微軟正在大幅改進 Windows 11 中的伺服器訊息區塊 (SMB) 驗證。當時,該公司預設啟用 SMB 身份驗證速率限制器,以降低其對惡意行為者的吸引力。現在,它宣布了對 SMB 身份驗證的另一項更改。
微軟首席專案經理 Ned Pyle 表示,Windows 11 Pro 很快就會開始停用不安全的 SMB 來賓驗證回退。事實上,最近的 Insider Preview 版本 25267和25276 已經實施了此安全增強功能。
Microsoft 對此變更的理由是來賓身分驗證不支援稽核追蹤和安全機制,例如簽章和憑證。因此,它們是中間人 (MITM) 攻擊的一個非常誘人的攻擊媒介,甚至可以在伺服器場景中加以利用。在最壞的情況下,惡意行為者可以使用訪客登入來取得整個網路的讀取或複製存取權限,並且不會留下任何稽核線索。
重要的是要注意,自 Windows 2000 以來,預設不允許訪客登入。同樣,Windows 10 教育版和企業版不允許 SMB2 和 SMB3 在嘗試輸入錯誤密碼後回退到訪客登入。有趣的是,雖然 Windows 11 Pro Insider 建置預設禁用來賓身份驗證,但 Windows 10 Pro 卻沒有。
微軟表示,您要求來賓存取的唯一情況是透過合法的第三方遠端儲存裝置。但是,在 Windows 11 Pro 中嘗試這樣做時不會遇到錯誤。解決方法是深入了解遠端設備的文檔並弄清楚如何停止要求來賓身份驗證。如果這不可能,您可以暫時啟用 SMB2 或 SMB3 來賓回退以允許存取。但是,由於舊協定中存在安全漏洞,不應使用 SMB1。
微軟已經提到,在最近的 Windows 11 Pro Insider 版本中預設啟用此行為,並且它將在作業系統的「下一個主要版本」中普遍可用。此舉似乎是一個讓 Windows 更安全的更大計劃,雷德蒙科技巨頭還計劃在幾年內取消 Microsoft 支援診斷工具 (MSDT)。
以上是Windows 11 Pro 很快就會預設為停用不安全的 SMB 訪客身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!