微軟詳細介紹了在將 SMB 簽名設為默認後“舊的不安全”來賓訪問的解決方法
本月早些時候,微軟強制要求所有連接都必須進行服務器消息塊 (SMB) 簽名,以提高 Windows 和 Windows 服務器的安全性。該公司在另一篇博文中更詳細地解釋了這一變化。這是 Redmond 巨頭持續努力的一部分,從去年開始。作為更改的結果,來賓訪問也是不可能的,這被認為是“舊的不安全”行為,因為無法進行驗證。
今天,Windows Server 工程組的首席項目經理 Ned Pyle 發布了一篇新的技術社區博客文章,討論了來賓身份驗證問題及其解決方法。
當一個人嘗試訪客訪問時,他們將收到以下兩條消息之一:
- 您無法訪問此共享文件夾,因為您組織的安全策略會阻止未經身份驗證的來賓訪問。這些策略有助於保護您的 PC 免受網絡上不安全或惡意設備的侵害。
- 錯誤代碼:0x80070035
找不到網絡路徑。
Pyle 補充說,唯一真正解決這個問題的方法是停止使用來賓憑據,因為沒有辦法繞過更改。因此,它並不是真正的“修復”,更像是一種接受。他們解釋說:
使固定
Microsoft 推薦的修復方法是停止使用訪客憑據訪問您的第三方設備。任何可以看到該設備的人都可以訪問您的所有數據,而無需任何密碼或審計跟踪。設備製造商配置來賓訪問權限,因此他們不必處理客戶忘記密碼或需要更複雜的設置過程。這些是存儲您的個人或職業生活的不安全場所。其中許多設備確實能夠配置用戶名和密碼——請查閱您的供應商文檔。其他人可能有能力進行軟件升級。而其他人可能只是不安全——對於那些人,你應該用值得信賴的產品替換它們,並將所有數據從舊設備上移走,確保你擦乾淨它的驅動器,然後回收它。
但是,如果除了訪客身份驗證之外無法訪問,則必須禁用 SMB 唱歌的要求,但這預計會導致更易受攻擊的環境。在下面引用的解決方法部分,Ned Pyle 列出了禁用默認 SMB 簽名的所有方法:
解決方法
如果您不能為您的第三方禁用來賓,則必須禁用 SMB 簽名的要求。顯然,這意味著現在您不僅在使用來賓訪問權限,而且還在阻止您的客戶端保證登錄到受信任的設備。這就是為什麼這只是一種解決方法,我們不推薦它。
您可以通過三種方式禁用 SMB 簽名要求:
圖形化(一台設備上的本地組策略)
- 在 Windows 設備上打開本地組策略編輯器 (gpedit.msc)。
- 在控制台樹中,選擇“計算機配置”>“Windows 設置”>“安全設置”>“本地策略”>“安全選項”。
- 雙擊 Microsoft 網絡客戶端:對通信進行數字簽名(始終)。
- 選擇禁用 > 確定。
命令行(一台設備上的 PowerShell)
- 打開管理員權限的 PowerShell 控制台。
- 運行:Set-SmbClientConfiguration – RequireSecuritySignature $false
基於域的組策略(在 IT 管理的車隊上)
- 找到將此設置應用於您的 Windows 設備的安全策略(您可以在客戶端上使用 GPRESULT /H 生成一組結果策略報告,以顯示哪個組策略需要 SMB 簽名。
- 在 GPMC.MSC 中,更改計算機配置 > 策略 > Windows 設置 > 安全設置 > 本地策略 > 安全選項。
- 將 Microsoft 網絡客戶端:數字簽名通信(始終)設置為已禁用。
- 將更新後的策略應用於需要通過 SMB 進行訪客訪問的 Windows 設備。
您可以在 Microsoft網站上的 Tech Community 博客文章中查看官方博客文章。
發佈留言