Oplossen van SMB-ondertekeningsfouten voor NAS-toegang op Windows 11 24H2

• Om de SMB-ondertekeningsvereiste op Windows 11 uit te schakelen, opent u de ‘Groepsbeleid-editor’ en schakelt u het beleid ‘Microsoft-netwerkclient: communicatie digitaal ondertekenen (indien de server hiermee akkoord gaat)’ uit.
• U kunt dit ook doen via de opdrachtprompt of PowerShell.

Als u bent geüpgraded naar Windows 11 versie 24H2 (2024 Update), kan het zijn dat de toegang tot uw network-attached storage (NAS) is verstoord. Deze handleiding legt uit waarom deze wijziging is doorgevoerd en hoe u het probleem kunt oplossen.

Naast de vele nieuwe functies die zijn geïntroduceerd in Windows 11 24H2, heeft Microsoft belangrijke beveiligingsverbeteringen geïmplementeerd die nu Server Message Block (SMB) -ondertekening voor alle communicatie verplicht stellen. Deze vereiste kan leiden tot compatibiliteitsproblemen, met name met veel bestaande bestandsserverapparaten die deze functie niet ondersteunen, wat resulteert in verschillende foutmeldingen.

Veelvoorkomende foutmeldingen zijn onder meer : ​​“De cryptografische handtekening is ongeldig”, “STATUS_INVALID_SIGNATURE”, “0xc000a000” en “1073700864”.

Als u deze fouten tegenkomt, hebt u een aantal opties. De meest aanbevolen oplossing is om SMB Signing op uw NAS in te schakelen. Merken zoals Synology bieden deze functie binnen hun instellingen voor “Domein/LDAP” en “Bestandsservices”, afhankelijk van uw specifieke model. U kunt SMB Signing ook uitschakelen op de getroffen Windows-machine.

In deze handleiding worden de stappen beschreven die nodig zijn om SMB-ondertekening te verifiëren en in te schakelen op Windows 11 24H2 en andere getroffen versies van het besturingssysteem.

• SMB-ondertekening op Windows 11 uitschakelen via Groepsbeleid
• SMB-ondertekening op Windows 11 uitschakelen via de opdrachtprompt
• SMB-ondertekening op Windows 11 uitschakelen via PowerShell

SMB-ondertekening op Windows 11 uitschakelen via Groepsbeleid

Volg deze stappen om de SMB-ondertekeningsfunctie uit te schakelen via Groepsbeleid op Windows 11 Pro, Enterprise of Education:

1. Open Start in Windows 11.

2. Zoek naar gpedit en klik met de rechtermuisknop op het bovenste resultaat om de Groepsbeleid-editor te openen .

3. Navigeer naar het volgende pad:

   Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

4. Klik met de rechtermuisknop op het beleid ‘Microsoft-netwerkclient: communicatie digitaal ondertekenen (indien de server hiermee akkoord gaat)’ en selecteer Eigenschappen .

5. Selecteer de optie Uitgeschakeld .

   

6. Klik op de knop Toepassen .

7. Klik op de OK -knop.

8. Start uw computer opnieuw op.

Nadat u deze stappen hebt voltooid, wordt SMB-ondertekening uitgeschakeld en hebt u zonder verdere problemen toegang tot de NAS.

SMB-ondertekening op Windows 11 uitschakelen via de opdrachtprompt

Om SMB-ondertekening via de opdrachtprompt uit te schakelen, volgt u deze instructies:

1. Openen Start .

2. Zoek naar Opdrachtprompt (of Terminal ), klik met de rechtermuisknop op het bovenste resultaat en kies Als administrator uitvoeren .

3. Voer de volgende opdracht in om SMB-ondertekening uit te schakelen en druk op Enter :

   reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v RequireSecuritySignature /t REG_DWORD /d 0 /f
   

4. Start uw computer opnieuw op.

Nadat u deze stappen hebt voltooid, zouden er geen foutmeldingen meer moeten verschijnen wanneer u via het SMB-protocol toegang probeert te krijgen tot de bestandsserver.

Als u deze wijzigingen ongedaan wilt maken, herhaalt u de stappen, maar voert u in stap 3 de volgende opdracht uit: reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v EnableSecuritySignature /t REG_DWORD /d 1 /f.

SMB-ondertekening op Windows 11 uitschakelen via PowerShell

Volg deze instructies om de SMB-ondertekeningsfunctie op Windows 11 uit te schakelen met behulp van PowerShell:

1. Openen Start .

2. Zoek naar PowerShell (of Terminal ), klik met de rechtermuisknop op het bovenste resultaat en selecteer Als administrator uitvoeren .

3. Typ de volgende opdracht om SMB-ondertekening uit te schakelen en druk op Enter :

   Set-SmbClientConfiguration -RequireSecuritySignature $false
   

4. Typ “Y” en druk op Enter om de wijzigingen te bevestigen.

5. (Optioneel) Om de SMB-ondertekeningsstatus op Windows 11 te verifiëren, kunt u de volgende opdracht uitvoeren:

   Get-SmbClientConfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature

6. Start uw computer opnieuw op.

Zodra u deze stappen hebt voltooid, kunt u uw bestandsserver op het netwerk openen en erop browsen zonder dat er fouten optreden.

Als u deze wijziging later wilt terugdraaien, volgt u dezelfde instructies, maar voert u de opdracht Set-SmbClientConfiguration -RequireSecuritySignature $trueuit stap 3 uit.

Overwegingen voor SMB-ondertekening

In netwerktermen is SMB Signing een beveiligingsfunctie die is geïntegreerd in de CIFS (Common Internet File System) en SMB-bestandsdelingsprotocollen die worden gebruikt in Windows-opslagsystemen. Deze functie zorgt ervoor dat berichten die via het protocol worden verzonden, een handtekening in hun header bevatten, die kan worden gevalideerd om te bevestigen dat de inhoud van het bericht ongewijzigd blijft tijdens de verzending. In wezen helpt dit mechanisme potentiële beveiligingsbedreigingen, zoals man-in-the-middle-aanvallen, te voorkomen.

Hoewel deze functionaliteit al lang bestaat, wordt deze pas vanaf versie 24H2 door het besturingssysteem afgedwongen.

Uiteindelijk verbetert het inschakelen van SMB Signing de netwerkbeveiliging tussen client- en serverapparaten. Het vereist echter wel extra verwerkingsbronnen, wat de prestaties en overdrachtssnelheden tussen apparaten kan beïnvloeden.

Wanneer haalbaar, is het configureren van uw NAS om de SMB Signing-functie te ondersteunen de beste praktijk. Als dit niet haalbaar is of de prestaties negatief beïnvloedt, zijn er verschillende methoden beschikbaar om het uit te schakelen op Windows 11.

Deze instructies kunnen ook nuttig zijn als Microsoft besluit om deze functie verplicht te stellen in oudere versies van besturingssystemen, waaronder Windows 10.

Bron