Windows 11 Build 25381 (Canary) вимагає підпису SMB для спільних ресурсів

Windows 11 Build 25381 — це найновіший випуск Insider Preview на каналі Canary. Він змінює вимогу підпису для спільних ресурсів SMB у версіях ОС Enterprise, яка стала обов’язковою. Крім того, тепер він може виявляти проблеми з веб-камерою та викликати засіб усунення несправностей.

Вимоги до підписання SMB змінено

Починаючи з випуску Windows 11 Insider Preview Build 25381 Enterprise, для всіх підключень тепер потрібен підпис SMB. Раніше Windows 10 і Windows 11 за замовчуванням вимагали підписання SMB лише під час доступу до SYSVOL і Спільні ресурси NETLOGON і контролери домену Active Directory вимагали підписання пакетів SMB під час підключення будь-якого клієнта їм. Нова зміна спрямована на підвищення безпеки Windows і Windows Server у сучасних умовах.

Усі версії Windows і Windows Server підтримують підписання SMB, але сторонні розробники можуть вимкнути його або взагалі не підтримувати. Якщо ви спробуєте підключитися до віддаленого ресурсу на сторонньому SMB-сервері, який не підтримує підписи SMB, ви отримаєте такі повідомлення про помилку:

• 0xc000a000
• 1073700864
• STATUS_INVALID_SIGNATURE
• Криптографічний підпис недійсний.

Щоб вирішити проблему, увімкніть підтримку підпису SMB на сторонньому сервері SMB. Корпорація Майкрософт не рекомендує вимикати підпис SMB і використовувати SMB1 для обходу цього обмеження (SMB1 підтримує цю функцію, але не застосовує її). Пристрої SMB, які не підтримують підписування пакетів, можуть допомогти зловмисникам взяти під контроль і ретранслювати атаки в мережі.

Підписання SMB може знизити продуктивність операцій копіювання. Цю проблему можна мінімізувати, використовуючи більше віртуальних або фізичних ядер ЦП, а також переходячи на більш сучасні процесори.

Щоб переглянути поточні параметри підпису SMB, використовуйте такі команди PowerShell:

• Get-SmbServerConfiguration | fl вимагає безпечного підпису
• Get-SmbClientConfiguration | fl вимагає безпечного підпису

Щоб вимкнути вимогу підпису SMB на клієнтських пристроях, виконайте таку команду в PowerShell від імені адміністратора:

• Set-SmbClientConfiguration -RequireSecuritySignature $false

Щоб вимкнути вимогу підпису SMB на сервері (Windows 11 Insider Preview Build 25381 і новіша Enterprise Edition), виконайте таку команду в PowerShell від імені адміністратора:

• Set-SmbServerConfiguration -RequireSecuritySignature $false

Щоб застосувати зміни, перезавантаження не потрібне, але відкриті з’єднання SMB продовжуватимуть підписуватися, доки з’єднання не буде закрито.

Більше інформації про зміни можна знайти на офіційному сайті Microsoft веб-сайт.

Зміни та вдосконалення

Якщо виникла проблема з трансляцією камери, наприклад, камера не може запуститися або затвор закрито, з’явиться спливаюче діалогове вікно з рекомендацією запустити Отримати довідку для вирішення проблем щоб вирішити проблему.

Джерело