Windows 11 Pro 很快將默認禁用不安全的 SMB 訪客身份驗證

幾個月前，我們了解到微軟正在顯著改進 Windows 11 中的服務器消息塊 (SMB) 身份驗證。當時，該公司默認啟用 SMB 身份驗證速率限制器，以降低它對惡意行為者的吸引力。現在，它宣布了對 SMB 身份驗證的另一項更改。

在一篇技術博客文章中，微軟首席項目經理 Ned Pyle 表示，Windows 11 Pro 將很快開始禁用不安全的 SMB 來賓身份驗證回退。事實上，最近的 Insider Preview 版本 25267 和 25276 已經實施了此安全增強功能。

Microsoft 對此更改的理由是來賓身份驗證不支持審計跟踪和安全機制，例如簽名和證書。因此，它們是中間人 (MITM) 攻擊的一個非常誘人的攻擊媒介，甚至可以在服務器場景中加以利用。在最壞的情況下，惡意行為者可以使用訪客登錄來獲取整個網絡的讀取或複制訪問權限，並且不會留下任何審計線索。

重要的是要注意，自 Windows 2000 以來，默認情況下不允許訪客登錄。同樣，Windows 10 教育版和企業版不允許 SMB2 和 SMB3 在嘗試輸入錯誤密碼後回退到訪客登錄。有趣的是，雖然 Windows 11 Pro Insider 構建默認禁用來賓身份驗證，但 Windows 10 Pro 卻沒有。

微軟表示，您請求來賓訪問的唯一情況是通過合法的第三方遠程存儲設備。但是，在 Windows 11 Pro 中嘗試這樣做時不會遇到錯誤。解決方法是深入了解遠程設備的文檔並弄清楚如何停止要求來賓身份驗證。如果這不可能，您可以暫時啟用 SMB2 或 SMB3 來賓回退以允許訪問。但是，由於舊協議中存在安全漏洞，不應使用 SMB1。

微軟已經提到，在最近的 Windows 11 Pro Insider 版本中默認啟用此行為，並且它將在操作系統的“下一個主要版本”中普遍可用。此舉似乎是一個讓 Windows 更安全的更大計劃，微軟還計劃在幾年內取消 Microsoft 支持診斷工具 (MSDT)。