Проблемы с доступом к сетевым хранилищам NAS в Windows 11 24H2
Недавно Microsoft анонсировала, что в обновлении Windows 11 24H2 будет включено обязательно использование подписывания SMB пакетов при доступе к сетевым папкам. Это может вызвать массовые проблемы у пользователей с доступом к сетевым хранилищам NAS, на которых SMB signing не поддерживается либо отключено по-умолчнаию.
SMB Signing это одно из средств безопасности средств протокола общего доступа к файлам SMB/CIFS. Когда оно включено, каждое SMB сообщение подписывается в заголовке цифровой подписью. Такая подпись позволяет гарантировать, что содержимое сообщение не было изменено и проверить подлинность отправителя. Это позволяет предотвратить реализацию SMB атак типа man-in-the-middle и NTLM relay. Ранее SMB подписывание требовалось только при доступе к сетевым папкам SYSVOL и NETLOGON на контроллерах домена AD.
Начиная с Windows 11 24H2 подписывание SMB будет требоваться для всех исходящих подключений (Accessing a third-party NAS with SMB in Windows 11 24H2 may fail). Если SMB сервер не поддерживает такой режим, клиент Windows отклонит такое подключение. В дальнейшем это изменение будет распространено через обновления и на другие поддерживаемые версии Windows.
Важно. Внедрение обязательного SMB подписывания вызывает дополнительную нагрузку на клиент и сервер и снижает скорость передачи данных по сети.
Если SMB подписывание не поддерживается удаленным устройством, при доступе к нему будут появляться ошибки:
-
0xc000a000
-
-1073700864
-
STATUS_INVALID_SIGNATURE
-
The cryptographic signature is invalid
Текущие настройки SMB сервера в Windows (и в Samba) предполагаются возможность использования подписывание SMB пакетов, только когда одна из сторон обмена требует это. Вывести настройки SMB подписывания на клиенте Windows можно с помощью PowerShell:
Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature
- RequireSecuritySignature = False — обязательное использование SMB подписи отключено
- EnableSecuritySignature = True – клиент будет использовать SMB signing, только если требует сервер
Чтобы отключить (включить) обязательное использование SMB signing, используется команда:
Set-SmbClientConfiguration -RequireSecuritySignature $false
После изменения настроек компьютер нужно перезагрузить.
Аналогично можно включить/отключить SMB подписывание на стороне хоста с общими папками (сервера):
Get-SmbServerConfiguration | fl *sign*
Set-SmbServerConfiguration -RequireSecuritySignature $true
(или
$false
)
Эти опции SMB клиента и сервера можно включить через реестр. Следующие команды отключат обязательно использование SMB signing как для клиента, так и для сервера:reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
Также можно настроить режимы использования подписи SMB для клиента Windows через редактор GPO. В редакторе групповых политик gpedit.msc доступны следующие опции в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
- Microsoft network client: Digitally sign communication (always) — Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
- Microsoft network client: Digitally sign communication (if server agrees)
Некоторые модели и версии прошивок NAS поддерживают режим SMB подписывания, но он не включен по-умолчанию (в Synology, ASUStor, QNAP). Например, в Synology DSM 7+ эта опция находится в разделе Control Panel -> File Services -> SMB -> Advanced Settings. Найдите параметр Enable server signing. По умолчанию подписывание отключено. Чтобы использовать SMB подписывание, если клиент запрашивает его, выберите Client defined в выпадающем меню.
Таким образом, если после внедрения Windows 11 24H2 вы встретитесь с проблемой доступа к NAS, нужно:
- Включить SMB signing на стороне NAS (рекомендуемый вариант)
- Отключить требование обязательного использования SMB подписей на стороне клиента (менее безопасный вариант)
Qiziqarli malumotlar
Проблемы с доступом к сетевым хранилищам NAS в Windows 11 24H2