微軟詳細介紹了在將 SMB 簽名設為默認後“舊的不安全”來賓訪問的解決方法

本月早些時候，微軟強制要求所有連接都必須進行服務器消息塊 (SMB) 簽名，以提高 Windows 和 Windows 服務器的安全性。該公司在另一篇博文中更詳細地解釋了這一變化。這是 Redmond 巨頭持續努力的一部分，從去年開始。作為更改的結果，來賓訪問也是不可能的，這被認為是“舊的不安全”行為，因為無法進行驗證。

今天，Windows Server 工程組的首席項目經理 Ned Pyle 發布了一篇新的技術社區博客文章，討論了來賓身份驗證問題及其解決方法。

當一個人嘗試訪客訪問時，他們將收到以下兩條消息之一：

• 您無法訪問此共享文件夾，因為您組織的安全策略會阻止未經身份驗證的來賓訪問。這些策略有助於保護您的 PC 免受網絡上不安全或惡意設備的侵害。
• 錯誤代碼：0x80070035
  找不到網絡路徑。

Pyle 補充說，唯一真正解決這個問題的方法是停止使用來賓憑據，因為沒有辦法繞過更改。因此，它並不是真正的“修復”，更像是一種接受。他們解釋說：

使固定

Microsoft 推薦的修復方法是停止使用訪客憑據訪問您的第三方設備。任何可以看到該設備的人都可以訪問您的所有數據，而無需任何密碼或審計跟踪。設備製造商配置來賓訪問權限，因此他們不必處理客戶忘記密碼或需要更複雜的設置過程。這些是存儲您的個人或職業生活的不安全場所。其中許多設備確實能夠配置用戶名和密碼——請查閱您的供應商文檔。其他人可能有能力進行軟件升級。而其他人可能只是不安全——對於那些人，你應該用值得信賴的產品替換它們，並將所有數據從舊設備上移走，確保你擦乾淨它的驅動器，然後回收它。

但是，如果除了訪客身份驗證之外無法訪問，則必須禁用 SMB 唱歌的要求，但這預計會導致更易受攻擊的環境。在下面引用的解決方法部分，Ned Pyle 列出了禁用默認 SMB 簽名的所有方法：

解決方法

如果您不能為您的第三方禁用來賓，則必須禁用 SMB 簽名的要求。顯然，這意味著現在您不僅在使用來賓訪問權限，而且還在阻止您的客戶端保證登錄到受信任的設備。這就是為什麼這只是一種解決方法，我們不推薦它。

您可以通過三種方式禁用 SMB 簽名要求：

圖形化（一台設備上的本地組策略）

1. 在 Windows 設備上打開本地組策略編輯器 (gpedit.msc)。
2. 在控制台樹中，選擇“計算機配置”>“Windows 設置”>“安全設置”>“本地策略”>“安全選項”。
3. 雙擊 Microsoft 網絡客戶端：對通信進行數字簽名（始終）。
4. 選擇禁用 > 確定。

命令行（一台設備上的 PowerShell）

1. 打開管理員權限的 PowerShell 控制台。
2. 運行：Set-SmbClientConfiguration – RequireSecuritySignature $false

基於域的組策略（在 IT 管理的車隊上）

1. 找到將此設置應用於您的 Windows 設備的安全策略（您可以在客戶端上使用 GPRESULT /H 生成一組結果策略報告，以顯示哪個組策略需要 SMB 簽名。
2. 在 GPMC.MSC 中，更改計算機配置 > 策略 > Windows 設置 > 安全設置 > 本地策略 > 安全選項。
3. 將 Microsoft 網絡客戶端：數字簽名通信（始終）設置為已禁用。
4. 將更新後的策略應用於需要通過 SMB 進行訪客訪問的 Windows 設備。

您可以在 Microsoft網站上的 Tech Community 博客文章中查看官方博客文章。