微軟官方技術(shù)博客近日更新了一篇博文，微軟首席項目經(jīng)理 Ned Pyle 表示 Win11 專業(yè)版即將默認禁用 SMB 來賓認證服務(wù)，認為這項服務(wù)存在諸多不安全的地方。

在微軟近日發(fā)布的 Win11 Build 25267 和 Build 25276 兩個預(yù)覽版中已經(jīng)默認禁用，以增強安全性。

微軟表示禁用 SMB 來賓身份驗證，這因為該協(xié)議不支持簽名、證書等審計跟蹤和安全機制。因此不少黑客利用 man-in-the-middle（MITM）方式進行攻擊，甚至會在服務(wù)器場景中進行利用。在最糟糕的情況下，惡意行為者可以使用訪客登錄來獲取整個網(wǎng)絡(luò)的讀取或復(fù)制訪問權(quán)限，并且不會留下任何審計線索。

自 Windows 2000 以來，默認情況下不允許訪客登錄。同樣，Windows 10 教育版和企業(yè)版不允許 SMB2 和 SMB3 在嘗試輸入錯誤密碼后回退到訪客登錄。

有趣的是，雖然 Windows 11 專業(yè)版 Insider 預(yù)覽版默認禁用來賓身份驗證，但 Windows 10 專業(yè)版卻沒有默認禁用。

我們了解到，如果是合法的遠程存儲設(shè)備要求使用 SMB 的來賓方式訪問（通常是消費者或者小型 NAS），用戶從 Win11 專業(yè)版連接時可能會看到以下錯誤：

You can"t access this shared folder because your organization"s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

Error code: 0x80070035

The network path was not found.

Event Log Name: Microsoft-Windows-SmbClient/Security

Source: Microsoft-Windows-SMBClient

Date: Date/Time

Event ID: 31017

Task Category: None

Level: Error

Keywords: (128)

User: NETWORK SERVICE

Computer: ServerName.contoso.com

Description: Rejected an insecure guest logon.

User name: Ned

Server name: ServerName

如果看到上述錯誤，推薦的解決方案是將遠程設(shè)備配置為停止要求訪客身份驗證。如果您的設(shè)備允許訪客訪問，則您網(wǎng)絡(luò)上的任何設(shè)備或個人都可以讀取或復(fù)制您的所有共享數(shù)據(jù)，而無需任何審計跟蹤或憑據(jù)。