Windows 11 блокирует подключения к незащищённым NAS

Пайл объясняет, что SMB1 уже более сорока лет, и предупреждения о его кончине раздаются с 2022 года. Windows 11 24H2 делает шаг вперед, поскольку по умолчанию требует подписи SMB, что позволит избежать вмешательства в сеть. Резервный гостевой режим будет отключен в Windows 11 Pro Edition, что обеспечивает более высокий уровень безопасности, поскольку позволяет получить доступ к SMB-серверу без имени пользователя или пароля.

Эта дополнительная безопасность уже давно назрела, поскольку подписывание SMB доступно в Windows уже тридцать лет в качестве опции. Гостевой режим в Windows устарел двадцать пять лет назад, а резервный вариант «Гость» был отключен в выпусках Windows 10 Enterprise, Education и Pro для рабочих станций. Эти реализации безопасности также присутствовали в Windows Insider Dev и сборках Canary в течение года. Пайл говорит, что это изменение в Windows 11 24H2 обеспечит безопасность более миллиарда устройств, поскольку заставит производителей NAS и маршрутизаторов обновлять непропатченные устройства.

Подписание SMB может служить дополнительным уровнем безопасности от вредоносных программ, которые получают доступ к незащищенным серверам без ведома пользователя и разрешения на передачу данных. Пайл объясняет, что устройства больше нельзя обманом заставить подключиться к вредоносному серверу без учетных данных для входа, блокируя доступ к программам-вымогателям или вредоносным программам, предназначенным для кражи данных.

Однако это также будет означать блокировку доступа к вашему NAS, поскольку он не сможет отличить сервер со злым умыслом от доверенного NAS, не имеющего необходимых протоколов. Пайл объясняет, что в результате будет выдана следующая ошибка:

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• The cryptographic signature is invalid

Производители NAS последуют этому примеру?

Несмотря на то, что по умолчанию он отключен, можно отменить изменения ценой менее безопасной системы. В этом случае производители устройств должны предоставить исправления безопасности для незащищенных устройств.

Пайл объясняет, что Microsoft хотела бы знать, есть ли у пользователей маршрутизаторы с портами USB и устройства NAS, которые не поддерживают подпись SMB. Он говорит: «Если у вас есть стороннее устройство NAS, которое не поддерживает подписывание SMB, мы хотим узнать об этом. Отправьте электронное письмо по адресу wontsignsmb@microsoft.com, указав марку и модель вашего устройства NAS, чтобы мы могли поделиться им с вами. всему миру и, возможно, попросить поставщика исправить это с помощью обновления».

Также вероятно, что соответствующие NAS и маршрутизаторы с портами USB могут иметь подпись SMB, но, возможно, по умолчанию отключены. Пользователи, вероятно, смогут включить его с помощью программного обеспечения управления NAS. Однако это может побудить производителей NAS и маршрутизаторов отключить их по умолчанию, предоставив при этом возможность включить резервную опцию гостя SMB, если она понадобится пользователю.

Помощь в защите сетевых дисков всегда будет восприниматься некоторыми пользователями в положительном свете. Также маловероятно, что многие производители NAS рискнут быть названными Microsoft незащищенными устройствами. Тем не менее, вы никогда этого не узнаете, пока не будет выпущена Windows 11 24H2 и, в конечном итоге, не будет опубликован список незащищенных NAS.

Это не единственное обеспечение безопасности, предусмотренное в Windows 11 24H2, но только время покажет, сколько пользователей затронет это изменение.