1月14日消息,微软官方技术博客近日更新了一篇博文,微软首席项目经理NedPyle表示 Win11 专业版即将默认禁用SMB来宾认证服务,认为这项服务存在诸多不安全的地方。
在微软近日发布的Win11Build25267和Build25276两个预览版中已经默认禁用,以增强安全性。
(相关资料图)
微软表示禁用SMB来宾身份验证,这因为该协议不支持签名、证书等审计跟踪和安全机制。因此不少黑客利用man-in-the-middle(MITM)方式进行攻击,甚至会在服务器场景中进行利用。在最糟糕的情况下,恶意行为者可以使用访客登录来获取整个网络的读取或复制访问权限,并且不会留下任何审计线索。
自Windows2000以来,默认情况下不允许访客登录。同样,Windows10 教育版和企业版不允许SMB2和SMB3在尝试输入错误密码后回退到访客登录。
有趣的是,虽然 Windows11 专业版Insider预览版默认禁用来宾身份验证,但Windows10专业版却没有默认禁用。
了解到,如果是合法的远程存储设备要求使用SMB的来宾方式访问(通常是消费者或者小型NAS),用户从Win11专业版连接时可能会看到以下错误:
Youcan'taccessthissharedfolderbecauseyourorganization'ssecuritypoliciesblockunauthenticatedguestaccess.ThesepolicieshelpprotectyourPCfromunsafeormaliciousdevicesonthenetwork.
Errorcode:0x80070035
Thenetworkpathwasnotfound.
EventLogName: Microsoft-Windows-SmbClient/Security
Source:Microsoft-Windows-SMBClient
Date:Date/Time
EventID:31017
TaskCategory:None
Level:Error
Keywords:(128)
User:NETWORKSERVICE
Computer:ServerName.contoso.com
Description:Rejectedaninsecureguestlogon.
Username:Ned
Servername:ServerName
如果看到上述错误,推荐的解决方案是将远程设备配置为停止要求访客身份验证。如果您的设备允许访客访问,则您网络上的任何设备或个人都可以读取或复制您的所有共享数据,而无需任何审计跟踪或凭据。