微軟 Win11 專(zhuān)業(yè)版將默認禁用 SMB 來(lái)賓身份認證

IT之家 1 月 1* 日消息，微軟官方技術(shù)博客近日更新了一篇博文，微軟首席項目經(jīng)理 Ned Pyle 表示 Win11 專(zhuān)業(yè)版即將默認禁用 SMB 來(lái)賓認證服務(wù)，認為這項服務(wù)存在諸多不安全的地方來(lái)賓。

在微軟近日發(fā)布的 Win11 Build 2*2*7 和 Build 2*27* 兩個(gè)預覽版中已經(jīng)默認禁用，以增強安全性來(lái)賓。

微軟表示禁用 SMB 來(lái)賓身份驗證，這因為該協(xié)議不支持簽名、證書(shū)等審計跟蹤和安全機制來(lái)賓。因此不少黑客利用 man-in-the-middle（MITM）方式進(jìn)行攻擊，甚至會(huì )在服務(wù)器場(chǎng)景中進(jìn)行利用。在最糟糕的情況下，惡意行為者可以使用訪(fǎng)客登錄來(lái)獲取整個(gè)網(wǎng)絡(luò )的讀取或復制訪(fǎng)問(wèn)權限，并且不會(huì )留下任何審計線(xiàn)索。

自 Windows 2000 以來(lái)，默認情況下不允許訪(fǎng)客登錄來(lái)賓。同樣，Windows 10 教育版和企業(yè)版不允許 SMB2 和 SMB* 在嘗試輸入錯誤密碼后回退到訪(fǎng)客登錄。

有趣的是，雖然 Windows 11 專(zhuān)業(yè)版 Insider 預覽版默認禁用來(lái)賓身份驗證，但 Windows 10 專(zhuān)業(yè)版卻沒(méi)有默認禁用來(lái)賓。

IT之家了解到來(lái)賓，如果是合法的遠程存儲設備要求使用 SMB 的來(lái)賓方式訪(fǎng)問(wèn)（通常是消費者或者小型 NAS），用戶(hù)從 Win11 專(zhuān)業(yè)版連接時(shí)可能會(huì )看到以下錯誤：

You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

Error code: 0x*00700**

The network path was not found.

Event Log Name: Microsoft-Windows-SmbClient/Security

Source: Microsoft-Windows-SMBClient

Date: Date/Time

Event ID: *1017

Task Category: None

Level: Error

Keywords: (12*)

User: NETWORK SERVICE

021yin.com

Deion: Rejected an insecure guest logon.

User name: Ned

Server name: ServerName

如果看到上述錯誤，推薦的解決方案是將遠程設備配置為停止要求訪(fǎng)客身份驗證來(lái)賓。如果您的設備允許訪(fǎng)客訪(fǎng)問(wèn)，則您網(wǎng)絡(luò )上的任何設備或個(gè)人都可以讀取或復制您的所有共享數據，而無(wú)需任何審計跟蹤或憑據。