SMB imzalama, son zamanlarda Windows 11 Insider Enterprise sürümlerinde varsayılan olarak etkinleştirildi ve bazı hatalara neden oldu. Microsoft'un artık bir geçici çözümü var.
Bir yıldan fazla bir süre önce Microsoft, Sunucu İleti Bloğu sürüm 1 (SMB1) içeren Windows 11 Home artık gönderilmemektedir, çünkü bir süredir güvensiz olarak kabul edilen ve daha yeni yinelemelerle yerini alan çok eski bir ağ güvenlik protokolüdür. Bununla birlikte, SMB hala Windows 11'de mevcuttur ve aslında şirket Windows Insider Enterprise yapılarında varsayılan davranışı imzalayan SMB bu aydan daha erken. Ancak Microsoft, SMB kimlik doğrulamasının belirli senaryolarda başarısız olduğunu öğrendi ve bu nedenle sorun için şimdi bir geçici çözüm önerdi.
Esasen, Windows 11 Insider derlemelerindeki SMB kimlik doğrulaması artık konuk oturum açma işlemleri için çalışmıyor çünkü konuk kimlik doğrulamasını kullanırken SMB imzalama başarısız oluyor. Gönderilmekte olan bir mesaj için imza oluşturmak için kullanılan anahtar, kullanıcının şifresinden türetilir. Konuk kimlik doğrulamasını etkinleştirdiğinizde parola yoktur, yani iki kavram birbirini dışlar, ikisine birden sahip olamazsınız. İmza oluşturmak için kullanılabilir bir kullanıcı parolası olmadığından, Windows şu anda SMB bağlantısını bir Parola gerektiren SMB imzalamasından bu yana konuk istemci, artık belirli Windows Insider'da varsayılan olarak etkindir inşa eder.
Bunun davranışta tam olarak radikal bir değişiklik olmadığını not etmek önemlidir. Microsoft, Windows 2000'de varsayılan olarak konuk oturumlarına izin vermeyi durdurdu, yerleşik Konuk hesaplarını Windows'a uzaktan bağlanma ve hatta Windows 10 sürümünden başlayarak SMB2 ve SMB3 konuk erişimini devre dışı bırakma 1709. Amaç, kötü niyetli aktörlerin kimlik bilgileri gerektirmeden sunucunuzda uzaktan kötü amaçlı kod yürütmesini durdurmaktır.
Bu nedenle, Windows'ta konuk kimlik doğrulamasından yararlanırsanız, ağ yolu ile ilgili hata mesajlarıyla değil, Bulunma (hata 0x80070035) veya kuruluşunuzun kısıtlanmamış ve kimliği doğrulanmamış konuğu engellemesiyle ilgili bir mesaj erişim. Aşağıdakileri izleyerek SMB2+'da tahmin erişimini etkinleştirebilirsiniz. Microsoft'un kılavuzu burada, en son Windows 11 Insider derlemelerinde - ve muhtemelen bu değişiklik genel olarak kullanıma sunulduğunda Windows'un gelecekteki sürümlerinde - yardımcı olmayacak ve bağlantı başarısız olacaktır.
Microsoft'un önerilen düzeltmesi konuk kimlik bilgilerini kullanarak üçüncü taraf cihazlarınıza erişimi derhal durdurmaktır. Firma, herhangi birinin bir denetim izi bırakmadan verilerinize erişmek için bu tekniği kullanabileceğinden, bu davranışa devam etmenin verilerinizi riske atacağı konusunda uyardı. Cihaz üreticilerinin, daha güvenli bir erişim biçimi kurmanın karmaşıklığı konusunda müşterilerle uğraşmak istemedikleri için genellikle varsayılan olarak misafir erişimini etkinleştirdikleri vurgulanmıştır. Redmond firması, etkinleştirmek için satıcınızın belgelerine başvurmanızı tavsiye etti. parola tabanlı kimlik doğrulama ve bu desteklenmiyorsa, ilişkili ürün tamamen.
Ancak, kuruluşunuz için SMB misafir erişimini devre dışı bırakmak mümkün değilse, tek seçeneğiniz şirketinizin güvenliğini olumsuz etkilediği için Microsoft'un önermediği SMB imzalamayı devre dışı bırakın duruş. Ne olursa olsun, Microsoft, aşağıda ayrıntıları verilen SMB imzalamayı devre dışı bırakmanın üç yolunu özetlemiştir:
- Grafiksel (bir cihazda yerel grup ilkesi)
- Aç Yerel Grup İlkesi Düzenleyicisi (gpedit.msc) Windows cihazınızda.
- Konsol ağacında şunu seçin: Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Güvenlik Seçenekleri.
- Çift tıklama Microsoft ağ istemcisi: İletişimleri dijital olarak imzalayın (her zaman).
- Seçme Engelli > TAMAM.
- Komut satırı (bir cihazda PowerShell)
- Yönetici tarafından yükseltilmiş bir PowerShell konsolu açın.
- Koşmak
Set-SmbClientConfiguration -RequireSecuritySignature $yanlış
- Etki alanı tabanlı grup ilkesi (BT tarafından yönetilen filolarda)
- Bu ayarı Windows cihazlarınıza uygulayan güvenlik ilkesini bulun (bir bilgisayarda GPRESULT /H kullanabilirsiniz). istemci, hangi grup ilkesinin SMB imzalaması gerektirdiğini göstermek için bir sonuç ilke raporu kümesi oluşturur.
- GPMC.MSC'de, Bilgisayar Yapılandırması > İlkeler > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Güvenlik Seçenekleri.
- Ayarlamak Microsoft ağ istemcisi: İletişimleri dijital olarak imzalayın (her zaman) ile Engelli.
- Güncellenen ilkeyi, SMB üzerinden konuk erişimine ihtiyaç duyan Windows cihazlarına uygulayın.
Sonraki adımlar açısından Microsoft, gelecekteki Windows Insider sürümlerinde hata mesajını iyileştirmeye ve grup ilkesinde daha net bir açıklamaya sahip olmaya çalışacağını belirtti. Çevrimiçi olarak sunulan ilgili Microsoft belgeleri de bu değişikliği ve ilgili geçici çözümleri daha iyi açıklamak için güncellenecektir. Bununla birlikte, şirketin genel tavsiyesi, üçüncü taraf cihazlardan konuk erişimini devre dışı bırakmaktır.