Microsoft detalla una solución para el acceso de invitados «antiguos e inseguros» después de hacer que la firma SMB sea predeterminada

A principios de este mes, Microsoft hizo que la firma del bloque de mensajes del servidor (SMB) fuera obligatoria de forma predeterminada en todas las conexiones para mejorar la seguridad de Windows y los servidores de Windows. La compañía, en una publicación de blog separada , explicó con más detalle sobre el cambio. Esto fue parte de un esfuerzo continuo del gigante de Redmond, algo que comenzó el año pasado . Como consecuencia del cambio, tampoco es posible el acceso de invitados, algo que se ha considerado un comportamiento «antiguo e inseguro» ya que no hay forma de validación.

Hoy, Ned Pyle, quien es Gerente Principal de Programas en el grupo de ingeniería de Windows Server, publicó una nueva publicación en el blog de Tech Community que analiza el problema de la autenticación de invitados y las soluciones alternativas.

Cuando uno intente el acceso de invitado, será recibido por uno de estos dos mensajes:

• No puede acceder a esta carpeta compartida porque las políticas de seguridad de su organización bloquean el acceso de invitados no autenticados. Estas políticas ayudan a proteger su PC de dispositivos inseguros o maliciosos en la red.
• Código de error: 0x80070035
  No se encontró la ruta de red.

Pyle agrega que lo único que realmente soluciona esto es dejar de usar las credenciales de invitado, ya que no hay forma de evitar el cambio. Por lo tanto, no es realmente una «solución» y más bien una aceptación. Ellos explican:

Arreglar

La solución recomendada por Microsoft es dejar de acceder a sus dispositivos de terceros con credenciales de invitado. Cualquiera, cualquiera, que pueda ver ese dispositivo puede acceder a todos sus datos sin ninguna contraseña o registro de auditoría. Los fabricantes de dispositivos configuran el acceso de invitados para que no tengan que lidiar con que sus clientes olviden sus contraseñas o requieran un proceso de configuración más complejo. Estos son lugares inseguros para almacenar su vida personal o profesional. Muchos de estos dispositivos tienen la capacidad de configurar un nombre de usuario y una contraseña; consulte los documentos de su proveedor. Otros pueden tener la capacidad con una actualización de software. Y otros pueden ser simplemente inseguros: para esos, debe reemplazarlos con un producto confiable y sacar todos sus datos del dispositivo anterior, asegurarse de limpiar sus unidades y luego reciclarlo.

Sin embargo, en caso de que no haya forma de acceso fuera de la autenticación de invitado, entonces se debe deshabilitar el requisito de canto SMB, pero se espera que esto conduzca a un entorno más vulnerable. En la sección de solución citada a continuación, Ned Pyle ha presentado todas las formas de desactivar la firma SMB predeterminada:

Solución alterna

Si no puede deshabilitar el uso de invitado para su tercero, debe deshabilitar el requisito de firma SMB. Obviamente, esto significa que ahora no solo está utilizando el acceso de invitado, sino que también está evitando que su cliente garantice el inicio de sesión en un dispositivo confiable. Es por eso que esto es solo una solución alternativa y no lo recomendamos.

Puede deshabilitar el requisito de firma SMB de tres maneras:

Gráfica (política de grupo local en un dispositivo)

1. Abra el Editor de políticas de grupo local (gpedit.msc) en su dispositivo Windows.
2. En el árbol de la consola, seleccione Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad.
3. Haga doble clic en Cliente de red de Microsoft: Firme digitalmente las comunicaciones (siempre).
4. Seleccione Deshabilitado > Aceptar.

Línea de comandos (PowerShell en un dispositivo)

1. Abra una consola de PowerShell con privilegios de administrador.
2. Ejecutar: Set-SmbClientConfiguration – RequireSecuritySignature $false

Política de grupo basada en dominio (en flotas administradas por TI)

1. Localice la política de seguridad que aplica esta configuración a sus dispositivos Windows (puede usar GPRESULT /H en un cliente para generar un conjunto resultante de informes de políticas para mostrar qué política de grupo requiere la firma SMB.
2. En GPMC.MSC, cambie Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad.
3. Establezca Cliente de red de Microsoft: firmar digitalmente las comunicaciones (siempre) en Deshabilitado.
4. Aplique la política actualizada a los dispositivos de Windows que necesitan acceso de invitado a través de SMB.

Puede ver la publicación de blog oficial en la publicación de blog Tech Community en el sitio de Microsoft .