解決 Windows 11 24H2 上 NAS 存取的 SMB 簽章錯誤

• 若要在 Windows 11 上停用 SMB 簽章要求，請開啟「群組原則編輯器」並停用「Microsoft 網路用戶端：數位簽章通訊（如果伺服器同意）」原則。
• 或者，您可以使用命令提示字元或 PowerShell 來實現此目的。

如果您已升級至 Windows 11 版本 24H2（2024 更新），您可能會發現網路附加儲存 (NAS) 的存取已中斷。本指南將解釋此更改的原因以及如何解決該問題。

除了 Windows 11 24H2 中引入的眾多新功能之外，Microsoft 還實施了重要的安全性增強功能，現在要求對所有通訊進行伺服器訊息區塊 (SMB)簽署。此要求可能會導致相容性問題，特別是對於許多不支援此功能的現有文件伺服器設備，從而導致出現多個錯誤訊息。

常見錯誤通知包括「加密簽章無效」、「STATUS_INVALID_SIGNATURE」、 「0xc000a000」和「1073700864」。

如果您遇到這些錯誤，您有多種選擇。最推薦的解決方案是在 NAS 上啟用 SMB 簽章。Synology等品牌在其「網域/LDAP」和「檔案服務」設定中提供此功能，具體取決於您的特定型號。或者，您可以在受影響的 Windows 電腦上停用 SMB 簽章。

本指南將詳細介紹在 Windows 11 24H2 和其他受影響的作業系統版本上驗證和啟用 SMB 簽章所需的步驟。

• 從群組原則停用 Windows 11 上的 SMB 簽名
• 從命令提示字元停用 Windows 11 上的 SMB 簽名
• 從 PowerShell 在 Windows 11 上停用 SMB 簽名

從群組原則停用 Windows 11 上的 SMB 簽名

請依照以下步驟在 Windows 11 專業版、企業版或教育版上透過群組原則關閉 SMB 簽章功能：

1. 在 Windows 11 上開啟「開始」 。

2. 搜尋gpedit並右鍵單擊頂部結果以存取群組原則編輯器。

3. 導航至以下路徑：

   Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

4. 右鍵點選「Microsoft 網路用戶端：對通訊進行數位簽章（如果伺服器同意）」原則並選擇「屬性」。

5. 選擇停用選項。

   

6. 點選“應用”按鈕。

7. 按一下“確定”按鈕。

8. 重新啟動電腦。

完成這些步驟後，SMB 簽章將被停用，讓您存取 NAS 而不會出現任何其他問題。

從命令提示字元停用 Windows 11 上的 SMB 簽名

若要使用命令提示字元停用 SMB 簽名，請依照下列說明操作：

1. 打開開始。

2. 搜尋命令提示字元（或終端），以滑鼠右鍵按一下頂部結果，然後選擇以管理員身分執行。

3. 輸入以下命令以停用 SMB 簽名並按Enter：

   reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v RequireSecuritySignature /t REG_DWORD /d 0 /f
   

4. 重新啟動電腦。

完成這些步驟後，嘗試透過 SMB 協定存取檔案伺服器時不應再出現錯誤訊息。

如果您想要撤銷這些更改，只需重複這些步驟，但請在步驟 3 中執行下列命令：reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v EnableSecuritySignature /t REG_DWORD /d 1 /f。

從 PowerShell 在 Windows 11 上停用 SMB 簽名

若要使用 PowerShell 在 Windows 11 上關閉 SMB 簽章功能，請依照下列說明操作：

1. 打開開始。

2. 搜尋PowerShell（或終端），以滑鼠右鍵按一下頂部結果，然後選擇以管理員身分執行。

3. 鍵入以下命令以停用 SMB 簽名並按Enter：

   Set-SmbClientConfiguration -RequireSecuritySignature $false
   

4. 輸入“Y”並按Enter 鍵確認變更。

5. （可選）若要驗證 Windows 11 上的 SMB 簽章狀態，您可以執行下列命令：

   Get-SmbClientConfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature

6. 重新啟動電腦。

完成這些步驟後，您應該能夠存取和瀏覽網路上的文件伺服器，而不會遇到錯誤。

如果您稍後需要恢復此更改，只需按照相同的說明進行操作，但請執行步驟 3 中的命令Set-SmbClientConfiguration -RequireSecuritySignature $true。

SMB 簽署的注意事項

在網路方面，SMB 簽章是整合到 Windows 儲存系統中使用的CIFS（通用 Internet 檔案系統）和 SMB 檔案共用協定中的安全功能。此功能可確保透過協定傳送的訊息在其標頭中包含簽名，可以驗證該簽名以確認訊息內容在傳輸過程中保持不變。從本質上講，這種機制有助於防止潛在的安全威脅，例如中間人攻擊。

儘管此功能已經存在很長時間了，但僅從 24H2 版本開始由作業系統強制執行。

最終，啟用 SMB 簽章可以增強用戶端和伺服器裝置之間的網路安全性。然而，它確實需要額外的處理資源，這可能會影響效能和設備之間的傳輸速度。

只要可行，配置 NAS 以支援 SMB 簽名功能是最佳實踐。如果這是無法實現或對效能產生不利影響，可以使用多種方法在 Windows 11 上停用它。

如果 Microsoft 選擇在較舊的作業系統版本（包括 Windows 10）中強制使用此功能，這些說明也可能會有所幫助。

來源