1月14日消息,微软官方技术博客近日更新一篇博文,微软首席程序经理NedPyle表示Win11专业版即将默认禁用SMB访客身份验证服务认为这项服务有很多不安全因素。在微软最近发布的Win11Build25267和Build25276这两个预览版中已经默认禁用,以增强安全性。Microsoft声明禁用了SMB来宾身份验证,因为该协议不支持审计跟踪和安全机制,例如签名和证书。因此,很多黑客采用中间人(MITM)的方式进行攻击,甚至在服务器场景中使用。在最坏的情况下,恶意行为者可以使用访客登录来获取对整个网络的读取或复制访问权限,而不会留下任何审计线索。从Windows2000开始,默认情况下不允许访客登录。同样,Windows10教育版和企业版不允许SMB2和SMB3在尝试输入错误密码后回退到访客登录。有趣的是,虽然Windows11ProfessionalInsiderPreview默认禁用来宾身份验证,但Windows10Pro却没有。IT之家了解到,如果合法的远程存储设备需要SMB来宾访问(通常是消费者或小型NAS),用户从Win11Professional连接时可能会看到以下错误:Youcan'taccessthissharedfolderbecauseyourorganization'ssecuritypoliciesblockunauthenticated来宾访问。这些策略有助于保护您的PC免受网络上不安全或恶意设备的侵害。错误代码:0x80070035我们未找到网络路径。事件日志名称:Microsoft-Windows/SmbCli-Windows-SMBClientDate:日期/时间事件ID:31017任务类别:无级别:ErrorKeywords:(128)User:NETWORKSERVICEComputer:ServerName.contoso.comDescription:Rejectedaninsecureguestlogon.Username:NedServername:ServerName如果您看到上述错误,建议的解决方案是将远程设备配置为停止要求来宾身份验证.如果您的设备允许访客访问,则您网络上的任何设备或个人都可以读取或复制您的所有共享数据,而无需任何审计跟踪或凭据。
