Windows 11 Pro disabiliterà presto l'autenticazione guest SMB non sicura per impostazione predefinita
A partire da Windows 11 Insider Preview Build 25276, le edizioni Windows Pro disabilitano per impostazione predefinita il rollback dell'autenticazione guest SMB non sicura.
Gli accessi Guest non richiedono password e non supportano le funzionalità standard sicurezza, come la firma e la crittografia. Consentire a un client di utilizzare l'accesso guest rende l'utente vulnerabile agli script del server attacker-in-the-middle o dannosi, ad esempio un attacco di phishing che induce l'utente ad aprire un file su una condivisione remota o un server falso che inganna il client in pensare che sia un file legittimo. L'attaccante non ha bisogno di conoscere le credenziali dell'utente e una password errata viene ignorata. Per impostazione predefinita, solo i dispositivi remoti di terze parti possono richiedere l'accesso ospite. I sistemi operativi forniti da Microsoft non consentivano l'uso generale del guest negli scenari server a partire da Windows 2000. Una modifica in Windows 10 doveva impedire ulteriormente a SMB 2 e 3 di tornare al guest dopo una password errata quando il server lo richiede .
Se il tuo dispositivo di archiviazione remoto legittimo richiede un ospite, in genere un NAS consumer o per piccole imprese, ora vedrai uno dei seguenti errori durante la connessione da Windows 11 Insider Pro tramite SMB :
Non puoi accedere a questa condivisione perché i criteri di sicurezza della tua organizzazione stanno bloccando l'accesso degli ospiti senza autenticazione. Questi criteri aiutano a proteggere il tuo computer da dispositivi non sicuri o dannosi sulla rete.
Codice di errore: 0x80070035
Il percorso di rete non è stato trovato.
Nome registro eventi: Microsoft-Windows-SmbClient/Security
Fonte: Microsoft-Windows-SMBClient
Data : Data/Ora
ID evento: 31017
Categoria attività: nessuna
Livello: errore
Parole chiave: (128) < /p>
Utente: NETWORK SERVICE
Computer: ServerName.contoso.com
Descrizione: rifiuto di un accesso guest non sicuro.
Nome utente: Ned
Nome server: ServerName
La soluzione consigliata per questi errori è configurare il dispositivo remoto in modo che non richieda l'autenticazione ospite. Questo sarà un dispositivo di terze parti, non Windows, quindi dovrai trovare la relativa documentazione ed eventualmente aggiornare o sostituire il dispositivo. Se il tuo dispositivo consente l'accesso ospite, qualsiasi dispositivo o persona sulla tua rete può leggere o copiare tutti i tuoi dati condivisi senza traccia di controllo o credenziali.
Se non puoi configurare un dispositivo di terze parti per motivi di sicurezza o devi consentire temporaneamente l'accesso per trasferire i dati a un dispositivo sicuro, puoi abilitare l'accesso ospite non sicuro seguendo i passaggi in L'accesso ospite in SMB2 e SMB3 è disabilitato.
< /p>
Non dovresti abilitare SMB1 come soluzione alternativa; questo protocollo ha molte vulnerabilità di sicurezza ed è disabilitato per impostazione predefinita in tutte le versioni di Windows. La protezione dell'autenticazione guest non sicura non si applica a SMB1.
Questa modifica fa parte di un passaggio verso una maggiore sicurezza di Windows per impostazione predefinita e allinea il comportamento di Pro a Windows 10 e Windows 11 Enterprise e l'istruzione, dove è entrato in vigore molti anni fa. Questa sarà l'impostazione predefinita nella prossima versione principale di Windows 11 Pro.