O Windows 11 Pro em breve desabilitará a autenticação de convidado SMB insegura por padrão
A partir do Windows 11 Insider Preview Build 25276, as edições do Windows Pro desativam a reversão de autenticação de convidado SMB insegura por padrão.
Logins de convidado não exigem senhas e não oferecem suporte a recursos padrão segurança, como assinatura e criptografia. Permitir que um cliente use login de convidado torna o usuário vulnerável a scripts de servidor mal-intencionados ou invasores — por exemplo, um ataque de phishing que induz o usuário a abrir um arquivo em um compartilhamento remoto ou um servidor falso que engana o cliente a pensar que é um arquivo legítimo. O invasor não precisa saber as credenciais do usuário e uma senha incorreta é ignorada. Por padrão, apenas dispositivos remotos de terceiros podem exigir acesso de convidado. Os sistemas operacionais fornecidos pela Microsoft não permitiam o uso geral do convidado em cenários de servidor a partir do Windows 2000. Uma alteração no Windows 10 foi para impedir ainda mais que SMB 2 e 3 voltassem para o convidado após uma senha inválida quando o servidor a solicitasse .
Se o seu dispositivo de armazenamento remoto legítimo requer um convidado - geralmente um consumidor ou NAS de pequena empresa - você verá um dos seguintes erros ao conectar do Windows 11 Insider Pro via SMB :
Você não pode acessar este compartilhamento porque as políticas de segurança da sua organização estão bloqueando o acesso de convidados sem autenticação. Essas políticas ajudam a proteger seu computador contra dispositivos inseguros ou maliciosos na rede.
Código de erro: 0x80070035
O caminho da rede não foi encontrado.
Nome do log de eventos: Microsoft-Windows-SmbClient/Security
Fonte: Microsoft-Windows-SMBClient
Data: Data/Hora
ID do Evento: 31017
Categoria da Tarefa: Nenhuma
Nível: Erro
Palavras-chave: (128) < /p>
Usuário: SERVIÇO DE REDE
Computador: ServerName.contoso.com
Descrição: Rejeitou um logon de convidado inseguro.
Nome de usuário: Ned
Nome do servidor: ServerName
A solução recomendada para esses erros é configure o dispositivo remoto para que não exija autenticação de convidado. Este será um dispositivo de terceiros, não o Windows, então você precisará encontrar a documentação para ele e possivelmente atualizar ou substituir o dispositivo. Se o seu dispositivo permite acesso de convidado, qualquer dispositivo ou pessoa na sua rede pode ler ou copiar todos os seus dados compartilhados sem qualquer trilha de auditoria ou credenciais.
Se você não pode configurar um dispositivo de terceiros para segurança, ou você precisa permitir temporariamente o acesso para transferir dados para um dispositivo seguro, você pode ativar o acesso de convidado inseguro seguindo as etapas em Acesso de convidado em SMB2 e SMB3 está desativado.
< /p>
Você não deve ativar o SMB1 como solução alternativa; este protocolo tem muitas vulnerabilidades de segurança e está desabilitado por padrão em todas as versões do Windows. A proteção de autenticação de convidado insegura não se aplica a SMB1.
Essa alteração faz parte de um movimento em direção a uma maior segurança do Windows por padrão e alinha o comportamento do Pro com o Windows 10 e o Windows 11 Enterprise e Educação onde entrou em vigor há muitos anos. Este será o padrão na próxima versão principal do Windows 11 Pro.