微軟官方技術(shù)博客近日更新了一篇博文，微軟首席項(xiàng)目經(jīng)理 Ned Pyle 表示 Win11 專(zhuān)業(yè)版即將默認(rèn)禁用 SMB 來(lái)賓認(rèn)證服務(wù)，認(rèn)為這項(xiàng)服務(wù)存在諸多不安全的地方。

在微軟近日發(fā)布的 Win11 Build 25267 和 Build 25276 兩個(gè)預(yù)覽版中已經(jīng)默認(rèn)禁用，以增強(qiáng)安全性。

微軟表示禁用 SMB 來(lái)賓身份驗(yàn)證，這因?yàn)樵搮f(xié)議不支持簽名、證書(shū)等審計(jì)跟蹤和安全機(jī)制。因此不少黑客利用 man-in-the-middle（MITM）方式進(jìn)行攻擊，甚至?xí)诜?wù)器場(chǎng)景中進(jìn)行利用。在最糟糕的情況下，惡意行為者可以使用訪客登錄來(lái)獲取整個(gè)網(wǎng)絡(luò)的讀取或復(fù)制訪問(wèn)權(quán)限，并且不會(huì)留下任何審計(jì)線索。

自 Windows 2000 以來(lái)，默認(rèn)情況下不允許訪客登錄。同樣，Windows 10 教育版和企業(yè)版不允許 SMB2 和 SMB3 在嘗試輸入錯(cuò)誤密碼后回退到訪客登錄。

有趣的是，雖然 Windows 11 專(zhuān)業(yè)版 Insider 預(yù)覽版默認(rèn)禁用來(lái)賓身份驗(yàn)證，但 Windows 10 專(zhuān)業(yè)版卻沒(méi)有默認(rèn)禁用。

我們了解到，如果是合法的遠(yuǎn)程存儲(chǔ)設(shè)備要求使用 SMB 的來(lái)賓方式訪問(wèn)（通常是消費(fèi)者或者小型 NAS），用戶(hù)從 Win11 專(zhuān)業(yè)版連接時(shí)可能會(huì)看到以下錯(cuò)誤：

You can"t access this shared folder because your organization"s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

Error code: 0x80070035

The network path was not found.

Event Log Name: Microsoft-Windows-SmbClient/Security

Source: Microsoft-Windows-SMBClient

Date: Date/Time

Event ID: 31017

Task Category: None

Level: Error

Keywords: (128)

User: NETWORK SERVICE

Computer: ServerName.contoso.com

Description: Rejected an insecure guest logon.

User name: Ned

Server name: ServerName

如果看到上述錯(cuò)誤，推薦的解決方案是將遠(yuǎn)程設(shè)備配置為停止要求訪客身份驗(yàn)證。如果您的設(shè)備允許訪客訪問(wèn)，則您網(wǎng)絡(luò)上的任何設(shè)備或個(gè)人都可以讀取或復(fù)制您的所有共享數(shù)據(jù)，而無(wú)需任何審計(jì)跟蹤或憑據(jù)。