Szczegółowe informacje firmy Microsoft dotyczące obejścia „starego niebezpiecznego” dostępu gościa po ustawieniu domyślnego podpisywania SMB

Na początku tego miesiąca Microsoft wprowadził domyślnie obowiązkowe podpisywanie Server Message Block (SMB) dla wszystkich połączeń w celu poprawy bezpieczeństwa systemu Windows i serwerów Windows. Firma w osobnym poście na blogu wyjaśniła bardziej szczegółowo zmianę. Było to częścią trwających wysiłków giganta z Redmond, które rozpoczęły się w zeszłym roku . W wyniku tej zmiany dostęp dla gości również nie jest możliwy, co zostało uznane za „stare niebezpieczne” zachowanie, ponieważ nie ma możliwości weryfikacji.

Ned Pyle, który jest głównym menedżerem programu w grupie inżynierów Windows Server, opublikował nowy post na blogu Tech Community omawiający problem uwierzytelniania gości i obejścia tego problemu.

Gdy ktoś spróbuje uzyskać dostęp gościa, zostanie powitany przez jeden z dwóch następujących komunikatów:

• Nie możesz uzyskać dostępu do tego folderu udostępnionego, ponieważ zasady bezpieczeństwa Twojej organizacji blokują dostęp dla gości bez uwierzytelnienia. Zasady te pomagają chronić komputer przed niebezpiecznymi lub złośliwymi urządzeniami w sieci.
• Kod błędu: 0x80070035
  Nie znaleziono ścieżki sieciowej.

Pyle dodaje, że jedynym prawdziwym rozwiązaniem tego problemu jest zaprzestanie używania poświadczeń gościa, ponieważ nie ma sposobu na obejście tej zmiany. Dlatego tak naprawdę nie jest to „poprawka”, a raczej akceptacja. Wyjaśniają:

Naprawić

Zalecaną przez firmę Microsoft poprawką jest zaprzestanie uzyskiwania dostępu do urządzeń innych firm przy użyciu poświadczeń gościa. Każdy — każdy — kto widzi to urządzenie, może uzyskać dostęp do wszystkich Twoich danych bez hasła ani ścieżki audytu. Producenci urządzeń konfigurują dostęp dla gości, aby nie musieli radzić sobie z zapominaniem haseł przez klientów lub wymagać bardziej złożonego procesu konfiguracji. Są to niebezpieczne miejsca do przechowywania życia osobistego lub zawodowego. Wiele z tych urządzeń ma możliwość skonfigurowania nazwy użytkownika i hasła — zapoznaj się z dokumentacją dostawcy. Inni mogą mieć możliwość aktualizacji oprogramowania. A inne mogą być po prostu niebezpieczne – w przypadku tych należy wymienić je na produkt godny zaufania i przenieść wszystkie dane ze starego urządzenia, wyczyścić jego dyski, a następnie poddać je recyklingowi.

Jeśli jednak nie ma sposobu na dostęp poza uwierzytelnianiem gościa, należy wyłączyć wymóg śpiewania SMB, ale oczekuje się, że doprowadzi to do bardziej podatnego środowiska. W cytowanej poniżej sekcji obejścia Ned Pyle przedstawił wszystkie sposoby wyłączenia domyślnego podpisywania SMB:

Obejście

Jeśli nie możesz wyłączyć funkcji gościa dla strony trzeciej, musisz wyłączyć wymóg podpisywania SMB. Oczywiście oznacza to, że teraz nie tylko korzystasz z dostępu gościa, ale także uniemożliwiasz swojemu klientowi zagwarantowanie logowania na zaufanym urządzeniu. Dlatego jest to tylko obejście i nie zalecamy tego.

Wymaganie podpisywania SMB można wyłączyć na trzy sposoby:

Graficzny (polityka grupy lokalnej na jednym urządzeniu)

1. Otwórz Edytor lokalnych zasad grupy (gpedit.msc) na urządzeniu z systemem Windows.
2. W drzewie konsoli wybierz Konfiguracja komputera > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Opcje zabezpieczeń.
3. Kliknij dwukrotnie Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze).
4. Wybierz Wyłączone > OK.

Wiersz poleceń (PowerShell na jednym urządzeniu)

1. Otwórz konsolę programu PowerShell z uprawnieniami administratora.
2. Uruchom: Set-SmbClientConfiguration – RequireSecuritySignature $false

Zasady grupowe oparte na domenie (w przypadku flot zarządzanych przez dział IT)

1. Zlokalizuj zasady bezpieczeństwa stosujące to ustawienie do urządzeń z systemem Windows (możesz użyć GPRESULT /H na kliencie, aby wygenerować wynikowy zestaw raportów zasad, aby pokazać, które zasady grupy wymagają podpisania SMB.
2. W GPMC.MSC zmień Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady lokalne > Opcje zabezpieczeń.
3. Ustaw klienta sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) na wyłączone.
4. Zastosuj zaktualizowane zasady do urządzeń z systemem Windows wymagających dostępu gościa przez SMB.

Oficjalny wpis na blogu można wyświetlić w poście na blogu Tech Community w witrynie firmy Microsoft .