Microsoft отключит гостевой доступ по протоколу SMB

Microsoft хочет усилить безопасность Windows в редакциях Pro за счёт отключения гостевого доступа по протоколу SMB (сокр. от англ. Server Message Block) — сетевой протокол для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
SMB — это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также для запроса служб у серверных программ в различных типах сетевого окружения.

» data-html=»true» data-original-title=»SMB»>SMB. Изменение замечено в сборке Windows 11 Windows Insider Preview — это программа для бета-тестирования, которая позволяет пользователям предварительно опробовать новые функции и обновления операционной системы Windows, до того, как они будут официально выпущены.
Участники программы могут скачать и установить предварительные версии обновлений и отправлять отзывы и предложения команде Microsoft для улучшения продукта.

» data-html=»true» data-original-title=»Insider Preview»>Insider Preview Build 25276, выпущенной в этом месяце.

Несколько лет назад Microsoft принудительно отключила в свежих версиях Windows протокол SMB1, что доставило неудобств многим пользователям. Теперь изменения касаются уже протоколов SMB2 и SMB3. Они продолжат работать, но гостевой доступ для них будет по умолчанию отключен, а значит авторизоваться можно будет только по паролю. При этом опцию гостевого доступа не убрали из системы совсем, её можно включить при необходимости. Однако сама Microsoft не рекомендует этого делать.

«Ключевая проблема заключается в том, что гостевой доступ в систему не требует паролей и не поддерживает базовые функции безопасности», — написал в своем блоге Нед Пайл, главный программный менеджер Microsoft.

«Гостевой доступ делает пользователя уязвимым для сценариев «человек посередине» (Man-in-the-Middle, MITM (Man-in-the-Middle) — атака, при которой злоумышленник внедряется в существующий процесс связи между двумя пользователями и незаметно перехватывает разговор или передачу данных путем подслушивания, либо притворяясь легальным участником. Целью MITM-атаки является получение конфиденциальной информации — данные банковского счета, номера банковских карт или учетные данные.

» data-html=»true» data-original-title=»MITM»>MITM) или сценариев вредоносного сервера, когда фишинговая атака обманом заставляет пользователя открыть вредоносный файл на удаленном общем ресурсе», — добавил Пайл.

Если удаленному устройству хранения (NAS, или сетевое хранилище данных, позволяет получать доступ к файлам с любого компьютера или мобильного устройства, если оно подключено к той же сети. По сути, NAS соединяет несколько устройств хранения (например, жестких дисков) в сеть.

» data-html=»true» data-original-title=»NAS»>NAS) требуется гостевой доступ к системе, пользователь увидит одну из следующих ошибок при подключении через SMB:

  • Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
  • Код ошибки: 0x80070035
  • Сетевой путь не найден.

По рекомендациям Microsoft, любой, кто увидит подобные сообщения, должен настроить парольный доступ для этого сетевого устройства. А если устройство невозможно настроить в соответствии с новыми требованиями или гостевой доступ ему требуется временно, официальную инструкцию по включению гостевого доступа в SMB2 и SMB3 можно найти здесь .

Нед Пайл также написал, что пользователям не следует активировать SMB1, чтобы обойти новые ограничения. Ведь у этого устаревшего протокола проблем с безопасностью ещё больше.

Источник