Підписування SMB нещодавно було ввімкнено за замовчуванням у версіях Windows 11 Insider Enterprise, що спричиняло деякі збої. Microsoft тепер має обхідний шлях.
Більше року тому Microsoft оголосила, що це зробить більше не поставляється Windows 11 Home із серверним блоком повідомлень версії 1 (SMB1), оскільки це дуже старий протокол безпеки мережі, який деякий час вважався незахищеним і його замінили новіші ітерації. Тим не менш, SMB все ще присутній у Windows 11, і насправді це компанія Поведінка підписання SMB за замовчуванням у збірках Windows Insider Enterprise на початку цього місяця. Однак корпорація Майкрософт дізналася, що автентифікація SMB не вдається за певних сценаріїв, і тому тепер вона запропонувала обхідний шлях для вирішення проблеми.
По суті, автентифікація SMB у збірках Windows 11 Insider більше не працює для входу в систему гостя, оскільки під час використання автентифікації SMB не вдається підписати SMB. Ключ, який використовується для створення підпису для повідомлення, яке надсилається, походить від пароля користувача. Коли ви вмикаєте гостьову автентифікацію, пароль відсутній, а це означає, що ці дві концепції є взаємовиключними, ви не можете мати обидві. Оскільки для створення підпису немає доступного пароля користувача, наразі Windows просто не встановлює з’єднання SMB для a гостьовий клієнт, оскільки підпис SMB, для якого потрібен пароль, тепер увімкнено за замовчуванням у деяких програмах оцінювання Windows будує.
Важливо зазначити, що це не зовсім радикальна зміна поведінки. Корпорація Майкрософт за замовчуванням припинила вхід у систему гостя ще в Windows 2000, зупинила вбудовані облікові записи гостей із віддалене підключення до Windows і навіть відключено гостьовий доступ SMB2 і SMB3, починаючи з версії Windows 10 1709. Мета полягає в тому, щоб зловмисники не могли дистанційно виконувати зловмисний код на вашому сервері, не вимагаючи облікових даних.
Таким чином, якщо ви використовуєте гостьову автентифікацію в Windows, ви отримуватимете повідомлення про помилку про те, що мережевий шлях не знайдено (помилка 0x80070035) або повідомлення про те, що ваша організація блокує необмежений і неавтентифікований гость доступу. У той час як ви можете ввімкнути доступ до вгадування в SMB2+, виконавши наступні дії Посібник Microsoft тут, це не буде корисним в останніх збірках Windows 11 Insider — і, ймовірно, у майбутніх випусках Windows, коли ця зміна стане загальним розгортанням — і підключення не вийде.
Рекомендоване виправлення Microsoft негайно припинити доступ до сторонніх пристроїв за допомогою облікових даних гостя. Фірма попереджає, що продовження такої поведінки ставить ваші дані під загрозу, оскільки будь-хто може використовувати цю техніку для доступу до ваших даних, не залишаючи контрольного сліду. Було підкреслено, що виробники пристроїв зазвичай вмикають гостьовий доступ за замовчуванням, оскільки вони не хочуть мати справу з клієнтами щодо складності налаштування більш безпечної форми доступу. Фірма Redmond рекомендує вам ознайомитися з документацією вашого постачальника, щоб увімкнути автентифікація на основі пароля, і якщо вона не підтримується, вам слід поступово відмовитися від асоційованої автентифікації продукт повністю.
Однак, якщо вимкнути гостьовий доступ SMB неможливо для вашої організації, ваш єдиний вихід — це зробити вимкніть підпис SMB, що Microsoft не рекомендує, оскільки це негативно впливає на безпеку вашої компанії поза. Незважаючи на це, корпорація Майкрософт окреслила три способи, за допомогою яких можна вимкнути підпис SMB, детально описані нижче:
- Графічна (локальна групова політика на одному пристрої)
- Відкрийте Редактор локальної групової політики (gpedit.msc) на вашому пристрої Windows.
- У дереві консолі виберіть Конфігурація комп’ютера > Параметри Windows > Параметри безпеки > Локальні політики > Параметри безпеки.
- Подвійне клацання Клієнт мережі Microsoft: цифровий підпис для повідомлень (завжди).
- Виберіть Вимкнено > в порядку.
- Командний рядок (PowerShell на одному пристрої)
- Відкрийте консоль PowerShell з правами адміністратора.
- бігти
Set-SmbClientConfiguration -RequireSecuritySignature $false
- Групова політика на основі домену (на парках, керованих ІТ)
- Знайдіть політику безпеки, яка застосовує цей параметр до ваших пристроїв Windows (ви можете використовувати GPRESULT /H на клієнт для створення результуючого набору звіту про політику, щоб показати, яка групова політика потребує підписання SMB.
- У GPMC.MSC змініть Конфігурація комп’ютера > Політики > Параметри Windows > Параметри безпеки > Локальні політики > Параметри безпеки.
- встановити Клієнт мережі Microsoft: цифровий підпис для повідомлень (завжди) до Вимкнено.
- Застосуйте оновлену політику до пристроїв Windows, яким потрібен гостьовий доступ через SMB.
Щодо наступних кроків, Microsoft зазначила, що працюватиме над покращенням повідомлень про помилки та наданням більш чіткого опису в груповій політиці в майбутніх випусках Windows Insider. Пов’язану документацію Microsoft, доступну в Інтернеті, також буде оновлено, щоб краще пояснити цю зміну та відповідні обхідні шляхи. Однак загальна рекомендація компанії все ще полягає в тому, щоб вимкнути гостьовий доступ зі сторонніх пристроїв.