Microsoft detalha solução alternativa para acesso de convidado “antigo inseguro” após tornar padrão a assinatura SMB

No início deste mês, a Microsoft tornou a assinatura SMB (Server Message Block) obrigatória por padrão em todas as conexões para melhorar a segurança do Windows e dos servidores Windows. A empresa, em um post separado no blog , explicou com mais detalhes sobre a mudança. Isso fazia parte de um esforço contínuo do gigante de Redmond, algo que começou no ano passado . Como consequência da mudança, também não é possível o acesso de convidados, algo que já foi considerado “antigo comportamento inseguro”, pois não há como validá-lo.

Hoje, Ned Pyle, que é gerente de programa principal no grupo de engenharia do Windows Server, publicou uma nova postagem no blog da Tech Community discutindo a questão da autenticação de convidados e soluções alternativas para ela.

Quando alguém tenta o acesso de convidado, eles serão recebidos por uma destas duas mensagens:

• Você não pode acessar esta pasta compartilhada porque as políticas de segurança da sua organização bloqueiam o acesso de convidados não autenticados. Essas políticas ajudam a proteger seu PC contra dispositivos inseguros ou mal-intencionados na rede.
• Código de erro: 0x80070035
  O caminho de rede não foi encontrado.

Pyle acrescenta que a única maneira de corrigir isso é parar de usar as credenciais de convidado, pois não há como contornar a mudança. Portanto, não é realmente um “conserto” e mais como uma aceitação. Eles explicam:

Consertar

A correção recomendada pela Microsoft é parar de acessar seus dispositivos de terceiros usando credenciais de convidado. Qualquer pessoa – qualquer pessoa – que possa ver esse dispositivo pode acessar todos os seus dados sem nenhuma senha ou trilha de auditoria. Os fabricantes de dispositivos configuram o acesso de convidados para que não tenham que lidar com o fato de seus clientes esquecerem suas senhas ou exigirem um processo de configuração mais complexo. Estes são lugares inseguros para guardar sua vida pessoal ou profissional. Muitos desses dispositivos têm a capacidade de configurar um nome de usuário e senha – consulte os documentos do fornecedor. Outros podem ter a capacidade com uma atualização de software. E outros podem ser inseguros – para esses, você deve substituí-los por um produto confiável e remover todos os seus dados do dispositivo antigo, certifique-se de limpar suas unidades e reciclá-lo.

No entanto, caso não haja como acessar fora da autenticação do convidado, é necessário desabilitar o requisito de canto SMB, mas isso provavelmente levará a um ambiente mais vulnerável. Na seção de solução alternativa citada abaixo, Ned Pyle expôs todas as maneiras de desabilitar a assinatura SMB padrão:

Gambiarra

Se você não puder desativar o uso de convidado para terceiros, deverá desativar o requisito de assinatura SMB. Obviamente, isso significa que agora você não está apenas usando o acesso de convidado, mas também está impedindo que seu cliente garanta a assinatura em um dispositivo confiável. É por isso que esta é apenas uma solução alternativa e não a recomendamos.

Você pode desativar o requisito de assinatura SMB de três maneiras:

Gráfico (política de grupo local em um dispositivo)

1. Abra o Editor de Diretiva de Grupo Local (gpedit.msc) em seu dispositivo Windows.
2. Na árvore do console, selecione Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas locais > Opções de segurança.
3. Clique duas vezes em Microsoft network client: Assine digitalmente as comunicações (sempre).
4. Selecione Desativado > OK.

Linha de comando (PowerShell em um dispositivo)

1. Abra um console do PowerShell elevado pelo administrador.
2. Execute: Set-SmbClientConfiguration – RequireSecuritySignature $false

Política de grupo baseada em domínio (em frotas gerenciadas por TI)

1. Localize a política de segurança que aplica esta configuração aos seus dispositivos Windows (você pode usar GPRESULT /H em um cliente para gerar um conjunto resultante de relatório de política para mostrar qual política de grupo está exigindo assinatura SMB.
2. Em GPMC.MSC, altere Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas locais > Opções de segurança.
3. Defina Cliente de rede Microsoft: Assinar digitalmente as comunicações (sempre) como Desativado.
4. Aplique a política atualizada aos dispositivos Windows que precisam de acesso de convidado por SMB.

Você pode ver a postagem do blog oficial na postagem do blog Tech Community no site da Microsoft .