Microsoft geeft details over de oplossing voor “oude onveilige” gasttoegang nadat SMB-ondertekening standaard is ingesteld
Eerder deze maand maakte Microsoft het ondertekenen van Server Message Block (SMB) standaard verplicht op alle verbindingen om de beveiliging van Windows en Windows Servers te verbeteren. Het bedrijf heeft in een aparte blogpost meer in detail uitgelegd over de verandering. Dit was onderdeel van een voortdurende inspanning van de reus uit Redmond, iets dat vorig jaar begon . Als gevolg van de wijziging is ook gasttoegang niet mogelijk, iets dat als “oud onveilig” gedrag wordt beschouwd omdat er geen manier is voor validatie.
Vandaag heeft Ned Pyle, Principal Program Manager in de Windows Server-engineeringgroep, een nieuwe Tech Community-blogpost gepubliceerd waarin hij de kwestie van gastauthenticatie en oplossingen hiervoor bespreekt.
Wanneer iemand gasttoegang probeert, worden ze begroet door een van de volgende twee berichten:
- Je hebt geen toegang tot deze gedeelde map omdat het beveiligingsbeleid van je organisatie ongeauthenticeerde gasttoegang blokkeert. Dit beleid helpt uw pc te beschermen tegen onveilige of schadelijke apparaten op het netwerk.
- Foutcode: 0x80070035
Het netwerkpad is niet gevonden.
Pyle voegt eraan toe dat de enige manier om dit echt op te lossen, is om te stoppen met het gebruik van gastreferenties, omdat er geen manier is om de wijziging te omzeilen. Daarom is het niet echt een “oplossing” en meer een acceptatie. Ze leggen uit:
Repareren
De door Microsoft aanbevolen oplossing is om geen toegang meer te krijgen tot uw apparaten van derden met behulp van gastreferenties. Iedereen – iedereen – die dat apparaat kan zien, heeft toegang tot al uw gegevens zonder wachtwoord of auditspoor. Apparaatfabrikanten configureren gasttoegang zodat ze niet te maken krijgen met klanten die hun wachtwoord vergeten of een complexer installatieproces nodig hebben. Dit zijn onveilige plaatsen om uw persoonlijke of professionele leven op te slaan. Veel van deze apparaten hebben de mogelijkheid om een gebruikersnaam en wachtwoord te configureren – raadpleeg de documentatie van uw leverancier. Anderen hebben misschien de mogelijkheid met een software-upgrade. En andere zijn misschien gewoon onveilig – daarvoor moet u ze vervangen door een betrouwbaar product en al uw gegevens van het oude apparaat verwijderen, ervoor zorgen dat u de schijven schoonveegt en het vervolgens recyclet.
Als er echter geen manier is voor toegang buiten gastauthenticatie, moet men de vereiste voor SMB-zang uitschakelen, maar dit zal naar verwachting leiden tot een kwetsbaardere omgeving. In de hieronder geciteerde tijdelijke oplossing heeft Ned Pyle alle manieren uiteengezet om standaard SMB-ondertekening uit te schakelen:
tijdelijke oplossing
Als u het gebruik van gast voor uw derde partij niet kunt uitschakelen, moet u de vereiste van SMB-ondertekening uitschakelen. Dit betekent uiteraard dat u nu niet alleen gasttoegang gebruikt, maar dat u ook verhindert dat uw client ondertekent op een vertrouwd apparaat. Daarom is dit slechts een tijdelijke oplossing en raden we het niet aan.
U kunt de SMB-ondertekeningsvereiste op drie manieren uitschakelen:
Grafisch (lokaal groepsbeleid op één apparaat)
- Open de Editor voor lokaal groepsbeleid (gpedit.msc) op uw Windows-apparaat.
- Selecteer in de consolestructuur Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.
- Dubbelklik op Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd).
- Selecteer Uitgeschakeld > OK.
Opdrachtregel (PowerShell op één apparaat)
- Open een PowerShell-console met beheerdersrechten.
- Uitvoeren: Set-SmbClientConfiguration – RequireSecuritySignature $false
Domeingebaseerd groepsbeleid (op door IT beheerde wagenparken)
- Zoek het beveiligingsbeleid dat deze instelling toepast op uw Windows-apparaten (u kunt GPRESULT /H op een client gebruiken om een resulterende set beleidsrapporten te genereren om aan te geven welk groepsbeleid SMB-ondertekening vereist.
- Wijzig in GPMC.MSC Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties.
- Stel Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd) in op Uitgeschakeld.
- Pas het bijgewerkte beleid toe op Windows-apparaten die gasttoegang via SMB nodig hebben.
U kunt de officiële blogpost bekijken op de Tech Community-blogpost op de website van Microsoft .
Geef een reactie