Microsoft เสนอวิธีแก้ปัญหาสำหรับการรับรองความถูกต้อง SMB ที่ล้มเหลวใน Windows 11

การลงนาม SMB ถูกเปิดใช้งานโดยค่าเริ่มต้นใน Windows 11 รุ่น Insider Enterprise เมื่อเร็วๆ นี้ ทำให้เกิดความล้มเหลวบางประการ ขณะนี้ Microsoft มีวิธีแก้ปัญหา

เมื่อปีที่แล้ว Microsoft ได้ประกาศว่าจะ ไม่จัดส่ง Windows 11 Home พร้อม Server Message Block เวอร์ชัน 1 (SMB1) อีกต่อไปเนื่องจากเป็นโปรโตคอลความปลอดภัยเครือข่ายที่เก่ามากซึ่งถือว่าไม่ปลอดภัยมาระยะหนึ่งแล้ว และประสบความสำเร็จด้วยการทำซ้ำที่ใหม่กว่า ที่กล่าวว่า SMB ยังคงมีอยู่ใน Windows 11 และในความเป็นจริงแล้ว บริษัทได้สร้างขึ้น SMB ลงนามลักษณะการทำงานเริ่มต้นในการสร้าง Windows Insider Enterprise เมื่อต้นเดือนนี้ อย่างไรก็ตาม Microsoft ได้เรียนรู้ว่าการรับรองความถูกต้องของ SMB ล้มเหลวในบางสถานการณ์ และด้วยเหตุนี้ Microsoft จึงได้เสนอวิธีแก้ปัญหาสำหรับปัญหานี้

โดยพื้นฐานแล้ว การรับรองความถูกต้องด้วย SMB ใน Windows 11 Insider บิวด์จะไม่ทำงานสำหรับการเข้าสู่ระบบของผู้เยี่ยมชมอีกต่อไป เนื่องจากการเซ็นชื่อ SMB ล้มเหลวเมื่อคุณใช้การรับรองความถูกต้องของผู้เยี่ยมชม คีย์ที่ใช้สร้างลายเซ็นสำหรับข้อความที่ถูกส่งนั้นมาจากรหัสผ่านของผู้ใช้ เมื่อคุณเปิดใช้งานการรับรองความถูกต้องของแขก จะไม่มีรหัสผ่าน ซึ่งหมายความว่าแนวคิดทั้งสองเป็นเอกสิทธิ์ร่วมกัน คุณไม่สามารถมีทั้งสองอย่างได้ เนื่องจากไม่มีรหัสผ่านผู้ใช้สำหรับสร้างลายเซ็น ปัจจุบัน Windows จึงล้มเหลวในการเชื่อมต่อ SMB สำหรับ a ไคลเอนต์ผู้เยี่ยมชมตั้งแต่การเซ็นชื่อ SMB - ซึ่งต้องใช้รหัสผ่าน - ขณะนี้เปิดใช้งานตามค่าเริ่มต้นใน Windows Insider บางตัว สร้าง

สิ่งสำคัญคือต้องสังเกตว่านี่ไม่ใช่การเปลี่ยนแปลงพฤติกรรมอย่างสิ้นเชิง Microsoft หยุดอนุญาตการเข้าสู่ระบบของผู้เยี่ยมชมตามค่าเริ่มต้นใน Windows 2000 หยุดบัญชีผู้เยี่ยมชมในตัวจาก เชื่อมต่อกับ Windows จากระยะไกล และแม้กระทั่งปิดใช้งานการเข้าถึงของแขก SMB2 และ SMB3 ที่เริ่มต้นด้วยเวอร์ชัน Windows 10 1709. เป้าหมายคือหยุดผู้ไม่ประสงค์ดีไม่ให้รันโค้ดอันตรายบนเซิร์ฟเวอร์ของคุณจากระยะไกลโดยไม่ต้องใช้ข้อมูลประจำตัว

ดังนั้น หากคุณใช้ประโยชน์จากการรับรองความถูกต้องของแขกบน Windows คุณจะได้รับข้อความแสดงข้อผิดพลาดเกี่ยวกับเส้นทางเครือข่าย พบ (ข้อผิดพลาด 0x80070035) หรือข้อความเกี่ยวกับองค์กรของคุณที่บล็อกผู้เยี่ยมชมที่ไม่ถูกจำกัดและไม่ผ่านการตรวจสอบสิทธิ์ เข้าถึง. ในขณะที่คุณสามารถเปิดใช้งานการเข้าถึงแบบคาดเดาใน SMB2+ ได้โดยทำตาม คู่มือของ Microsoft ที่นี่จะไม่มีประโยชน์ใน Windows 11 Insider รุ่นล่าสุด และ Windows รุ่นต่อๆ ไปเมื่อการเปลี่ยนแปลงนี้เริ่มใช้โดยทั่วไป และการเชื่อมต่อจะล้มเหลว

