本月早些时候,微软将服务器信息块(SMB)签名作为所有连接的默认强制措施,以提高Windows和Windows服务器的安全性。该公司在另一篇博文中更详细地解释了这一变化。这是微软正在进行的努力的一部分,这项工作始于去年。作为这一变化的结果,Guest访问也是不可能的,这被认为是"旧的不安全 "行为,因为没有办法进行验证。
今天,作为Windows服务器工程组的首席项目经理,Ned Pyle发表了一篇新的技术社区博文,讨论了访客验证的问题和解决方法。
当人们尝试访客访问时,他们会收到这样两条信息中的一条:
- 你不能访问这个共享文件夹,因为你的组织的安全策略阻止未经认证的访客访问。这些策略有助于保护你的电脑免受网络上不安全或恶意设备的影响。
- 错误代码: 0x80070035
没有找到网络路径。
Pyle补充说,真正解决这个问题的唯一办法是停止使用访客凭证,因为没有办法绕过这一变化。因此,这不是一个真正的"修复",而更像是一种接受。他们解释说:
微软推荐的修复方法是停止使用访客凭证访问你的第三方设备。任何人--任何能看到该设备的人都可以访问你的所有数据,而不需要任何密码或审计跟踪。设备制造商配置了访客访问,这样他们就不必处理客户忘记密码的问题,或者需要一个更复杂的设置过程。这些是储存你的个人或职业生活的不安全地方。许多这些设备确实有配置用户名和密码的能力--请咨询你的供应商文件。其他设备可能通过软件升级而具备这种能力。还有一些可能就是不安全的--对于这些,你应该用一个值得信赖的产品来取代它们,并将你的所有数据从旧设备上移走,确保你将其驱动器清除干净。
然而,如果没有办法在访客认证之外进行访问,那么就必须禁用SMB签名的要求,但这将导致一个更脆弱的环境。在下面引用的解决方法部分,Ned Pyle已经列出了所有禁用默认SMB签名的方法:
如果你不能为你的第三方禁止使用Guest,你必须禁止SMB签名的要求。显然,这意味着现在你不仅使用了访客访问,而且还阻止了你的客户端保证对受信任设备的签名。这就是为什么这只是一个变通办法,我们不推荐这样做。
你可以通过三种方式禁用SMB签名要求:
图形化操作(本地组策略)
- 在你的Windows设备上打开本地组策略编辑器(gpedit.msc)。
- 在控制台树中,选择计算机配置>Windows设置>安全设置>本地策略>安全选项。
- 双击“Microsoft网络客户端:对通信进行数字签名(始终)”。
- 选择已禁用>确定。
命令行操作(PowerShell)
- 打开一个管理员级别的PowerShell控制台。
- 运行:Set-SmbClientConfiguration -RequireSecuritySignature $false
基于域的组策略(IT管理员权限)
- 找到将此设置应用于你的Windows设备的安全策略(你可以在客户端使用GPRESULT /H来生成一套结果的策略报告,以显示哪个组策略需要SMB签名。
- 在GPMC.MSC中,改变计算机配置>策略>Windows设置>安全设置>本地策略>安全选项。
- 设置Microsoft网络客户端:对通信进行数字签名(始终)为已禁用。
- 将更新的策略应用于需要通过SMB进行访客访问的Windows设备。
来源:微软
![[WIN] Free Download Manager v6.24.1.5847 中文版](https://www.pcsofter.com/wp-content/uploads/2021/06/2023022309512686.jpg)
