Microsoft maakt SMB-ondertekening verplicht met Windows 11 Canary build 25381

Microsoft heeft vandaag de nieuwste Windows 11-build voor Insiders op het Canarische kanaal uitgebracht. De nieuwe build 25381 brengt een grote verandering met zich mee in het ondertekenen van SMB (Server Message Block). Voorheen was SMB-singing niet verplicht, maar met de nieuwste build vereisen Windows 11, Windows 10 en Server standaard SMB-ondertekening. Deze wijziging is aangebracht om de beveiliging te verbeteren, zegt Microsoft.

De changelog voor build 25381 wordt hieronder gegeven:

Wat is er nieuw in build 25381

SMB-ondertekeningsvereiste verandert

Vanaf Windows 11 Insider Preview Build 25381 Enterprise-edities is SMB-ondertekening nu standaard vereist voor alle verbindingen. Dit verandert het verouderde gedrag, waarbij Windows 10 en 11 SMB-ondertekening standaard alleen vereisten bij het verbinden met shares met de naam SYSVOL en NETLOGON en waar Active Directory- domeincontrollers SMB-ondertekening vereisten wanneer een client daarmee verbinding maakte. Dit is onderdeel van een campagne om de beveiliging van Windows en Windows Server voor het moderne landschap te verbeteren.

Alle versies van Windows en Windows Server ondersteunen SMB-ondertekening. Maar een derde partij kan het uitschakelen of niet ondersteunen. Als u probeert verbinding te maken met een externe share op een externe SMB-server waarop SMB-ondertekening niet is toegestaan, ontvangt u mogelijk een van de volgende foutberichten:

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• De cryptografische handtekening is ongeldig.

Om dit probleem op te lossen, configureert u uw externe SMB-server om SMB-ondertekening te ondersteunen. Dit is de officiële aanbevolen richtlijn van Microsoft. Schakel SMB-ondertekening niet uit in Windows en gebruik SMB1 niet om dit gedrag te omzeilen (SMB1 ondersteunt ondertekening maar dwingt dit niet af). Een SMB-apparaat dat ondertekening niet ondersteunt, maakt het mogelijk om aanvallen van kwaadwillende partijen te onderscheppen en door te sturen.

SMB-ondertekening kan de prestaties van SMB-kopieerbewerkingen verminderen. U kunt dit verminderen met meer fysieke CPU-kernen of virtuele CPU’s, evenals nieuwere, snellere CPU’s.

Voer de volgende PowerShell-opdrachten uit om de huidige SMB-ondertekeningsinstellingen te bekijken:


Get-SmbServerConfiguration | fl requiresecuritysignature


Get-SmbClientConfiguration | fl requiresecuritysignature

Om de vereiste voor SMB-aanmelding bij clientverbindingen (uitgaand naar ander apparaat) uit te schakelen, voert u de volgende PowerShell-opdracht uit als beheerder met verhoogde bevoegdheid:


Set-SmbClientConfiguration -RequireSecuritySignature $false

Om de vereiste voor SMB-aanmeldingsserver uit te schakelen (op Windows 11 Insider Preview Build 25381 en hoger met Enterprise Edition-apparaten), voert u de volgende PowerShell-opdracht uit als een verhoogde beheerder:

Set-SmbServerConfiguration -RequireSecuritySignature $false

Opnieuw opstarten is niet vereist, maar bestaande SMB-verbindingen gebruiken nog steeds ondertekening totdat ze worden gesloten.

Ga voor meer informatie over deze wijziging naar https://aka.ms/SMBSigningOBD .

Wijzigingen en verbeteringen

[Algemeen]

• Als er een probleem met het streamen van de camera wordt gedetecteerd, zoals een camera die niet start of een gesloten camerasluiter, verschijnt er een pop-upvenster met de aanbeveling om de geautomatiseerde probleemoplosser Vraag hulp te starten om het probleem op te lossen.

Je kunt de officiële blogpost hier vinden .