微軟在Windows 11中測(cè)試強(qiáng)制SMB簽名 可能會(huì)引起一系列兼容性問(wèn)題 – 藍(lán)點(diǎn)網(wǎng)
要說(shuō)大型企業(yè)最關(guān)心的微軟問(wèn)題,那 SMB 共享肯定是測(cè)試其中之一,大部分企業(yè)內(nèi)部都會(huì)采用 SMB 來(lái)共享某些文件夾,強(qiáng)制B簽沈陽(yáng)包夜外圍上門(mén)外圍女姐(微信181-2989-2716)一二線城市均可安排、高端一手資源、高質(zhì)量外圍女模特空姐、學(xué)生妹應(yīng)有盡有方便公司內(nèi)部人員訪問(wèn)。引起
所以對(duì) IT 管理員來(lái)說(shuō),系列性問(wèn)接下來(lái)微軟強(qiáng)制啟用 SMB 簽名又要增加工作量了,兼容不過(guò)好處是題藍(lán)這個(gè)真的可以增強(qiáng)安全性。
上周六微軟發(fā)布 Windows 11 Canary Build 25381 版,點(diǎn)網(wǎng)在這個(gè)版本中微軟強(qiáng)制啟用了 SMB 簽名,微軟Windows XP~8.1、測(cè)試Windows 10、強(qiáng)制B簽Windows 11、引起Windows Server 版本都已經(jīng)支持 SMB 簽名,系列性問(wèn)但某些第三方的兼容軟件不一定支持。
SMB 簽名機(jī)制:
SMB 簽名也稱為安全簽名,題藍(lán)沈陽(yáng)包夜外圍上門(mén)外圍女姐(微信181-2989-2716)一二線城市均可安排、高端一手資源、高質(zhì)量外圍女模特空姐、學(xué)生妹應(yīng)有盡有這是 SMB 協(xié)議中的一種安全機(jī)制,每個(gè) SMB 消息都包含使用會(huì)話密鑰生成的簽名,客戶端則是將 SMB 塊的哈希放在 SMB 標(biāo)頭的簽名字段中。
這與 HTTPS 加密有些類似:當(dāng) SMB 塊在傳輸中遭到篡改,那么哈希無(wú)法匹配,此時(shí) SMB 就知道有人劫持或篡改了數(shù)據(jù)。
微軟推薦的機(jī)制是使用 Kerberos 而非 NTLMv2,這可以繼續(xù)增強(qiáng)安全性,這樣也不需要使用 IP 地址連接,也不需要 CNAME 記錄。
強(qiáng)制啟用的后果:
對(duì)于所有 Windows 系統(tǒng)而言啟用 SMB 簽名不會(huì)產(chǎn)生兼容性問(wèn)題,還可以提高安全性,只是企業(yè)中通常使用的不只是 Windows 系統(tǒng)和 Windows 服務(wù)器,這就會(huì)產(chǎn)生問(wèn)題。
根據(jù)微軟的說(shuō)明,如果第三方軟件或系統(tǒng)禁用或不支持 SMB 簽名,則連接到這些軟件、系統(tǒng)、服務(wù)器時(shí)會(huì)報(bào)錯(cuò),常見(jiàn)錯(cuò)誤消息包括:
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- The cryptographic signature is invalid.
要解決此問(wèn)題只能尋求第三方軟件、系統(tǒng)開(kāi)發(fā)商的支持,如果只是禁用那還好,啟用就行,如果是不支持的話那就歇菜了,尤其是那些僅支持 SMB 3.0 的東東( 3.0?這類老舊版本是不支持簽名的,所以無(wú)法使用)。
舉個(gè)例子:
群暉 NAS 的 DSM 系統(tǒng),默認(rèn)情況下 SMB 是禁用簽名的,如果要實(shí)現(xiàn)互通訪問(wèn),則需要在 DSM 控制面板、文件服務(wù)、SMB、高級(jí)設(shè)置、常規(guī),將啟用服務(wù)器簽發(fā)改成強(qiáng)制 (如果是域控設(shè)備還需要在 LADP 中加入域)。
好消息是目前大多數(shù) SMB 軟件、客戶端系統(tǒng)、服務(wù)器都支持 SMB 簽名,唯一要做的就是挨個(gè)檢查這些東西,把 SMB 簽名全部改成啟用或強(qiáng)制。
對(duì) IT 管理員來(lái)說(shuō)這不算技術(shù)問(wèn)題,但可能會(huì)增加工作量,提前測(cè)試的好處就是未來(lái)不影響業(yè)務(wù)系統(tǒng)。至于微軟何時(shí)在 Windows 10、Windows 11、Windows Server 穩(wěn)定版通道強(qiáng)制啟用 SMB 簽名暫時(shí)還不清楚。
對(duì)了,IT?管理員們還有個(gè)工作不要忘記:微軟修復(fù)安全啟動(dòng)漏洞導(dǎo)致所有舊版Windows鏡像全部作廢 請(qǐng)及時(shí)更新
相關(guān)支持文檔 1:https://techcommunity.microsoft.com/t5/storage-at-microsoft/smb-signing-required-by-default-in-windows-insider/ba-p/3831704
相關(guān)支持文檔 2:https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/networking/overview-server-message-block-signing