Η Microsoft περιγράφει λεπτομερώς την εναλλακτική λύση για την “παλιά μη ασφαλή” πρόσβαση επισκέπτη αφού καταστήσει την υπογραφή SMB ως προεπιλογή

Νωρίτερα αυτό το μήνα, η

Microsoft

έκανε υποχρεωτική την υπογραφή του Μπλοκ μηνυμάτων διακομιστή (SMB) από προεπιλογή σε όλες τις συνδέσεις, προκειμένου να βελτιώσει την ασφάλεια των

Windows

και των Windows

Servers

. Η εταιρεία, σε ξεχωριστή ανάρτηση στο blog, εξήγησε λεπτομερέστερα για την αλλαγή. Αυτό ήταν μέρος μιας συνεχιζόμενης προσπάθειας από τον γίγαντα του Redmond, κάτι που ξεκίνησε πέρυσι. Ως συνέπεια της αλλαγής, η πρόσβαση επισκέπτη δεν είναι επίσης δυνατή, κάτι που έχει κριθεί ως “παλιά μη ασφαλής” συμπεριφορά καθώς δεν υπάρχει τρόπος επικύρωσης.

Σήμερα, ο Ned Pyle, ο οποίος είναι κύριος διευθυντής προγράμματος στην ομάδα μηχανικών Windows Server, δημοσίευσε μια νέα ανάρτηση ιστολογίου Tech Community που συζητούσε το ζήτημα του ελέγχου ταυτότητας επισκέπτη και τις λύσεις για αυτό.

Όταν κάποιος δοκιμάζει πρόσβαση επισκέπτη, θα υποδεχτεί ένα από τα δύο από αυτά τα μηνύματα:

• Δεν μπορείτε να αποκτήσετε πρόσβαση σε αυτόν τον κοινόχρηστο φάκελο, επειδή οι πολιτικές ασφαλείας του οργανισμού σας αποκλείουν την πρόσβαση των επισκεπτών χωρίς έλεγχο ταυτότητας. Αυτές οι πολιτικές βοηθούν στην προστασία του υπολογιστή σας από μη ασφαλείς ή κακόβουλες συσκευές στο δίκτυο.
• Κωδικός σφάλματος: 0x80070035
  
  Η διαδρομή του δικτυόυ δεν βρέθηκε.

Ο Pyle προσθέτει ότι το μόνο που μπορεί να διορθωθεί πραγματικά είναι να σταματήσει να χρησιμοποιεί τα διαπιστευτήρια επισκέπτη, καθώς δεν υπάρχει τρόπος να αποφύγετε την αλλαγή. Ως εκ τούτου, δεν είναι πραγματικά μια “διόρθωση” και περισσότερο σαν αποδοχή. Εξηγούν:

Διορθώσετε

Η συνιστώμενη επιδιόρθωση της Microsoft είναι να διακόψετε την πρόσβαση στις συσκευές τρίτων κατασκευαστών σας χρησιμοποιώντας διαπιστευτήρια επισκέπτη. Οποιοσδήποτε – οποιοσδήποτε – που μπορεί να δει αυτήν τη συσκευή μπορεί να έχει πρόσβαση σε όλα τα δεδομένα σας χωρίς κωδικό πρόσβασης ή διαδρομή ελέγχου. Οι κατασκευαστές συσκευών διαμορφώνουν την πρόσβαση επισκέπτη, ώστε να μην χρειάζεται να αντιμετωπίζουν τους πελάτες τους που ξεχνούν τους κωδικούς πρόσβασής τους ή να απαιτούν μια πιο περίπλοκη διαδικασία ρύθμισης. Αυτά είναι μη ασφαλή μέρη για να αποθηκεύσετε την προσωπική ή επαγγελματική σας ζωή. Πολλές από αυτές τις συσκευές έχουν τη δυνατότητα να διαμορφώσουν ένα όνομα χρήστη και έναν κωδικό πρόσβασης – συμβουλευτείτε τα έγγραφα του προμηθευτή σας. Άλλοι μπορεί να έχουν τη δυνατότητα με μια αναβάθμιση λογισμικού. Και άλλα μπορεί απλώς να μην είναι ασφαλή – για αυτούς, θα πρέπει να τα αντικαταστήσετε με ένα αξιόπιστο προϊόν και να αφαιρέσετε όλα τα δεδομένα σας από την παλιά συσκευή, να φροντίσετε να καθαρίσετε τις μονάδες δίσκου και μετά να την ανακυκλώσετε.

