Управление поведением подписывания SMB
Как работает подписывание SMB
Подписывание блока сообщений сервера (SMB) — это функция безопасности, которая использует ключ сеанса и набор шифров для добавления подписи в сообщение, которое проходит через соединение. Эта подпись содержит хэш всего сообщения в заголовке SMB. Если кто-то вмешивается в транзитное сообщение, данные в сообщении не соответствуют хэшу в сигнатуре. Хэш также включает удостоверения исходного отправителя и предполагаемого получателя. Несоответствие подписей оповещает пользователей о возможном фоловом воспроизведении, помогая им защитить развертывания от атак ретранслятора и спуфинга.
Требования к подписи SMB могут включать как исходящую подпись, которая охватывает трафик от клиента SMB, так и для входящего подписывания, который охватывает трафик на сервер. Для Windows и Windows Server может потребоваться только исходящий вход, только входной вход, оба или ни другое. Например:
Для Windows 11 версии 24H2 Enterprise, Pro и Education требуются как исходящие, так и входящие подписи SMB.
Для Windows Server 2025 требуется только для подписывания исходящего трафика SMB.
Windows 11 версии 24H2 Home не требует исходящего или входящего подписывания SMB.
Поведение подписывания SMB
Хотя все версии Windows и Windows Server поддерживают подписывание SMB, сторонние разработчики могут отказаться от него или не поддерживать его. Если вы пытаетесь подключиться к удаленной общей папке на стороннем сервере SMB, который не разрешает подписывание SMB, может возникнуть одно из следующих сообщений об ошибках:
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid.
Чтобы устранить эту проблему, настройте параметры на стороннем сервере SMB, чтобы разрешить (включить) подписывание SMB.
При попытке подключиться к сторонним устройствам, используюющим гостевые учетные записи для упрощения доступа, вы можете получить одно из следующих сообщений об ошибках:
You can't access this shared folder because your organization's security policies block
unauthenticated guest access. These policies help protect your PC from unsafe or malicious
devices on the network.
Error code: 0x80070035
The network path was not found.
System error 3227320323 has occurred.
Отключение подписи SMB может потребоваться, если вы не можете отключить гостевую использование для стороннего пользователя. Однако это означает, что вы используете гостевой доступ и запрещаете клиенту подписывать доверенное устройство.
Внимание
Мы не рекомендуем отключить подписывание SMB в качестве обходного решения для сторонних серверов. Мы также не рекомендуем выполнять вход с помощью гостевых учетных записей.
Необходимые компоненты
Чтобы управлять поведением подписывания SMB и максимизировать свои возможности, система должна работать в одной из следующих двух операционных систем:
- Windows 11, версия 24H2 или более поздняя
- Windows Server 2025 или более поздней версии
Вы также должны следовать этим рекомендациям, чтобы убедиться, что подписи SMB эффективны при защите данных:
- Используйте Kerberos вместо NTLMv2.
- Не подключайтесь к общим папкам с помощью IP-адресов.
- Не используйте записи DNS CNAME. Вместо этого назначьте альтернативные имена компьютеров NETDOM.EXE.
Отключение подписи SMB
По умолчанию для подписывания SMB требуется последняя предварительная версия сборок Windows 11 и Windows Server 2025. Все среды Windows поддерживают подписывание SMB. Однако если в вашей среде используются сторонние серверы и сторонний сервер не поддерживает подпись SMB, вы не можете подключиться к удаленной общей папке.
Требование подписывания SMB также отключает гостевой доступ к общим папкам. В этих случаях для восстановления доступа к гостевым учетным записям необходимо вручную отключить подписывание SMB. Вы можете вручную отключить подписывание SMB с помощью групповой политики, PowerShell и Центра администрирования Windows.
Примечание.
Если необходимо изменить групповую политику на основе домена Active Directory, используйте службу управления групповыми политиками (gpmc.msc).
Чтобы отключить вход SMB в групповой политике, выполните следующие действия.
Нажмите кнопку "Пуск", введите gpedit.msc, а затем нажмите клавишу ВВОД.
В редакторе локальной групповой политики перейдите к разделу "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности".
Откройте сетевой клиент Майкрософт: обмен данными с цифровой подписью (всегда),нажмите кнопку "Отключено", а затем нажмите кнопку "ОК".
Включение подписывания SMB
Подписывание SMB гарантирует целостность данных, проверяя, что данные не несанкционированны во время передачи. Кроме того, подписывание SMB обеспечивает проверку подлинности, проверяя удостоверение сервера и клиента, что помогает предотвратить атаки злоумышленника в середине.
Чтобы включить вход SMB в групповой политике, выполните следующие действия.
Нажмите кнопку "Пуск", введите gpedit.msc, а затем нажмите клавишу ВВОД.
В редакторе локальной групповой политики перейдите к разделу "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности".
Откройте клиент сети Майкрософт: обмен данными с цифровой подписью (всегда), нажмите кнопку "Включено", а затем нажмите кнопку "ОК".
Проверка состояния подписи SMB
Чтобы проверить, включена ли подпись SMB или отключена на клиенте SMB или сервере SMB, выполните следующую команду:
Get-SmbClientConfiguration | FL RequireSecuritySignature
Get-SmbServerConfiguration | FL RequireSecuritySignature
Если возвращенная информация имеет значение True, то подписывание SMB включено, в противном случае, если возвращенная информация имеет значение False, подписывание SMB отключено.