggda gästkonton från fjärransluta till Windows och till och med inaktivera SMB2 och SMB3 gäståtkomst från och med Windows 10 version 1709. Syftet är att stoppa skadliga aktörer från att på distans exekvera skadlig kod på din server utan att kräva inloggningsuppgifter.

Som sådan, om du utnyttjar gästautentisering på Windows, kommer du att behandlas med felmeddelanden om nätverkssökvägen inte hittas (fel 0x80070035) eller ett meddelande om att din organisation blockerar obegränsad och oautentiserad gäst tillgång. Medan du kan aktivera gissningsåtkomst i SMB2+ genom att följa Microsofts guide här, det kommer inte att vara användbart i de senaste Windows 11 Insider-byggena - och förmodligen framtida utgåvor av Windows när den här ändringen rullas ut generellt - och anslutningen kommer att misslyckas.

Microsofts rekommenderade fix är att omedelbart sluta komma åt dina tredjepartsenheter med hjälp av gästuppgifter. Företaget har varnat för att om du fortsätter med detta beteende riskerar dina data eftersom vem som helst kan använda denna teknik för att komma åt dina data utan att lämna ett granskningsspår. Den har betonat att enhetstillverkare vanligtvis aktiverar gäståtkomst som standard eftersom de inte vill ta itu med kunder angående komplexiteten i att ställa in en säkrare form av åtkomst. Redmond-företaget har rekommenderat att du konsulterar din leverantörs dokumentation för att aktivera lösenordsbaserad autentisering och om det inte stöds bör du fasa ut den associerade produkten helt.

Men om det inte är möjligt för din organisation att inaktivera SMB-gäståtkomst är ditt enda alternativ att göra det inaktivera SMB-signering, vilket Microsoft inte rekommenderar eftersom det påverkar ditt företags säkerhet negativt hållning. Oavsett vilket har Microsoft beskrivit tre sätt på vilka du kan inaktivera SMB-signering, som beskrivs nedan:

  • Grafisk (lokal grupppolicy på en enhet)
    1. Öppna Lokal grupppolicyredigerare (gpedit.msc) på din Windows-enhet.
    2. Välj i konsolträdet Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Säkerhetsalternativ.
    3. Dubbelklicka Microsoft nätverksklient: Signera digitalt kommunikation (alltid).
    4. Välj Inaktiverad > OK.
  • Kommandorad (PowerShell på en enhet)
    1. Öppna en administratörsförhöjd PowerShell-konsol.
    2. Springa
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • Domänbaserad grupppolicy (på IT-hanterade flottor)
    1. Leta reda på säkerhetspolicyn som tillämpar den här inställningen på dina Windows-enheter (du kan använda GPRESULT /H på en klient för att generera en resulterande uppsättning policyrapporter för att visa vilken grupppolicy som kräver SMB-signering.
    2. I GPMC.MSC ändrar du Datorkonfiguration > Politik > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Säkerhetsalternativ.
    3. Uppsättning Microsoft nätverksklient: Signera digitalt kommunikation (alltid) till Inaktiverad.
    4. Tillämpa den uppdaterade policyn på Windows-enheter som behöver gäståtkomst via SMB.

När det gäller nästa steg har Microsoft noterat att de kommer att arbeta med att förbättra felmeddelandena och ha en tydligare beskrivning i grupppolicyn i framtida Windows Insider-utgåvor. Den tillhörande Microsoft-dokumentationen som är tillgänglig online kommer också att uppdateras för att bättre förklara denna förändring och motsvarande lösningar. Företagets övergripande rekommendation är dock fortfarande att inaktivera gäståtkomst från tredjepartsenheter.