Microsoft va face în curând o schimbare importantă care va fi implementată pe scară mai largă odată cu actualizarea Windows 11 24H2, îmbunătățind semnificativ securitatea conexiunilor individuale de rețea locală care utilizează protocolul SMB. În esență, modificarea va însemna că sistemul va bloca conexiunile nesigure care utilizează versiuni anterioare ale protocolului SMB, fie că este vorba de routere care utilizează partajarea de fișiere prin port USB, fie unele configurații NAS. În cazul în care acestea nu necesită un nume de utilizator și o parolă pentru a accesa conținutul, conexiunea poate fi respinsă de Windows 11 24H2.
Acest lucru a fost menționat recent de Ned Pyle, Chief Program Manager al Microsoft, prin intermediul blogului oficial al companiei. Acesta a explicat în postare că SMB1 are acum mai bine de 40 de ani și că se vorbește despre modificări încă din 2022, urmând să fie înlocuit odată cu sosirea Windows 11 24H2. Sistemul de operare cu noul pachet de actualizări va cere utilizatorilor să se logheze pentru a utiliza protocolul SMB în toate cazurile, ceea ce va contribui la prevenirea accesului neautorizat la conținut. Pentru protocolul SMB, revenirea la modul invitat va fi dezactivată în versiunea Windows 11 Pro, ceea ce înseamnă că serverul SMB nu va fi accesibil fără un nume de utilizator și o parolă.
Utilizarea SMB cu logare este disponibilă în Windows de 30 de ani, dar va fi obligatorie pentru toate conexiunile odată cu viitoarea actualizare. SMB Guest a fost dezactivat în Windows timp de 25 de ani, iar SMB Guest Fallback a fost dezactivat în diferite ediții ale Windows 10, inclusiv Enterprise, Education, Pro și Workstation. Ambele modificări vor avea ca rezultat o comunicare mai sigură nu numai în Windows, ci și în orice lucru care rulează SMB și dorește să "vorbească" cu Windows. Această schimbare a fost implementată timp de un an în build-urile Dev și Canary ale programului Windows Insider Preview.
Schimbarea este necesară pentru a împiedica un server rău intenționat să inițieze de la distanță o conexiune SMB în scopuri icicite, fără a avea credențiale de conectare - nu există nici o modalitate reală de a face distincția între un NAS fără conectare bazată pe SMB și serverul rău intenționat în cauză, motiv pentru care astfel de conexiuni ar trebui dezactivate. Nu va fi posibilă introducerea credențialelor de invitat în timpul conectării SMB, astfel încât, chiar dacă este activată funcția Guest Fallback, aceasta nu va funcționa.
Dacă încercați să vă conectați la un NAS, la un router USB sau la un alt dispozitiv fără suport pentru SMB Signing, veți primi unul dintre următoarele mesaje de eroare:
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- Semnătura criptografică este invalidă
Dacă dispozitivul dvs. necesită SMB Guest Access, este posibil să primiți următoarele mesaje de eroare:
- Nu puteți accesa acest folder partajat deoarece politicile de securitate ale organizației dvs. blochează accesul neautentificat al oaspeților. Aceste politici ajută la protejarea PC-ului dvs. împotriva dispozitivelor nesigure sau rău intenționate din rețea
- 0x80070035
- 0x800704f8
- Calea de rețea nu a fost găsită
- A apărut eroarea de sistem 3227320323
Pentru a rezolva eroarea, activați opțiunea SMB Signing (Semnarea SMB) pentru NAS sau router, dezactivați caracteristica Guest Access (Accesul oaspeților), apoi introduceți un nume de utilizator și o parolă pe care dispozitivul le va solicita atunci când se conectează pentru partajarea de fișiere. Dacă o astfel de funcție nu este disponibilă, va trebui să actualizați firmware-ul sau software-ul dispozitivului, dacă este disponibil. În caz contrar, se recomandă să înlocuiți dispozitivul cu unul mai sigur și apoi să dezactivați temporar opțiunile de securitate de mai sus pentru a copia date, așa cum este descris în detaliu la sfârșitul acestui post .
În același timp, echipa Microsoft solicită tuturor celor care au un dispozitiv NAS sau un router USB care nu permite dezactivarea partajării fișierelor prin SMB Signing și pentru care nu este disponibilă în prezent nicio actualizare, să trimită tipul exact de dispozitiv și numele producătorului. Odată ce vor avea aceste informații, vor încerca să convingă producătorul să activeze SMB Signing cu o actualizare. Desigur, nu există nici o garanție că această cerere va fi onorată de producător, dar puteți spera.