Ωστόσο, σε περίπτωση που δεν υπάρχει τρόπος πρόσβασης εκτός ελέγχου ταυτότητας επισκέπτη, τότε πρέπει να απενεργοποιήσετε την απαίτηση για SMB singing, αλλά αυτό αναμένεται να οδηγήσει σε ένα πιο ευάλωτο περιβάλλον. Στην ενότητα λύσης που αναφέρεται παρακάτω, ο Ned Pyle έχει παρουσιάσει όλους τους τρόπους απενεργοποίησης της προεπιλεγμένης υπογραφής SMB:

Λύση

Εάν δεν μπορείτε να απενεργοποιήσετε τη χρήση επισκέπτη για τρίτο μέρος, πρέπει να απενεργοποιήσετε την απαίτηση υπογραφής SMB. Προφανώς, αυτό σημαίνει ότι τώρα όχι μόνο χρησιμοποιείτε πρόσβαση επισκέπτη, αλλά εμποδίζετε επίσης τον πελάτη σας να εγγυηθεί την υπογραφή σε μια αξιόπιστη συσκευή. Γι’ αυτό είναι απλώς μια λύση και δεν το συνιστούμε.

Μπορείτε να απενεργοποιήσετε την απαίτηση υπογραφής SMB με τρεις τρόπους:

Γραφικό (πολιτική τοπικής ομάδας σε μία συσκευή)

1. Ανοίξτε το Local Group Policy Editor (gpedit.msc) στη συσκευή σας Windows.
2. Στο δέντρο της κονσόλας, επιλέξτε Διαμόρφωση υπολογιστή > Ρυθμίσεις Windows > Ρυθμίσεις ασφαλείας > Τοπικές πολιτικές > Επιλογές ασφαλείας.
3. Κάντε διπλό κλικ στο πρόγραμμα-πελάτη δικτύου Microsoft: Ψηφιακή υπογραφή επικοινωνιών (πάντα).
4. Επιλέξτε Απενεργοποιημένο > ΟΚ.

Γραμμή εντολών (PowerShell σε μία συσκευή)

1. Ανοίξτε μια κονσόλα PowerShell με ανύψωση διαχειριστή.
2. Εκτέλεση: Set-SmbClientConfiguration
   
   –
   
   RequireSecuritySignature
   
   $ψεύτικο
   

Πολιτική ομάδας που βασίζεται σε τομείς (σε στόλους που διαχειρίζονται IT)

1. Εντοπίστε την πολιτική ασφαλείας που εφαρμόζει αυτήν τη ρύθμιση στις συσκευές σας Windows (μπορείτε να χρησιμοποιήσετε το GPRESULT /H σε έναν πελάτη για να δημιουργήσετε ένα προκύπτον σύνολο αναφοράς πολιτικής για να δείξετε ποια πολιτική ομάδας απαιτεί υπογραφή SMB.
2. Στο GPMC.MSC, αλλάξτε τη Διαμόρφωση υπολογιστή > Πολιτικές > Ρυθμίσεις Windows > Ρυθμίσεις ασφαλείας > Τοπικές πολιτικές > Επιλογές ασφαλείας.
3. Ορισμός προγράμματος-πελάτη δικτύου Microsoft: Υπογραφή ψηφιακών επικοινωνιών (πάντα) σε Απενεργοποίηση.
4. Εφαρμόστε την ενημερωμένη πολιτική σε συσκευές Windows που χρειάζονται πρόσβαση επισκέπτη μέσω SMB.

Μπορείτε να δείτε την επίσημη ανάρτηση ιστολογίου στην ανάρτηση ιστολογίου της Tech Community στο Microsoft

ιστοσελίδα

.