微软正在显着改进 Windows 11 中的服务器消息块 (SMB) 身份验证。当时,该公司默认启用 SMB 身份验证速率限制器,以降低其对恶意行为者的吸引力。现在,它宣布了对 SMB 身份验证的另一项更改。
微软首席项目经理 Ned Pyle 表示,Windows 11 Pro 将很快开始禁用不安全的 SMB 来宾身份验证回退。事实上,最近的 Insider Preview 版本 25267和25276 已经实施了此安全增强功能。
Microsoft 对此更改的理由是来宾身份验证不支持审计跟踪和安全机制,例如签名和证书。因此,它们是中间人 (MITM) 攻击的一个非常诱人的攻击媒介,甚至可以在服务器场景中加以利用。在最坏的情况下,恶意行为者可以使用访客登录来获取整个网络的读取或复制访问权限,并且不会留下任何审计线索。
重要的是要注意,自 Windows 2000 以来,默认情况下不允许访客登录。同样,Windows 10 教育版和企业版不允许 SMB2 和 SMB3 在尝试输入错误密码后回退到访客登录。有趣的是,虽然 Windows 11 Pro Insider 构建默认禁用来宾身份验证,但 Windows 10 Pro 却没有。
微软表示,您请求来宾访问的唯一情况是通过合法的第三方远程存储设备。但是,在 Windows 11 Pro 中尝试这样做时不会遇到错误。解决方法是深入了解远程设备的文档并弄清楚如何停止要求来宾身份验证。如果这不可能,您可以暂时启用 SMB2 或 SMB3 来宾回退以允许访问。但是,由于旧协议中存在安全漏洞,不应使用 SMB1。
微软已经提到,在最近的 Windows 11 Pro Insider 版本中默认启用此行为,并且它将在操作系统的“下一个主要版本”中普遍可用。此举似乎是一个让 Windows 更安全的更大计划,雷德蒙科技巨头还计划在几年内取消 Microsoft 支持诊断工具 (MSDT)。