Categories: Windows 11

Проблемы с доступом к сетевым хранилищам NAS в Windows 11 24H2

Недавно Microsoft анонсировала, что в обновлении Windows 11 24H2 будет включено обязательно использование подписывания SMB пакетов при доступе к сетевым папкам. Это может вызвать массовые проблемы у пользователей с доступом к сетевым хранилищам NAS, на которых SMB signing не поддерживается либо отключено по-умолчнаию.

SMB Signing это одно из средств безопасности средств протокола общего доступа к файлам SMB/CIFS. Когда оно включено, каждое SMB сообщение подписывается в заголовке цифровой подписью. Такая подпись позволяет гарантировать, что содержимое сообщение не было изменено и проверить подлинность отправителя. Это позволяет предотвратить реализацию SMB атак типа man-in-the-middle и NTLM relay. Ранее SMB подписывание требовалось только при доступе к сетевым папкам SYSVOL и NETLOGON на контроллерах домена AD.

Начиная с Windows 11 24H2 подписывание SMB будет требоваться для всех исходящих подключений ( Accessing a third-party NAS with SMB in Windows 11 24H2 may fail ). Если SMB сервер не поддерживает такой режим, клиент Windows отклонит такое подключение. В дальнейшем это изменение будет распространено через обновления и на другие поддерживаемые версии Windows.

Важно . Внедрение обязательного SMB подписывания вызывает дополнительную нагрузку на клиент и сервер и снижает скорость передачи данных по сети.

Если SMB подписывание не поддерживается удаленным устройством, при доступе к нему будут появляться ошибки:

0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid

Текущие настройки SMB сервера в Windows (и в Samba) предполагаются возможность использования подписывание SMB пакетов, только когда одна из сторон обмена требует это. Вывести настройки SMB подписывания на клиенте Windows можно с помощью PowerShell:

Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature

RequireSecuritySignature = False — обязательное использование SMB подписи отключено
EnableSecuritySignature = True – клиент будет использовать SMB signing, только если требует сервер

Чтобы отключить (включить) обязательное использование SMB signing, используется команда:

Set-SmbClientConfiguration -RequireSecuritySignature $false

После изменения настроек компьютер нужно перезагрузить.

Аналогично можно включить/отключить SMB подписывание на стороне хоста с общими папками (сервера):

Get-SmbServerConfiguration | fl *sign*
Set-SmbServerConfiguration -RequireSecuritySignature $true (или $false )

Эти опции SMB клиента и сервера можно включить через реестр. Следующие команды отключат обязательно использование SMB signing как для клиента, так и для сервера:

 reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f 
 reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f 
 reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f 
 reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f

Также можно настроить режимы использования подписи SMB для клиента Windows через редактор GPO. В редакторе групповых политик gpedit.msc доступны следующие опции в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

Microsoft network client: Digitally sign communication (always) — Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
Microsoft network client: Digitally sign communication (if server agrees)

Некоторые модели и версии прошивок NAS поддерживают режим SMB подписывания, но он не включен по-умолчанию (в Synology, ASUStor, QNAP). Например, в Synology DSM 7+ эта опция находится в разделе Control Panel -> File Services -> SMB -> Advanced Settings . Найдите параметр Enable server signing . По умолчанию подписывание отключено. Чтобы использовать SMB подписывание, если клиент запрашивает его, выберите Client defined в выпадающем меню.

Таким образом, если после внедрения Windows 11 24H2 вы встретитесь с проблемой доступа к NAS, нужно:

Включить SMB signing на стороне NAS ( рекомендуемый вариант )
Отключить требование обязательного использования SMB подписей на стороне клиента ( менее безопасный вариант )

admin