Microsoft beschreibt die Problemumgehung für den „alten unsicheren“ Gastzugriff, nachdem die SMB-Signierung zum Standard gemacht wurde

Anfang dieses Monats hat Microsoft die SMB-Signatur (Server Message Block) standardmäßig für alle Verbindungen obligatorisch gemacht, um die Sicherheit von Windows und Windows-Servern zu verbessern. Das Unternehmen erläuterte die Änderung in einem separaten Blogbeitrag ausführlicher. Dies war Teil einer laufenden Anstrengung des Redmond-Riesen, die letztes Jahr begann . Als Folge der Änderung ist auch kein Gastzugang möglich, was als „altes unsicheres“ Verhalten gilt, da es keine Möglichkeit zur Validierung gibt.

Heute hat Ned Pyle, leitender Programmmanager in der Windows Server-Engineering-Gruppe, einen neuen Blogbeitrag der Tech Community veröffentlicht, in dem er das Problem der Gastauthentifizierung und Problemumgehungen dafür erörtert.

Wenn jemand den Gastzugriff versucht, wird er mit einer von zwei dieser Nachrichten begrüßt:

• Sie können nicht auf diesen freigegebenen Ordner zugreifen, da die Sicherheitsrichtlinien Ihrer Organisation den nicht authentifizierten Gastzugriff blockieren. Diese Richtlinien tragen dazu bei, Ihren PC vor unsicheren oder bösartigen Geräten im Netzwerk zu schützen.
• Fehlercode: 0x80070035
  Der Netzwerkpfad wurde nicht gefunden.

Pyle fügt hinzu, dass die einzige Möglichkeit, dieses Problem wirklich zu beheben, darin besteht, die Verwendung von Gastanmeldeinformationen einzustellen, da an der Änderung kein Weg vorbeiführt. Daher handelt es sich nicht wirklich um eine „Lösung“, sondern eher um eine Annahme. Sie erklären:

Fix

Die von Microsoft empfohlene Lösung besteht darin, den Zugriff auf Ihre Geräte von Drittanbietern mit Gastanmeldeinformationen zu beenden. Jeder – jeder – der dieses Gerät sehen kann, kann ohne Passwort oder Prüfpfad auf alle Ihre Daten zugreifen. Gerätehersteller konfigurieren den Gastzugang, damit sie nicht damit rechnen müssen, dass ihre Kunden ihre Passwörter vergessen oder ein komplexerer Einrichtungsprozess erforderlich ist. Dies sind unsichere Orte, an denen Sie Ihr Privat- oder Berufsleben aufbewahren können. Viele dieser Geräte verfügen über die Möglichkeit, einen Benutzernamen und ein Passwort zu konfigurieren – konsultieren Sie die Dokumentation Ihres Anbieters. Andere könnten die Möglichkeit mit einem Software-Upgrade haben. Und andere könnten einfach unsicher sein – für diese sollten Sie sie durch ein vertrauenswürdiges Produkt ersetzen und alle Ihre Daten vom alten Gerät entfernen, sicherstellen, dass Sie dessen Laufwerke bereinigen und es dann recyceln.

Falls jedoch außerhalb der Gastauthentifizierung keine Zugriffsmöglichkeit besteht, muss die Anforderung für SMB-Singing deaktiviert werden. Dies führt jedoch voraussichtlich zu einer anfälligeren Umgebung. Im unten zitierten Abschnitt zur Problemumgehung hat Ned Pyle alle Möglichkeiten zum Deaktivieren der Standard-SMB-Signatur dargelegt:

Problemumgehung

Wenn Sie die Gastnutzung für Ihren Drittanbieter nicht deaktivieren können, müssen Sie die Anforderung der SMB-Signatur deaktivieren. Das bedeutet natürlich, dass Sie jetzt nicht nur den Gastzugang nutzen, sondern auch verhindern, dass Ihr Client die Signatur auf einem vertrauenswürdigen Gerät garantiert. Aus diesem Grund handelt es sich lediglich um eine Problemumgehung, die wir nicht empfehlen.

Sie können die SMB-Signaturanforderung auf drei Arten deaktivieren:

Grafisch (lokale Gruppenrichtlinie auf einem Gerät)

1. Öffnen Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc) auf Ihrem Windows-Gerät.
2. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen aus.
3. Doppelklicken Sie auf Microsoft-Netzwerkclient: Kommunikation digital signieren (immer).
4. Wählen Sie Deaktiviert > OK.

Befehlszeile (PowerShell auf einem Gerät)

1. Öffnen Sie eine PowerShell-Konsole mit Administratorrechten.
2. Führen Sie Folgendes aus: Set-SmbClientConfiguration – RequireSecuritySignature $false

Domänenbasierte Gruppenrichtlinie (für IT-verwaltete Flotten)

1. Suchen Sie die Sicherheitsrichtlinie, die diese Einstellung auf Ihre Windows-Geräte anwendet (Sie können GPRESULT /H auf einem Client verwenden, um einen resultierenden Richtlinienbericht zu generieren, der zeigt, welche Gruppenrichtlinie eine SMB-Signatur erfordert).
2. Ändern Sie in GPMC.MSC die Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
3. Setzen Sie Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) auf Deaktiviert.
4. Wenden Sie die aktualisierte Richtlinie auf Windows-Geräte an, die Gastzugriff über SMB benötigen.

Sie können den offiziellen Blogbeitrag im Tech Community-Blogbeitrag auf der Website von Microsoft ansehen .