Windows 11 Pro désactivera bientôt par défaut l'authentification d'invité SMB non sécurisée
À partir de Windows 11 Insider Preview Build 25276, les éditions Windows Pro désactivent par défaut la restauration non sécurisée de l'authentification invité SMB.
Les connexions invité ne nécessitent pas de mot de passe et ne prennent pas en charge les fonctionnalités standard sécurité, comme la signature et le cryptage. Autoriser un client à utiliser la connexion d'invité rend l'utilisateur vulnérable aux scripts de serveur malveillants ou malveillants, par exemple, une attaque de phishing qui incite l'utilisateur à ouvrir un fichier sur un partage distant, ou un faux serveur qui trompe le le client pense qu'il s'agit d'un fichier légitime. L'attaquant n'a pas besoin de connaître les informations d'identification de l'utilisateur et un mot de passe incorrect est ignoré. Par défaut, seuls les appareils distants tiers peuvent nécessiter un accès invité. Les systèmes d'exploitation fournis par Microsoft n'autorisaient pas l'utilisation générale de l'invité dans les scénarios de serveur à partir de Windows 2000. Un changement dans Windows 10 visait à empêcher davantage SMB 2 et 3 de se rabattre sur l'invité après un mauvais mot de passe lorsque le serveur le demande. .
Si votre périphérique de stockage à distance légitime nécessite un invité - généralement un NAS grand public ou de petite entreprise - vous verrez désormais l'une des erreurs suivantes lors de la connexion à partir de Windows 11 Insider Pro via SMB :
Vous ne pouvez pas accéder à ce partage car les politiques de sécurité de votre organisation bloquent l'accès invité sans authentification. Ces politiques aident à protéger votre ordinateur contre les appareils non sécurisés ou malveillants sur le réseau.
Code d'erreur : 0x80070035
Le chemin du réseau n'a pas été trouvé.
Nom du journal des événements : Microsoft-Windows-SmbClient/Security
Source : Microsoft-Windows-SMBClient
Date : Date/Heure
ID d'événement : 31017
Catégorie de tâche : Aucune
Niveau : Erreur
Mots clés : (128) < /p>
Utilisateur : NETWORK SERVICE
Ordinateur : ServerName.contoso.com
Description : a rejeté une connexion invité non sécurisée.
Nom d'utilisateur : Ned
Nom du serveur : ServerName
La solution recommandée pour ces erreurs est configurez le périphérique distant de sorte qu'il ne nécessite pas d'authentification d'invité. Il s'agira d'un appareil tiers, pas de Windows, vous devrez donc trouver de la documentation pour celui-ci et éventuellement mettre à niveau ou remplacer l'appareil. Si votre appareil autorise l'accès invité, n'importe quel appareil ou personne sur votre réseau peut lire ou copier toutes vos données partagées sans piste d'audit ni informations d'identification.
Si vous ne pouvez pas configurer un périphérique tiers pour des raisons de sécurité, ou si vous devez autoriser temporairement l'accès pour transférer des données vers un périphérique sécurisé, vous pouvez activer l'accès invité non sécurisé en suivant les étapes de l'accès invité dans SMB2 et SMB3 est désactivé.
< /p>
Vous ne devez pas activer SMB1 comme solution de contournement ; ce protocole présente de nombreuses failles de sécurité et est désactivé par défaut dans toutes les versions de Windows. La protection d'authentification d'invité non sécurisée ne s'applique pas à SMB1.
Cette modification fait partie d'une évolution vers une plus grande sécurité Windows par défaut et aligne le comportement de Pro sur Windows 10 et Windows 11 Enterprise et l'éducation où il est entré en vigueur il y a de nombreuses années. Ce sera la valeur par défaut dans la prochaine version majeure de Windows 11 Professionnel.