Rozwiązywanie błędów podpisywania SMB dla dostępu do NAS w systemie Windows 11 24H2

Rozwiązywanie błędów podpisywania SMB dla dostępu do NAS w systemie Windows 11 24H2
  • Aby wyłączyć wymaganie podpisywania SMB w systemie Windows 11, otwórz „Edytor zasad grupy” i wyłącz zasadę „Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera)” .
  • Można to również zrobić za pomocą wiersza poleceń lub programu PowerShell.

Jeśli dokonałeś aktualizacji do systemu Windows 11 w wersji 24H2 (aktualizacja 2024), możesz zauważyć, że dostęp do pamięci masowej podłączonej do sieci (NAS) został zakłócony. Ten przewodnik wyjaśni powody tej zmiany i sposób rozwiązania problemu.

Oprócz licznych nowych funkcji wprowadzonych w systemie Windows 11 24H2 firma Microsoft wdrożyła ważne ulepszenia zabezpieczeń, które teraz wymagają podpisywania Server Message Block (SMB) dla wszystkich komunikatów. Ten wymóg może prowadzić do problemów ze zgodnością, szczególnie w przypadku wielu istniejących urządzeń serwera plików, które nie obsługują tej funkcji, co skutkuje wieloma komunikatami o błędach.

Do typowych powiadomień o błędach należą : „Podpis kryptograficzny jest nieprawidłowy”, „STATUS_INVALID_SIGNATURE”, „0xc000a000” i „1073700864”.

Jeśli napotkasz te błędy, masz kilka opcji. Najbardziej zalecanym rozwiązaniem jest włączenie podpisywania SMB na swoim NAS. Marki takie jak Synology udostępniają tę funkcję w swoich ustawieniach „Domain/LDAP” i „File Services”, w zależności od konkretnego modelu. Alternatywnie możesz wyłączyć podpisywanie SMB na dotkniętym komputerze z systemem Windows.

W tym przewodniku opisano szczegółowo kroki niezbędne do weryfikacji i włączenia podpisywania SMB w systemie Windows 11 24H2 oraz w innych dotkniętych tym problemem wersjach systemu operacyjnego.

Wyłączanie podpisywania SMB w systemie Windows 11 z poziomu zasad grupy

Aby wyłączyć funkcję podpisywania SMB za pomocą zasad grupy w systemie Windows 11 Pro, Enterprise lub Education, wykonaj następujące czynności:

  1. Otwórz Start w systemie Windows 11.

  2. Wyszukaj gpedit i kliknij prawym przyciskiem myszy na górnym wyniku, aby uzyskać dostęp do Edytora zasad grupy .

  3. Przejdź do następującej ścieżki:

    Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

  4. Kliknij prawym przyciskiem myszy zasadę „Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera)” i wybierz Właściwości .

  5. Wybierz opcję Wyłączone .

    Wyłącz zasadę Cyfrowego podpisywania komunikacji (jeśli serwer wyrazi zgodę)

  6. Kliknij przycisk Zastosuj .

  7. Kliknij przycisk OK .

  8. Uruchom ponownie komputer.

Po wykonaniu tych kroków podpisywanie SMB zostanie wyłączone, co umożliwi dostęp do serwera NAS bez dalszych problemów.

Wyłączanie podpisywania SMB w systemie Windows 11 z poziomu wiersza poleceń

Aby wyłączyć podpisywanie SMB za pomocą wiersza poleceń, wykonaj następujące czynności:

  1. Otwórz Start .

  2. Wyszukaj Wiersz polecenia (lub Terminal ), kliknij prawym przyciskiem myszy górny wynik i wybierz Uruchom jako administrator .

  3. Wprowadź następujące polecenie, aby wyłączyć podpisywanie SMB i naciśnij Enter :

    reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v RequireSecuritySignature /t REG_DWORD /d 0 /f
    Wiersz poleceń wyłącza podpisywanie SMB

  4. Uruchom ponownie komputer.

Po wykonaniu tych czynności komunikaty o błędach nie powinny już pojawiać się przy próbie dostępu do serwera plików za pomocą protokołu SMB.

Jeśli chcesz cofnąć te zmiany, po prostu powtórz te kroki, ale w kroku 3 wykonaj następujące polecenie: reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v EnableSecuritySignature /t REG_DWORD /d 1 /f.

Wyłączanie podpisywania SMB w systemie Windows 11 z poziomu programu PowerShell

Aby wyłączyć funkcję podpisywania SMB w systemie Windows 11 za pomocą programu PowerShell, wykonaj następujące czynności:

  1. Otwórz Start .

  2. Wyszukaj PowerShell (lub Terminal ), kliknij prawym przyciskiem myszy górny wynik i wybierz Uruchom jako administrator .

  3. Wpisz następujące polecenie, aby wyłączyć podpisywanie SMB i naciśnij Enter :

    Set-SmbClientConfiguration -RequireSecuritySignature $false
    PowerShell wyłącza podpisywanie SMB

  4. Wpisz „Y” i naciśnij Enter , aby potwierdzić zmiany.

  5. (Opcjonalnie) Aby sprawdzić stan podpisywania SMB w systemie Windows 11, możesz uruchomić następujące polecenie:

    Get-SmbClientConfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature

  6. Uruchom ponownie komputer.

Po wykonaniu tych czynności będziesz mieć możliwość dostępu do serwera plików w sieci i przeglądania go bez napotykania błędów.

Jeśli później zechcesz cofnąć tę zmianę, po prostu wykonaj te same instrukcje, ale wykonaj polecenie Set-SmbClientConfiguration -RequireSecuritySignature $truez kroku 3.

Rozważania dotyczące podpisywania umów SMB

W terminologii sieciowej SMB Signing to funkcja bezpieczeństwa zintegrowana z protokołami CIFS (Common Internet File System) i SMB do udostępniania plików wykorzystywanymi w systemach pamięci masowej Windows. Ta funkcja zapewnia, że ​​wiadomości wysyłane przez protokół zawierają podpis w nagłówku, który można zweryfikować, aby potwierdzić, że zawartość wiadomości pozostaje niezmieniona podczas transmisji. Zasadniczo ten mechanizm pomaga zapobiegać potencjalnym zagrożeniom bezpieczeństwa, takim jak ataki typu man-in-the-middle.

Mimo że funkcja ta istnieje już od dłuższego czasu, została wprowadzona dopiero w systemie operacyjnym od wersji 24H2.

Ostatecznie włączenie SMB Signing zwiększa bezpieczeństwo sieci między urządzeniami klienckimi i serwerowymi. Wymaga jednak dodatkowych zasobów przetwarzania, co może mieć wpływ na wydajność i prędkość transferu między urządzeniami.

Jeśli to możliwe, najlepszą praktyką jest skonfigurowanie NAS do obsługi funkcji podpisywania SMB. Jeśli jest to nieosiągalne lub negatywnie wpływa na wydajność, dostępnych jest kilka metod wyłączenia tej funkcji w systemie Windows 11.

Instrukcje te mogą okazać się również pomocne, jeżeli firma Microsoft zdecyduje się na wprowadzenie tej funkcji w starszych wersjach systemu operacyjnego, w tym Windows 10.

Źródło

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *