【资料图】
一年多以前,微软宣布将不再发布带有服务器消息块版本 1 (SMB1) 的 Windows 11 家庭版,因为它是一个非常古老的网络安全协议,一段时间以来一直被认为是不安全的,并且已经被更新的迭代所取代. 也就是说,SMB 仍然存在于 Windows 11 中,事实上,该公司本月早些时候将SMB 签名设置为 Windows Insider 企业版中的默认行为。但是,Microsoft 了解到 SMB 身份验证在某些情况下会失败,因此,它现在提供了解决该问题的方法。
从本质上讲,Windows 11 Insider 版本中的 SMB 身份验证不再适用于来宾登录,因为当您使用来宾身份验证时 SMB 签名失败。用于为正在发送的消息生成签名的密钥源自用户的密码。当你启用来宾身份验证时,没有密码,这意味着这两个概念是互斥的,你不能同时拥有。由于没有可用于创建签名的用户密码,Windows 目前只是使来宾客户端的 SMB 连接失败,因为 SMB 签名(需要密码)现在在某些 Windows Insider 版本中默认启用。
重要的是要注意,这并不完全是行为上的根本改变。微软在 Windows 2000 中不再默认允许访客登录,阻止内置访客帐户远程连接到 Windows,甚至从 Windows 10 版本 1709 开始禁用 SMB2 和 SMB3 访客访问。目的是阻止恶意行为者远程执行恶意程序您的服务器上的代码,无需凭据。
因此,如果您在 Windows 上利用来宾身份验证,您将收到有关未找到网络路径的错误消息(错误 0x80070035)或有关您的组织阻止不受限制和未经身份验证的来宾访问的消息。虽然您可以按照此处的 Microsoft 指南在 SMB2+ 中启用猜测访问,但它在最新的 Windows 11 Insider 版本中没有帮助——一旦此更改普遍推出,可能在未来的 Windows 版本中——并且连接将失败。
关键词: