微软官方技术博客近日更新了一篇博文，微软首席项目经理 Ned Pyle 表示 Win11 专业版即将默认禁用 SMB 来宾认证服务，认为这项服务存在诸多不安全的地方。

(资料图)

在微软近日发布的 Win11 Build 25267 和 Build 25276 两个预览版中已经默认禁用，以增强安全性。

微软表示禁用 SMB 来宾身份验证，这因为该协议不支持签名、证书等审计跟踪和安全机制。因此不少黑客利用 man-in-the-middle（MITM）方式进行攻击，甚至会在服务器场景中进行利用。在最糟糕的情况下，恶意行为者可以使用访客登录来获取整个网络的读取或复制访问权限，并且不会留下任何审计线索。

自 Windows 2000 以来，默认情况下不允许访客登录。同样，Windows 10 教育版和企业版不允许 SMB2 和 SMB3 在尝试输入错误密码后回退到访客登录。

有趣的是，虽然 Windows 11 专业版 Insider 预览版默认禁用来宾身份验证，但 Windows 10 专业版却没有默认禁用。

IT之家了解到，如果是合法的远程存储设备要求使用 SMB 的来宾方式访问（通常是消费者或者小型 NAS），用户从 Win11 专业版连接时可能会看到以下错误：

You can"t access this shared folder because your organization"s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

Error code: 0x80070035

The network path was not found.

Event Log Name: Microsoft-Windows-SmbClient/Security

Source: Microsoft-Windows-SMBClient

Date: Date/Time

Event ID: 31017

Task Category: None

Level: Error

Keywords: (128)

User: NETWORK SERVICE

Computer: ServerName.contoso.com

Description: Rejected an insecure guest logon.

User name: Ned

Server name: ServerName

如果看到上述错误，推荐的解决方案是将远程设备配置为停止要求访客身份验证。如果您的设备允许访客访问，则您网络上的任何设备或个人都可以读取或复制您的所有共享数据，而无需任何审计跟踪或凭据。

标签：