微軟官方技術博客近日更新了一篇博文，微軟首席項目經理 Ned Pyle 表示 Win11 專業版即將默認禁用 SMB 來賓認證服務，認為這項服務存在諸多不安全的地方。

在微軟近日發布的 Win11 Build 25267 和 Build 25276 兩個預覽版中已經默認禁用，以增強安全性。

微軟表示禁用 SMB 來賓身份驗證，這因為該協議不支持簽名、證書等審計跟蹤和安全機制。因此不少黑客利用 man-in-the-middle（MITM）方式進行攻擊，甚至會在服務器場景中進行利用。在最糟糕的情況下，惡意行為者可以使用訪客登錄來獲取整個網絡的讀取或復制訪問權限，并且不會留下任何審計線索。

自 Windows 2000 以來，默認情況下不允許訪客登錄。同樣，Windows 10 教育版和企業版不允許 SMB2 和 SMB3 在嘗試輸入錯誤密碼后回退到訪客登錄。

有趣的是，雖然 Windows 11 專業版 Insider 預覽版默認禁用來賓身份驗證，但 Windows 10 專業版卻沒有默認禁用。

我們了解到，如果是合法的遠程存儲設備要求使用 SMB 的來賓方式訪問（通常是消費者或者小型 NAS），用戶從 Win11 專業版連接時可能會看到以下錯誤：

You can"t access this shared folder because your organization"s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

Error code: 0x80070035

The network path was not found.

Event Log Name: Microsoft-Windows-SmbClient/Security

Source: Microsoft-Windows-SMBClient

Date: Date/Time

Event ID: 31017

Task Category: None

Level: Error

Keywords: (128)

User: NETWORK SERVICE

Computer: ServerName.contoso.com

Description: Rejected an insecure guest logon.

User name: Ned

Server name: ServerName

如果看到上述錯誤，推薦的解決方案是將遠程設備配置為停止要求訪客身份驗證。如果您的設備允許訪客訪問，則您網絡上的任何設備或個人都可以讀取或復制您的所有共享數據，而無需任何審計跟蹤或憑據。