Microsoft wprowadza obowiązek podpisywania SMB w systemie Windows 11 Canary build 25381

Firma Microsoft udostępniła dziś najnowszą kompilację systemu Windows 11 dla niejawnych testerów na kanale Canary. Nowa kompilacja 25381 wprowadza istotną zmianę w podpisywaniu SMB (Server Message Block). Wcześniej śpiewanie SMB nie było obowiązkowe, ale w najnowszej wersji Windows 11, Windows 10 i Server będą domyślnie wymagać podpisywania SMB. Microsoft twierdzi, że ta zmiana została wprowadzona w celu poprawy bezpieczeństwa.

Lista zmian dla kompilacji 25381 jest podana poniżej:

Co nowego w kompilacji 25381

Zmiany wymagań dotyczących podpisywania SMB

Począwszy od wersji Windows 11 Insider Preview Build 25381 Enterprise, podpisywanie SMB jest teraz domyślnie wymagane dla wszystkich połączeń. Zmienia to starsze zachowanie, w którym Windows 10 i 11 wymagały domyślnie podpisywania SMB tylko podczas łączenia się z udziałami o nazwach SYSVOL i NETLOGON , a kontrolery domeny Active Directory wymagały podpisywania SMB, gdy jakikolwiek klient się z nimi łączył. Jest to część kampanii mającej na celu poprawę bezpieczeństwa systemów Windows i Windows Server w nowoczesnym środowisku.

Wszystkie wersje systemu Windows i Windows Server obsługują podpisywanie SMB. Ale strona trzecia może go wyłączyć lub nie obsługiwać. Jeśli spróbujesz połączyć się ze zdalnym udziałem na serwerze SMB innej firmy, który nie zezwala na podpisywanie SMB, może zostać wyświetlony jeden z następujących komunikatów o błędach:

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• Podpis kryptograficzny jest nieprawidłowy.

Aby rozwiązać ten problem, skonfiguruj serwer SMB innej firmy do obsługi podpisywania SMB. To jest oficjalna zalecana wskazówka firmy Microsoft. Nie wyłączaj podpisywania SMB w systemie Windows ani nie używaj SMB1 do obejścia tego zachowania (SMB1 obsługuje podpisywanie, ale go nie wymusza). Urządzenie SMB, które nie obsługuje podpisywania, umożliwia przechwytywanie i przekazywanie ataków ze złośliwych stron.

Podpisywanie SMB może zmniejszyć wydajność operacji kopiowania SMB. Możesz to złagodzić za pomocą większej liczby fizycznych rdzeni procesora lub wirtualnych procesorów, a także nowszych, szybszych procesorów.

Aby zobaczyć bieżące ustawienia podpisywania SMB, uruchom następujące polecenia programu PowerShell:


Get-SmbServerConfiguration | fl requiresecuritysignature


Get-SmbClientConfiguration | fl requiresecuritysignature

Aby wyłączyć wymaganie dotyczące logowania SMB w połączeniach klientów (wychodzących na inne urządzenia), uruchom następujące polecenie programu PowerShell jako administrator z podwyższonym poziomem uprawnień:


Set-SmbClientConfiguration -RequireSecuritySignature $false

Aby wyłączyć wymóg logowania SMB na serwerze (w systemie Windows 11 Insider Preview Build 25381 i nowszym z urządzeniami w wersji Enterprise), uruchom następujące polecenie programu PowerShell jako administrator z podwyższonym poziomem uprawnień:

Set-SmbServerConfiguration -RequireSecuritySignature $false

Nie jest wymagane ponowne uruchomienie, ale istniejące połączenia SMB będą nadal używać podpisu, dopóki nie zostaną zamknięte.

Aby uzyskać więcej informacji na temat tej zmiany, odwiedź stronę https://aka.ms/SMBSigningOBD .

Zmiany i ulepszenia

[Ogólny]

• W przypadku wykrycia problemu z przesyłaniem strumieniowym z kamery, takiego jak niemożność uruchomienia kamery lub zamknięta migawka aparatu, pojawi się wyskakujące okno dialogowe z zaleceniem uruchomienia automatycznego narzędzia do rozwiązywania problemów Uzyskaj pomoc w celu rozwiązania problemu.

Oficjalny wpis na blogu znajdziesz tutaj .