Microsoft отключит гостевой доступ по протоколу SMB

Microsoft хочет усилить безопасность Windows в редакциях Pro за счёт отключения гостевого доступа по протоколу SMB. Изменение замечено в сборке Windows 11 Insider Preview Build 25276, выпущенной в этом месяце.

Несколько лет назад Microsoft принудительно отключила в свежих версиях Windows протокол SMB1, что доставило неудобств многим пользователям. Теперь изменения касаются уже протоколов SMB2 и SMB3. Они продолжат работать, но гостевой доступ для них будет по умолчанию отключен, а значит авторизоваться можно будет только по паролю. При этом опцию гостевого доступа не убрали из системы совсем, её можно включить при необходимости. Однако сама Microsoft не рекомендует этого делать.

«Ключевая проблема заключается в том, что гостевой доступ в систему не требует паролей и не поддерживает базовые функции безопасности», — написал в своем блоге Нед Пайл, главный программный менеджер Microsoft.

«Гостевой доступ делает пользователя уязвимым для сценариев «человек посередине» (Man-in-the-Middle, MITM) или сценариев вредоносного сервера, когда фишинговая атака обманом заставляет пользователя открыть вредоносный файл на удаленном общем ресурсе», — добавил Пайл.

Если удаленному устройству хранения (NAS) требуется гостевой доступ к системе, пользователь увидит одну из следующих ошибок при подключении через SMB:

• Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
• Код ошибки: 0x80070035
• Сетевой путь не найден.

По рекомендациям Microsoft, любой, кто увидит подобные сообщения, должен настроить парольный доступ для этого сетевого устройства. А если устройство невозможно настроить в соответствии с новыми требованиями или гостевой доступ ему требуется временно, официальную инструкцию по включению гостевого доступа в SMB2 и SMB3 можно найти здесь .

Нед Пайл также написал, что пользователям не следует активировать SMB1, чтобы обойти новые ограничения. Ведь у этого устаревшего протокола проблем с безопасностью ещё больше.