Windows 11 Pro скоро по умолчанию отключит небезопасную гостевую аутентификацию SMB

Начиная с Windows 11 Insider Preview Build 25276, редакции Windows Pro по умолчанию отключают откат небезопасной гостевой аутентификации SMB.

Гостевые входы в систему не требуют паролей и не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Разрешение клиенту использовать гостевой вход в систему делает пользователя уязвимым для сценариев attacker-in-the-middle или сценариев вредоносного сервера — например, фишинговой атаки, которая обманом заставляет пользователя открыть файл на удаленном общем ресурсе, или поддельный сервер, который обманывает клиента, заставляя его думать, что это законный файл. Злоумышленнику не нужно знать учетные данные пользователя, а неверный пароль игнорируется. По умолчанию гостевой доступ может потребоваться только сторонним удаленным устройствам. Операционные системы, предоставляемые Microsoft, не допускали общего использования гостя в серверных сценариях, начиная с Windows 2000. Изменение в Windows 10 состояло в том, чтобы дополнительно запретить SMB 2 и 3 откатываться к гостю после неправильного пароля, когда сервер запрашивает его.

Если вашему законному удаленному устройству хранения данных требуется гость - обычно это NAS для потребителей или малого бизнеса, - теперь вы увидите одну из следующих ошибок при подключении из Window 11 Insider Pro через SMB:



Рекомендуемое решение при появлении этих ошибок — настроить удаленное устройство так, чтобы оно не требовало аутентификацию гостя. Это будет стороннее устройство, а не Windows, поэтому вам нужно будет найти к нему документацию и, возможно, обновить или заменить устройство. Если ваше устройство разрешает гостевой доступ, любое устройство или человек в вашей сети может прочитать или скопировать все ваши общие данные без какого-либо аудиторского следа или учетных данных.

Если вы не можете настроить стороннее устройство для обеспечения безопасности или вам необходимо временно разрешить доступ для переноса данных на безопасное устройство, вы можете включить небезопасный гостевой доступ, выполнив шаги, описанные в статье Guest access in SMB2 and SMB3 is disabled.

Вы не должны включать SMB1 в качестве обходного пути; этот протокол имеет множество уязвимостей безопасности и отключен по умолчанию во всех версиях Windows. Защита от небезопасной гостевой аутентификации не применяется к SMB1.

Это изменение является частью движения к большей безопасности Windows по умолчанию и приводит поведение Pro в соответствие с Windows 10 и Windows 11 Enterprise и Education, где это вступило в силу много лет назад. В следующем крупном релизе Windows 11 Pro это будет по умолчанию.