Microsoft verbessert die SMB-Authentifizierung (Server Message Block) in Windows 11 erheblich. Damals aktivierte das Unternehmen standardmäßig den SMB-Authentifizierungsratenbegrenzer, um ihn für böswillige Akteure weniger attraktiv zu machen. Jetzt wurde eine weitere Änderung der SMB-Authentifizierung angekündigt.
Microsoft Principal Program Manager Ned Pyle sagte, dass Windows 11 Pro bald damit beginnen wird, den unsicheren SMB-Gastauthentifizierungs-Fallback zu deaktivieren. Tatsächlich haben die aktuellen Insider Preview-Builds 25267 und 25276 diese Sicherheitsverbesserung bereits implementiert.
Microsoft begründet diese Änderung damit, dass die Gastauthentifizierung keine Prüfprotokolle und Sicherheitsmechanismen wie Signaturen und Zertifikate unterstützt. Daher sind sie ein sehr verlockender Angriffsvektor für Man-in-the-Middle-Angriffe (MITM), der sogar in Serverszenarien ausgenutzt werden kann. Im schlimmsten Fall könnte ein böswilliger Akteur mit einem Gast-Login Lese- oder Kopierzugriff auf das gesamte Netzwerk erlangen, ohne einen Prüfpfad zu hinterlassen.
Es ist wichtig zu beachten, dass Gastanmeldungen seit Windows 2000 standardmäßig nicht zulässig sind. Ebenso erlauben die Editionen Windows 10 Education und Enterprise nicht, dass SMB2 und SMB3 nach einem falschen Kennwortversuch auf die Gastanmeldung zurückgreifen. Interessanterweise ist die Gastauthentifizierung bei Windows 11 Pro Insider-Builds standardmäßig deaktiviert, bei Windows 10 Pro jedoch nicht.
Microsoft gibt an, dass Sie Gastzugriff nur über ein legitimes Remote-Speichergerät eines Drittanbieters anfordern. Der Fehler tritt jedoch nicht auf, wenn Sie dies in Windows 11 Pro versuchen. Die Lösung besteht darin, in der Dokumentation des Remote-Geräts zu stöbern und herauszufinden, wie man die Notwendigkeit einer Gastauthentifizierung beenden kann. Wenn dies nicht möglich ist, können Sie vorübergehend den SMB2- oder SMB3-Gast-Fallback aktivieren, um den Zugriff zu ermöglichen. Allerdings sollte SMB1 aufgrund von Sicherheitslücken im älteren Protokoll nicht verwendet werden.
Microsoft hat erwähnt, dass dieses Verhalten in aktuellen Windows 11 Pro Insider-Builds standardmäßig aktiviert ist und dass es in der „nächsten Hauptversion“ des Betriebssystems allgemein verfügbar sein wird. Im Rahmen eines scheinbar größeren Plans, Windows sicherer zu machen, plant der Technologieriese aus Redmond auch, das Microsoft Support Diagnostic Tool (MSDT) innerhalb weniger Jahre einzustellen.
Das obige ist der detaillierte Inhalt vonWindows 11 Pro wird die unsichere SMB-Gastauthentifizierung bald standardmäßig deaktivieren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
