Windows 11将默认要求SMB签名,并计划逐步推广到其他Windows版本
SMB签名可以确保每条消息都包含使用会话密钥和密码套件生成的签名。如果有人在传输过程中更改了消息本身,则整个消息的哈希值将不匹配,从而可得知有人篡改了数据。它还会确认发送方和接收方是否是本人,以此防范中继攻击。
微软官网上说,所有版本的Windows和Windows Server都支持SMB签名,但第三方可能会对它禁用或不支持。如果用户尝试连接到不允许SMB签名的第三方SMB服务器上的远程共享,用户应该会收到以下错误消息之一:0xc000a000、-1073700864、STATUS_INVALID_SIGNATURE、The cryptographic signature is invalid.
若要解决此问题,可以将第三方SMB服务器配置为支持SMB签名。微软不建议在Windows中禁用SMB签名或使用SMB1来解决此问题(SMB1支持签名但不强制执行)。不支持签名的SMB设备允许恶意方进行拦截和中继攻击。同时,SMB签名不可避免会略微降低SMB复制操作的性能,用户需要谨慎对自身实际情况进行评估,以判断极高性能和延迟要求是否优先于未签名流量带来的安全性缺失。
若要查看当前SMB签名设置,请运行以下PowerShell命令::
Get-SmbServerConfiguration | FL requiresecuritysignature
Get-SmbClientConfiguration | FL requiresecuritysignature
若要禁用客户端连接中的SMB签名要求,请以管理员身份运行以下PowerShell命令:
Set-SmbClientConfiguration -RequireSecuritySignature $false
若要禁用服务器中的SMB签名要求,请以管理员身份运行以下PowerShell命令:
Set-SmbServerConfiguration -RequireSecuritySignature $false
微软表示,在未来几年,他们将继续推出更安全的SMB默认设置和许多新的SMB安全选项;微软知道这些变化会影响应用程序兼容性,并且Windows也有确保易用性的传统,但安全性不能听天由命。
编辑:左右里
资讯来源:Microsoft
转载请注明出处和本文链接
