Microsoft détaille la solution de contournement pour l’accès invité « ancien non sécurisé » après avoir défini la signature SMB par défaut
Plus tôt ce mois-ci, Microsoft a rendu la signature SMB (Server Message Block) obligatoire par défaut sur toutes les connexions afin d’améliorer la sécurité de Windows et des serveurs Windows. La société, dans un article de blog séparé , a expliqué plus en détail le changement. Cela faisait partie d’un effort continu du géant de Redmond, quelque chose qui a commencé l’année dernière . En conséquence de ce changement, l’accès des invités n’est pas non plus possible, ce qui a été considéré comme un comportement «ancien dangereux» car il n’y a aucun moyen de validation.
Aujourd’hui, Ned Pyle, responsable de programme principal dans le groupe d’ingénierie Windows Server, a publié un nouveau billet de blog Tech Community discutant du problème de l’authentification des invités et des solutions de contournement.
Lorsque l’on essaie d’accéder à l’invité, il est accueilli par l’un des deux messages suivants :
- Vous ne pouvez pas accéder à ce dossier partagé, car les politiques de sécurité de votre organisation bloquent l’accès invité non authentifié. Ces stratégies aident à protéger votre PC contre les appareils dangereux ou malveillants sur le réseau.
- Code d’erreur : 0x80070035
Le chemin réseau n’a pas été trouvé.
Pyle ajoute que le seul moyen de résoudre ce problème est d’arrêter d’utiliser les identifiants d’invité car il n’y a aucun moyen de contourner le changement. Par conséquent, ce n’est pas vraiment une « solution » et plutôt une acceptation. Ils expliquent :
Réparer
Le correctif recommandé par Microsoft consiste à cesser d’accéder à vos appareils tiers à l’aide des informations d’identification d’invité. Quiconque – n’importe qui – qui peut voir cet appareil peut accéder à toutes vos données sans mot de passe ni piste d’audit. Les fabricants d’appareils configurent l’accès invité afin qu’ils n’aient pas à gérer l’oubli de leurs mots de passe par leurs clients ou qu’ils n’aient besoin d’un processus de configuration plus complexe. Ce sont des endroits dangereux pour stocker votre vie personnelle ou professionnelle. Beaucoup de ces appareils ont la possibilité de configurer un nom d’utilisateur et un mot de passe – consultez la documentation de votre fournisseur. D’autres pourraient avoir la capacité avec une mise à niveau logicielle. Et d’autres pourraient tout simplement être dangereux – pour ceux-ci, vous devez les remplacer par un produit fiable et déplacer toutes vos données de l’ancien appareil, vous assurer de nettoyer ses disques, puis de le recycler.
Cependant, s’il n’y a aucun moyen d’accéder en dehors de l’authentification des invités, il faut désactiver l’exigence de chant SMB, mais cela conduira probablement à un environnement plus vulnérable. Dans la section de contournement citée ci-dessous, Ned Pyle a expliqué toutes les manières de désactiver la signature SMB par défaut :
solution de contournement
Si vous ne pouvez pas désactiver l’utilisation de l’invité pour votre tiers, vous devez désactiver l’exigence de signature SMB. Évidemment, cela signifie que maintenant non seulement vous utilisez l’accès invité, mais vous empêchez également votre client de garantir la signature sur un appareil de confiance. C’est pourquoi il ne s’agit que d’une solution de contournement, et nous ne la recommandons pas.
Vous pouvez désactiver l’exigence de signature SMB de trois manières :
Graphique (stratégie de groupe locale sur un appareil)
- Ouvrez l’éditeur de stratégie de groupe local (gpedit.msc) sur votre appareil Windows.
- Dans l’arborescence de la console, sélectionnez Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
- Double-cliquez sur Client réseau Microsoft : signer numériquement les communications (toujours).
- Sélectionnez Désactivé > OK.
Ligne de commande (PowerShell sur un appareil)
- Ouvrez une console PowerShell élevée par l’administrateur.
- Exécutez : Set-SmbClientConfiguration – RequireSecuritySignature $false
Stratégie de groupe basée sur le domaine (sur les flottes gérées par l’informatique)
- Localisez la stratégie de sécurité appliquant ce paramètre à vos appareils Windows (vous pouvez utiliser GPRESULT /H sur un client pour générer un ensemble résultant de rapports de stratégie pour montrer quelle stratégie de groupe nécessite la signature SMB.
- Dans GPMC.MSC, modifiez Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
- Définissez Client réseau Microsoft : Signer numériquement les communications (toujours) sur Désactivé.
- Appliquez la politique mise à jour aux appareils Windows nécessitant un accès invité via SMB.
Vous pouvez consulter le billet de blog officiel sur le billet de blog Tech Community sur le site de Microsoft .
Laisser un commentaire