Проблемы с доступом к сетевым хранилищам NAS в Windows 11 24H2

Недавно Microsoft анонсировала, что в обновлении Windows 11 24H2 будет включено обязательно использование подписывания SMB пакетов при доступе к сетевым папкам. Это может вызвать массовые проблемы у пользователей с доступом к сетевым хранилищам NAS, на которых SMB signing не поддерживается либо отключено по-умолчнаию.

Начиная с Windows 11 24H2 подписывание SMB будет требоваться для всех исходящих подключений ( Accessing a third-party NAS with SMB in Windows 11 24H2 may fail ). Если SMB сервер не поддерживает такой режим, клиент Windows отклонит такое подключение. В дальнейшем это изменение будет распространено через обновления и на другие поддерживаемые версии Windows.

Если SMB подписывание не поддерживается удаленным устройством, при доступе к нему будут появляться ошибки:

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• The cryptographic signature is invalid

Текущие настройки SMB сервера в Windows (и в Samba) предполагаются возможность использования подписывание SMB пакетов, только когда одна из сторон обмена требует это. Вывести настройки SMB подписывания на клиенте Windows можно с помощью PowerShell:

Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature

• RequireSecuritySignature = False — обязательное использование SMB подписи отключено
• EnableSecuritySignature = True – клиент будет использовать SMB signing, только если требует сервер

Чтобы отключить (включить) обязательное использование SMB signing, используется команда:

Set-SmbClientConfiguration -RequireSecuritySignature $false

После изменения настроек компьютер нужно перезагрузить.

Аналогично можно включить/отключить SMB подписывание на стороне хоста с общими папками (сервера):

Get-SmbServerConfiguration | fl *sign*
Set-SmbServerConfiguration -RequireSecuritySignature $true (или $false )

Также можно настроить режимы использования подписи SMB для клиента Windows через редактор GPO. В редакторе групповых политик gpedit.msc доступны следующие опции в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

• Microsoft network client: Digitally sign communication (always) — Сетевой клиент Майкрософт: использовать цифровую подпись (всегда)
• Microsoft network client: Digitally sign communication (if server agrees)

Некоторые модели и версии прошивок NAS поддерживают режим SMB подписывания, но он не включен по-умолчанию (в Synology, ASUStor, QNAP). Например, в Synology DSM 7+ эта опция находится в разделе Control Panel -> File Services -> SMB -> Advanced Settings . Найдите параметр Enable server signing . По умолчанию подписывание отключено. Чтобы использовать SMB подписывание, если клиент запрашивает его, выберите Client defined в выпадающем меню.

Таким образом, если после внедрения Windows 11 24H2 вы встретитесь с проблемой доступа к NAS, нужно:

• Включить SMB signing на стороне NAS ( рекомендуемый вариант )
• Отключить требование обязательного использования SMB подписей на стороне клиента ( менее безопасный вариант )