Проблемы с доступом к сетевым хранилищам NAS в Windows 11 24H2

Недавно Microsoft анонсировала, что в обновлении Windows 11 24H2 будет включено обязательно использование подписывания SMB пакетов при доступе к сетевым папкам. Это может вызвать массовые проблемы у пользователей с доступом к сетевым хранилищам NAS, на которых SMB signing не поддерживается либо отключено по-умолчнаию.

SMB Signing это одно из средств безопасности средств протокола общего доступа к файлам SMB/CIFS. Когда оно включено, каждое SMB сообщение подписывается в заголовке цифровой подписью. Такая подпись позволяет гарантировать, что содержимое сообщение не было изменено и проверить подлинность отправителя. Это позволяет предотвратить реализацию SMB атак типа man-in-the-middle и NTLM relay. Ранее SMB подписывание требовалось только при доступе к сетевым папкам SYSVOL и NETLOGON на контроллерах домена AD.

Начиная с Windows 11 24H2 подписывание SMB будет требоваться для всех исходящих подключений (Accessing a third-party NAS with SMB in Windows 11 24H2 may fail). Если SMB сервер не поддерживает такой режим, клиент Windows отклонит такое подключение. В дальнейшем это изменение будет распространено через обновления и на другие поддерживаемые версии Windows.

Важно. Внедрение обязательного SMB подписывания вызывает дополнительную нагрузку на клиент и сервер и снижает скорость передачи данных по сети.

Если SMB подписывание не поддерживается удаленным устройством, при доступе к нему будут появляться ошибки:

  • 0xc000a000
  • -1073700864
  • STATUS_INVALID_SIGNATURE
  • The cryptographic signature is invalid

Текущие настройки SMB сервера в Windows (и в Samba) предполагаются возможность использования подписывание SMB пакетов, только когда одна из сторон обмена требует это. Вывести настройки SMB подписывания на клиенте Windows можно с помощью PowerShell:

Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature

Get-SmbClientconfiguration - отключить обязательное подписывание SMB пакетов

  • RequireSecuritySignature = False — обязательное использование SMB подписи отключено
  • EnableSecuritySignature = True – клиент будет использовать SMB signing, только если требует сервер

Чтобы отключить (включить) обязательное использование SMB signing, используется команда:

Set-SmbClientConfiguration -RequireSecuritySignature $false

После изменения настроек компьютер нужно перезагрузить.

Аналогично можно включить/отключить SMB подписывание на стороне хоста с общими папками (сервера):

Get-SmbServerConfiguration | fl *sign*
Set-SmbServerConfiguration -RequireSecuritySignature $true (или $false )

Эти опции SMB клиента и сервера можно включить через реестр. Следующие команды отключат обязательно использование SMB signing как для клиента, так и для сервера:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f

Также можно настроить режимы использования подписи SMB для клиента Windows через редактор GPO. В редакторе групповых политик gpedit.msc доступны следующие опции в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

  • Microsoft network client: Digitally sign communication (always) — Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
  • Microsoft network client: Digitally sign communication (if server agrees)

Групповые политики: включить/отключить использование цифровой подписи сетевым клиентом Microsoft

Некоторые модели и версии прошивок NAS поддерживают режим SMB подписывания, но он не включен по-умолчанию (в Synology, ASUStor, QNAP). Например, в Synology DSM 7+ эта опция находится в разделе Control Panel -> File Services -> SMB -> Advanced Settings. Найдите параметр Enable server signing. По умолчанию подписывание отключено. Чтобы использовать SMB подписывание, если клиент запрашивает его, выберите Client defined в выпадающем меню.

Synology DSM - включить SMB подписывание на NAS

Таким образом, если после внедрения Windows 11 24H2 вы встретитесь с проблемой доступа к NAS, нужно:

  • Включить SMB signing на стороне NAS (рекомендуемый вариант)
  • Отключить требование обязательного использования SMB подписей на стороне клиента (менее безопасный вариант)

Предыдущая статья Следующая статья


Комментариев: 17 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)