我要评论数码爱好者朋友都知道,微软目前已经发布了windows 11 24h2预览版,windows 11 24h2正式版很快就会来了,这是一个非常重要的版本更新,很多朋友都非常关注。
当然,windows 11 24h2最值得关注的是有关ai方面的新功能和改进,据称微软将深度整合copliot。不过,ai不是本文的主题,本文的主题是要向读者介绍windows 11 24h2版本中的两项新安全规则的变化,这可能会影响到一部分nas用户。
具体而言,在windows 11 24h2版本中,微软将对两项重要的网络访问规则进行更改:
一、在默认情况下,所有的连接都需要smb签名。这项规则可以通过防止网络篡改提高安全性,并可阻止将凭据发送到恶意服务器的中继攻击。
二、微软将在windows 11 24h2专业版(和以后的版本中)禁用不安全的来宾登录,这项规则可以提高用户在连接到不可信设备时的安全性。
在这之前,来宾账户允许用户在没有、不用输入用户名或密码的情况下连接到smb服务器,虽然很方便,但是有非常大的安全风险。可能会导致用户的设备被攻击者诱骗、连接至恶意服务器,从而窃取用户的数据,或者恶意加密用户的数据进行敲诈勒索。
调整这两项安全规则可大幅提高安全,但是凡事有利也就有弊,由此也可能会产生一些负面后果。因为某些nas设备是基于之前的安全规则所开发、设计的,当用户更新至windows 11 24h2版,新安全规则生效后,用户访问这些nas设备可能会出现各种错误,无法正常使用。
如果用户的nas设备不支持smb签名,可能会遇到以下各种提示报错,包括但不限于:
0x00a000、-1073700864、签名无效(status_invalid_signature)、加密签名无效(status_invalid_signature)等等。
如果用户的nas设备需要支持不安全的来宾登录,则可能会收到以下报错信息,包括但不限于:
您无法访问此共享文件夹,因为组织的安全策略会阻止未经身份验证的来宾访问,这些策略有助于保护您的电脑免受网络上不安全或恶意设备的侵害、0x80070035、0x800704f8、找不到网络路径(the network path was not found)、发生系统错误3227320323(system error 3227320323 has occurred)。
如果用户日后更新至windows 11 24h2版真的遇到了上述问题,可通过以下两个临时性的办法解决:
一、禁用smb客户端签名要求
在“开始”菜单搜索中,输入gpedit并启动“编辑组策略”应用(本地组策略编辑器),选择“计算机配置”>“windows 设置”>“安全设置”>“本地策略”>“安全选项”,双击microsoft网络客户端:对通信进行数字签名(始终),最后选择“已禁用”>“确定”,请参阅上图。
二、启用不安全的来宾登录
在“开始”菜单搜索中输入 gpedit 并启动“编辑组策略”应用(本地组策略编辑器),选择“计算机配置”>“管理模板”>“网络> lanman 工作站”,双击“启用不安全的来宾登录”,最后选择“已启用”>“确定”,请参阅上图。
需要强调、指出的是,这两种解决方法都只是权宜之计,存在较大的安全风险,微软将敦促广大nas设备厂商尽快更新自家产品的相关固件和软件,以符合windows 11 24h2的新网络安全规则。
因此,最近一段时间,广大nas设备用户需要密切留意微软方面和nas设备制造商的官方说明,及时更新相关固件和软件,这才是最可靠、最稳妥的做法。
发表评论