微软首席项目经理 Ned Pyle 通过博客宣布,Windows 11 Pro 将很快开始禁用不安全的 SMB 来宾身份验证回退。事实上,最近的 Insider Preview Build 25267 和 Build 25276 已经实施了此安全增强功能。微软做出更改的理由是来宾身份验证不支持审计跟踪和安全机制,例如签名和证书。因此,它们是中间人 (MITM) 攻击的一个非常诱人的攻击媒介,甚至可以在服务器场景中加以利用。在最坏的情况下,攻击者可以使用访客登录来获取整个网络的读取或复制访问权限,并且不会留下任何审计线索。
微软表示,用户请求来宾访问的唯一情况是通过合法的第三方远程存储设备。但是,在 Windows 11 Pro 中尝试这样做时不会遇到错误。解决方法是深入了解远程设备的文档并弄清楚如何停止要求来宾身份验证。如果这不可能,您可以暂时启用 SMB2 或 SMB3 来宾回退以允许访问。但是,由于旧协议中存在安全漏洞,不应使用 SMB1。
微信扫一扫