Zmiany wymagań podpisywania SMB w Windows 11 (build 25381 w Canary Channel)

Zmiany wymagań podpisywania SMB w Windows 11 (build 25381 w Canary Channel)

Autor: Krzysztof Sulikowski

Opublikowano: 6/2/2023, 8:30 PM

Liczba odsłon: 1236

Świeżo z taśmy zjechał nowy build Windows 11 Insider Preview w Canary Channel. Tym razem Microsoft zaczyna testować zmiany dotyczące sygnatury zabezpieczeń SMB, a także wyświetlania okienka dialogowego w sytuacjach, w których wystąpią problemy ze streamingiem obrazu z kamery.

Windows 11: nowości w kompilacji 25381 w Canary Channel

Zmiany wymagań podpisywania SMB

Począwszy od kompilacji 25381 w edycjach Enterprise, podpisywanie SMB jest teraz domyślnie wymagane dla wszystkich połączeń. Jest to zmiana w stosunku do starszego zachowania Windows 10 i Windows 11, które domyślnie wymagały podpisywania SMB jedynie przy łączeniu z zasobami o nazwach SYSVOL i NETLOGON, a kontrolery domeny Active Directory wymagały podpisywania SMB, gdy jakikolwiek klient się z nimi łączył. Jest to część kampanii mającej na celu poprawę bezpieczeństwa Windows i Windows Server w nowoczesnym środowisku.

Wszystkie wersje Windows i Windows Server obsługują podpisywanie SMB. Zewnętrzne zasoby mogą jednak mieć je wyłączone lub mogą go nie wspierać. Jeśli próbujesz połączyć się z zasobem zdalnym na zewnętrznym serwerze SMB, który nie pozwala na podpisywanie SMB, możesz otrzymać wiadomość błędu np. 0xc000a000, -1073700864, STATUS_INVALID_SIGNATURE albo The cryptographic signature is invalid.

Aby to naprawić, skonfiguruj swój zewnętrzny serwer, aby obsługiwał podpisywanie SMB. Jest to oficjalna porada Microsoftu. Nie wyłączaj podpisywania SMB w Windows, aby używać SMB1 w celu obejścia tego zachowania (SMB1 wspiera podpisywanie, ale go nie wymusza). Urządzenie SMB, które nie wspiera podpisywania, umożliwia ataki typu interception i relay. Podpisywanie SMB może zmniejszyć wydajność operacji kopiowania SMB. Możesz temu zapobiec, stosując więcej fizycznych rdzeni CPU lub wirtualnych CPU, a także nowsze, szybsze CPU.

Aby zobaczyć obecne ustawienia podpisywania SMB, uruchom w PowerShell polecenia:

Get-SmbServerConfiguration | fl requiresecuritysignature
Get-SmbClientConfiguration | fl requiresecuritysignature

Aby wyłączyć wymaganie podpisywania SMB na kliencie (wychodzące na inne urządzenia), jako administrator z podwyższonym poziomem uprawnień uruchom w PowerShell polecenie:

Set-SmbClientConfiguration -RequireSecuritySignature $false

Aby wyłączyć wymaganie podpisywania SMB na serwerze (na Windows 11 Insider Preview Build 25381 lub nowszym w edycjach Enterprise), jako administrator z podwyższonym poziomem uprawnień uruchom w PowerShell polecenie:

Set-SmbServerConfiguration -RequireSecuritySignature $false

Nie jest wymagane ponowne uruchomienie, ale istniejące połączenia SMB będą nadal używały podpisywania aż do czasu ich zamknięcia.

Pozostałe zmiany i ulepszenia

Ogólne

  • Jeśli wykryte zostaną problemy ze streamingiem z kamery, np. kamera nie może się uruchomić lub jej migawka jest zamknięta, pojawi się wyskakujące okno dialogowe z rekomendacją uruchomienia zautomatyzowanego narzędzia rozwiązywania problemów "Uzyskaj pomoc".

Źródło: https://blogs.windows.com/windows-insider/2023/06/02/announcing-windows-11-insider-preview-build-25381/

Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży
Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży

Wydarzenia