Windows 11 Pro は間もなく、安全でない SMB ゲスト認証をデフォルトで無効にする予定です

Microsoft は、Windows 11 のサーバー メッセージ ブロック (SMB) 認証を大幅に改善しています。当時、同社は SMB 認証レート リミッターをデフォルトで有効にして、悪意のある攻撃者にとって魅力的でないようにしていました。今回、SMB 認証に対する別の変更が発表されました。

Windows 11 Pro では、間もなく安全でない SMB ゲスト認証フォールバックの無効化が開始されると、Microsoft のプリンシパル プログラム マネージャーである Ned Pyle 氏は述べています。実際、最近の Insider Preview ビルド 25267 および 25276 では、すでにこのセキュリティ強化が実装されています。

Microsoft のこの変更の根拠は、ゲスト認証が監査証跡や、署名や証明書などのセキュリティ メカニズムをサポートしていないためです。そのため、これらは中間者 (MITM) 攻撃にとって非常に魅力的な攻撃ベクトルであり、サーバー シナリオでも悪用される可能性があります。最悪のシナリオでは、悪意のある攻撃者がゲスト ログインを使用して、監査証跡を残さずにネットワーク全体への読み取りまたはコピー アクセスを取得する可能性があります。

Windows 2000 以降、ゲスト ログインはデフォルトでは許可されていないことに注意することが重要です。同様に、Windows 10 Education および Enterprise エディションでは、間違ったパスワードの試行後に SMB2 および SMB3 がゲスト ログインにフォールバックすることはできません。興味深いことに、Windows 11 Pro Insider ビルドではゲスト認証がデフォルトで無効になっていますが、Windows 10 Pro では無効になっていません。

Microsoft は、ゲスト アクセスを要求するのは、正規のサードパーティ製リモート ストレージ デバイスを経由する場合のみであると述べています。ただし、Windows 11 Pro でこれを実行しようとすると、エラーは発生しません。解決策は、リモート デバイスのドキュメントを調べて、ゲスト認証の要求を停止する方法を見つけることです。これが不可能な場合は、SMB2 または SMB3 ゲスト フォールバックを一時的に有効にしてアクセスを許可できます。ただし、古いプロトコルにはセキュリティ ホールがあるため、SMB1 は使用しないでください。

Microsoft は、この動作は最近の Windows 11 Pro Insider ビルドでデフォルトで有効になっており、オペレーティング システムの「次のメジャー バージョン」で一般提供される予定であると述べています。 Windows の安全性を高めるためのより大規模な計画と思われるこの計画では、レドモンドのテクノロジー大手は、Microsoft サポート診断ツール (MSDT) を数年以内に廃止することも計画しています。

以上がWindows 11 Pro は間もなく、安全でない SMB ゲスト認証をデフォルトで無効にする予定ですの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。