解決 Windows 11 24H2 上 NAS 存取的 SMB 簽章錯誤
- 若要在 Windows 11 上停用 SMB 簽章要求,請開啟「群組原則編輯器」並停用「Microsoft 網路用戶端:數位簽章通訊(如果伺服器同意)」原則。
- 或者,您可以使用命令提示字元或 PowerShell 來實現此目的。
如果您已升級至 Windows 11 版本 24H2(2024 更新),您可能會發現網路附加儲存 (NAS) 的存取已中斷。本指南將解釋此更改的原因以及如何解決該問題。
除了 Windows 11 24H2 中引入的眾多新功能之外,Microsoft 還實施了重要的安全性增強功能,現在要求對所有通訊進行伺服器訊息區塊 (SMB)簽署。此要求可能會導致相容性問題,特別是對於許多不支援此功能的現有文件伺服器設備,從而導致出現多個錯誤訊息。
常見錯誤通知包括「加密簽章無效」、「STATUS_INVALID_SIGNATURE」、 「0xc000a000」和「1073700864」。
如果您遇到這些錯誤,您有多種選擇。最推薦的解決方案是在 NAS 上啟用 SMB 簽章。Synology等品牌在其「網域/LDAP」和「檔案服務」設定中提供此功能,具體取決於您的特定型號。或者,您可以在受影響的 Windows 電腦上停用 SMB 簽章。
本指南將詳細介紹在 Windows 11 24H2 和其他受影響的作業系統版本上驗證和啟用 SMB 簽章所需的步驟。
從群組原則停用 Windows 11 上的 SMB 簽名
請依照以下步驟在 Windows 11 專業版、企業版或教育版上透過群組原則關閉 SMB 簽章功能:
-
在 Windows 11 上開啟「開始」 。
-
搜尋gpedit並右鍵單擊頂部結果以存取群組原則編輯器。
-
導航至以下路徑:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
-
右鍵點選「Microsoft 網路用戶端:對通訊進行數位簽章(如果伺服器同意)」原則並選擇「屬性」。
-
選擇停用選項。
-
點選“應用”按鈕。
-
按一下“確定”按鈕。
-
重新啟動電腦。
完成這些步驟後,SMB 簽章將被停用,讓您存取 NAS 而不會出現任何其他問題。
從命令提示字元停用 Windows 11 上的 SMB 簽名
若要使用命令提示字元停用 SMB 簽名,請依照下列說明操作:
-
打開開始。
-
搜尋命令提示字元(或終端),以滑鼠右鍵按一下頂部結果,然後選擇以管理員身分執行。
-
輸入以下命令以停用 SMB 簽名並按Enter:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v RequireSecuritySignature /t REG_DWORD /d 0 /f
-
重新啟動電腦。
完成這些步驟後,嘗試透過 SMB 協定存取檔案伺服器時不應再出現錯誤訊息。
如果您想要撤銷這些更改,只需重複這些步驟,但請在步驟 3 中執行下列命令:reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v EnableSecuritySignature /t REG_DWORD /d 1 /f
。
從 PowerShell 在 Windows 11 上停用 SMB 簽名
若要使用 PowerShell 在 Windows 11 上關閉 SMB 簽章功能,請依照下列說明操作:
-
打開開始。
-
搜尋PowerShell(或終端),以滑鼠右鍵按一下頂部結果,然後選擇以管理員身分執行。
-
鍵入以下命令以停用 SMB 簽名並按Enter:
Set-SmbClientConfiguration -RequireSecuritySignature $false
-
輸入“Y”並按Enter 鍵確認變更。
-
(可選)若要驗證 Windows 11 上的 SMB 簽章狀態,您可以執行下列命令:
Get-SmbClientConfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature
-
重新啟動電腦。
完成這些步驟後,您應該能夠存取和瀏覽網路上的文件伺服器,而不會遇到錯誤。
如果您稍後需要恢復此更改,只需按照相同的說明進行操作,但請執行步驟 3 中的命令Set-SmbClientConfiguration -RequireSecuritySignature $true
。
SMB 簽署的注意事項
在網路方面,SMB 簽章是整合到 Windows 儲存系統中使用的CIFS(通用 Internet 檔案系統)和 SMB 檔案共用協定中的安全功能。此功能可確保透過協定傳送的訊息在其標頭中包含簽名,可以驗證該簽名以確認訊息內容在傳輸過程中保持不變。從本質上講,這種機制有助於防止潛在的安全威脅,例如中間人攻擊。
儘管此功能已經存在很長時間了,但僅從 24H2 版本開始由作業系統強制執行。
最終,啟用 SMB 簽章可以增強用戶端和伺服器裝置之間的網路安全性。然而,它確實需要額外的處理資源,這可能會影響效能和設備之間的傳輸速度。
只要可行,配置 NAS 以支援 SMB 簽名功能是最佳實踐。如果這是無法實現或對效能產生不利影響,可以使用多種方法在 Windows 11 上停用它。
如果 Microsoft 選擇在較舊的作業系統版本(包括 Windows 10)中強制使用此功能,這些說明也可能會有所幫助。
發佈留言