微軟強制使用 Windows 11 Canary build 25381 進行 SMB 簽名

微軟今天在 Canary 頻道上為 Insiders 發布了最新的 Windows 11 版本。新版本 25381 帶來了 SMB（服務器消息塊）簽名的重大變化。以前 SMB 簽名不是強制性的，但在最新版本中，Windows 11、Windows 10 和服務器默認需要 SMB 簽名。微軟表示，進行此更改是為了提高安全性。

build 25381 的變更日誌如下：

Build 25381 中的新增功能

SMB 簽名要求更改

從 Windows 11 Insider Preview Build 25381 企業版開始，現在默認情況下所有連接都需要 SMB 簽名。這改變了傳統行為，Windows 10 和 11 默認情況下僅在連接到名為SYSVOL 和 NETLOGON的共享時才需要 SMB 簽名，而 Active Directory域控制器在任何客戶端連接到它們時都需要 SMB 簽名。這是為現代環境提高 Windows 和 Windows Server 安全性的活動的一部分。

所有版本的 Windows 和 Windows Server 都支持 SMB 簽名。但是第三方可能會禁用或不支持它。如果您嘗試連接到不允許 SMB 簽名的第三方 SMB 服務器上的遠程共享，您可能會收到以下錯誤消息之一：

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• 加密簽名無效。

要解決此問題，請配置您的第三方 SMB 服務器以支持 SMB 簽名。這是微軟官方推薦的指導。不要在 Windows 中禁用 SMB 簽名或使用 SMB1 來解決此問題（SMB1 支持簽名但不強制執行）。不支持簽名的 SMB 設備允許攔截和中繼來自惡意方的攻擊。

SMB 簽名會降低 SMB 複製操作的性能。您可以使用更多物理 CPU 內核或虛擬 CPU 以及更新、更快的 CPU 來緩解這種情況。

要查看當前的 SMB 簽名設置，請運行以下 PowerShell 命令：


Get-SmbServerConfiguration | fl requiresecuritysignature


Get-SmbClientConfiguration | fl requiresecuritysignature

要禁用 SMB 登錄客戶端（出站到其他設備）連接的要求，請以提升的管理員身份運行以下 PowerShell 命令：


Set-SmbClientConfiguration -RequireSecuritySignature $false

要禁用 SMB 登錄服務器的要求（在 Windows 11 Insider Preview Build 25381 和更高版本的企業版設備上），請以提升的管理員身份運行以下 PowerShell 命令：

設置 SmbServerConfiguration -RequireSecuritySignature $false

不需要重新啟動，但現有的 SMB 連接在關閉之前仍將使用簽名。

有關此更改的更多信息，請訪問https://aka.ms/SMBSigningOBD。

變化和改進

[一般的]

• 如果檢測到攝像頭流式傳輸問題，例如攝像頭無法啟動或攝像頭快門關閉，將出現一個彈出對話框，建議啟動自動獲取幫助故障排除程序來解決問題。

您可以在此處找到官方博客文章。