การแก้ไขที่แนะนำของ Microsoft คือการหยุดการเข้าถึงอุปกรณ์ของบุคคลที่สามทันทีโดยใช้ข้อมูลประจำตัวของแขก บริษัทเตือนว่าพฤติกรรมเช่นนี้ต่อไปจะทำให้ข้อมูลของคุณตกอยู่ในความเสี่ยง เนื่องจากใครก็ตามสามารถใช้เทคนิคนี้เพื่อเข้าถึงข้อมูลของคุณโดยไม่ต้องทิ้งร่องรอยการตรวจสอบ มีการเน้นย้ำว่าผู้ผลิตอุปกรณ์มักจะเปิดใช้งานการเข้าถึงแบบผู้เยี่ยมชมโดยค่าเริ่มต้น เนื่องจากพวกเขาไม่ต้องการจัดการกับลูกค้าเกี่ยวกับความซับซ้อนในการตั้งค่ารูปแบบการเข้าถึงที่ปลอดภัยยิ่งขึ้น บริษัท Redmond แนะนำให้คุณศึกษาเอกสารประกอบของผู้ขายเพื่อเปิดใช้งาน การรับรองความถูกต้องด้วยรหัสผ่านและหากไม่รองรับ คุณควรเลิกใช้งานที่เกี่ยวข้อง ผลิตภัณฑ์อย่างสมบูรณ์

อย่างไรก็ตาม หากองค์กรของคุณปิดใช้งานการเข้าถึงแบบผู้เยี่ยมชม SMB ไม่ได้ ตัวเลือกเดียวของคุณคือปิด ปิดใช้งานการลงชื่อด้วย SMB ซึ่ง Microsoft ไม่แนะนำ เนื่องจากจะส่งผลเสียต่อความปลอดภัยของบริษัทของคุณ ท่าทาง โดยไม่คำนึงว่า Microsoft ได้สรุปสามวิธีที่คุณสามารถปิดใช้งานการเซ็นชื่อ SMB โดยมีรายละเอียดด้านล่าง:

  • แบบกราฟิก (นโยบายกลุ่มท้องถิ่นบนอุปกรณ์เดียว)
    1. เปิด ตัวแก้ไขนโยบายกลุ่มภายใน (gpedit.msc) บนอุปกรณ์ Windows ของคุณ
    2. ในทรีคอนโซล เลือก การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายท้องถิ่น > ตัวเลือกความปลอดภัย.
    3. ดับเบิลคลิก ไคลเอนต์เครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ).
    4. เลือก พิการ > ตกลง.
  • บรรทัดคำสั่ง (PowerShell บนอุปกรณ์เดียว)
    1. เปิดคอนโซล PowerShell ที่ยกระดับผู้ดูแลระบบ
    2. วิ่ง
Set-SmbClientConfiguration -RequireSecuritySignature $false
  • นโยบายกลุ่มตามโดเมน (บนฟลีทที่จัดการโดย IT)
    1. ค้นหานโยบายความปลอดภัยที่ใช้การตั้งค่านี้กับอุปกรณ์ Windows ของคุณ (คุณสามารถใช้ GPRESULT /H ในไฟล์ a ไคลเอนต์เพื่อสร้างชุดผลลัพธ์ของรายงานนโยบายเพื่อแสดงว่านโยบายกลุ่มใดที่ต้องมีการเซ็นชื่อ SMB
    2. ใน GPMC.MSC ให้เปลี่ยน การกำหนดค่าคอมพิวเตอร์ > นโยบาย > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายท้องถิ่น > ตัวเลือกความปลอดภัย
    3. ชุด ไคลเอนต์เครือข่าย Microsoft: เซ็นชื่อแบบดิจิทัลในการสื่อสาร (เสมอ) ถึง พิการ.
    4. ใช้นโยบายที่อัปเดตกับอุปกรณ์ Windows ที่ต้องการการเข้าถึงแบบผู้เยี่ยมชมผ่าน SMB

ในแง่ของขั้นตอนต่อไป Microsoft ได้ตั้งข้อสังเกตว่าจะปรับปรุงการส่งข้อความแสดงข้อผิดพลาดและมีคำอธิบายที่ชัดเจนยิ่งขึ้นในนโยบายกลุ่มในการเปิดตัว Windows Insider ในอนาคต นอกจากนี้ เอกสาร Microsoft ที่เกี่ยวข้องที่มีให้ทางออนไลน์จะได้รับการอัปเดตเพื่ออธิบายการเปลี่ยนแปลงนี้และวิธีแก้ปัญหาที่เกี่ยวข้องได้ดียิ่งขึ้น อย่างไรก็ตาม คำแนะนำโดยรวมของบริษัทยังคงเป็นการปิดการเข้าถึงของแขกจากอุปกรณ์ของบุคคลที่สาม