解決 Windows 11 24H2 上 NAS 存取的 SMB 簽章錯誤

解決 Windows 11 24H2 上 NAS 存取的 SMB 簽章錯誤
  • 若要在 Windows 11 上停用 SMB 簽章要求,請開啟「群組原則編輯器」並停用「Microsoft 網路用戶端:數位簽章通訊(如果伺服器同意)」原則。
  • 或者,您可以使用命令提示字元或 PowerShell 來實現此目的。

如果您已升級至 Windows 11 版本 24H2(2024 更新),您可能會發現網路附加儲存 (NAS) 的存取已中斷。本指南將解釋此更改的原因以及如何解決該問題。

除了 Windows 11 24H2 中引入的眾多新功能之外,Microsoft 還實施了重要的安全性增強功能,現在要求對所有通訊進行伺服器訊息區塊 (SMB)簽署。此要求可能會導致相容性問題,特別是對於許多不支援此功能的現有文件伺服器設備,從而導致出現多個錯誤訊息。

常見錯誤通知包括「加密簽章無效」、「STATUS_INVALID_SIGNATURE」、 「0xc000a000」「1073700864」。

如果您遇到這些錯誤,您有多種選擇。最推薦的解決方案是在 NAS 上啟用 SMB 簽章。Synology等品牌在其「網域/LDAP」和「檔案服務」設定中提供此功能,具體取決於您的特定型號。或者,您可以在受影響的 Windows 電腦上停用 SMB 簽章。

本指南將詳細介紹在 Windows 11 24H2 和其他受影響的作業系統版本上驗證和啟用 SMB 簽章所需的步驟。

從群組原則停用 Windows 11 上的 SMB 簽名

請依照以下步驟在 Windows 11 專業版、企業版或教育版上透過群組原則關閉 SMB 簽章功能:

  1. 在 Windows 11 上開啟「開始」 。

  2. 搜尋gpedit並右鍵單擊頂部結果以存取群組原則編輯器

  3. 導航至以下路徑:

    Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

  4. 右鍵點選「Microsoft 網路用戶端:對通訊進行數位簽章(如果伺服器同意)」原則並選擇「屬性」

  5. 選擇停用選項。

    停用數位簽章通訊(如果伺服器同意)策略

  6. 點選“應用”按鈕。

  7. 按一下“確定”按鈕。

  8. 重新啟動電腦。

完成這些步驟後,SMB 簽章將被停用,讓您存取 NAS 而不會出現任何其他問題。

從命令提示字元停用 Windows 11 上的 SMB 簽名

若要使用命令提示字元停用 SMB 簽名,請依照下列說明操作:

  1. 打開開始

  2. 搜尋命令提示字元(或終端),以滑鼠右鍵按一下頂部結果,然後選擇以管理員身分執行

  3. 輸入以下命令以停用 SMB 簽名並按Enter

    reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v RequireSecuritySignature /t REG_DWORD /d 0 /f
    命令提示字元禁用 SMB 簽名

  4. 重新啟動電腦。

完成這些步驟後,嘗試透過 SMB 協定存取檔案伺服器時不應再出現錯誤訊息。

如果您想要撤銷這些更改,只需重複這些步驟,但請在步驟 3 中執行下列命令:reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters"/v EnableSecuritySignature /t REG_DWORD /d 1 /f

從 PowerShell 在 Windows 11 上停用 SMB 簽名

若要使用 PowerShell 在 Windows 11 上關閉 SMB 簽章功能,請依照下列說明操作:

  1. 打開開始

  2. 搜尋PowerShell(或終端),以滑鼠右鍵按一下頂部結果,然後選擇以管理員身分執行

  3. 鍵入以下命令以停用 SMB 簽名並按Enter

    Set-SmbClientConfiguration -RequireSecuritySignature $false
    PowerShell 停用 SMB 簽名

  4. 輸入“Y”並按Enter 鍵確認變更。

  5. (可選)若要驗證 Windows 11 上的 SMB 簽章狀態,您可以執行下列命令:

    Get-SmbClientConfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature

  6. 重新啟動電腦。

完成這些步驟後,您應該能夠存取和瀏覽網路上的文件伺服器,而不會遇到錯誤。

如果您稍後需要恢復此更改,只需按照相同的說明進行操作,但請執行步驟 3 中的命令Set-SmbClientConfiguration -RequireSecuritySignature $true

SMB 簽署的注意事項

在網路方面,SMB 簽章是整合到 Windows 儲存系統中使用的CIFS(通用 Internet 檔案系統)和 SMB 檔案共用協定中的安全功能。此功能可確保透過協定傳送的訊息在其標頭中包含簽名,可以驗證該簽名以確認訊息內容在傳輸過程中保持不變。從本質上講,這種機制有助於防止潛在的安全威脅,例如中間人攻擊。

儘管此功能已經存在很長時間了,但僅從 24H2 版本開始由作業系統強制執行。

最終,啟用 SMB 簽章可以增強用戶端和伺服器裝置之間的網路安全性。然而,它確實需要額外的處理資源,這可能會影響效能和設備之間的傳輸速度。

只要可行,配置 NAS 以支援 SMB 簽名功能是最佳實踐。如果這是無法實現或對效能產生不利影響,可以使用多種方法在 Windows 11 上停用它。

如果 Microsoft 選擇在較舊的作業系統版本(包括 Windows 10)中強制使用此功能,這些說明也可能會有所幫助。

來源

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *