Microsoft meningkatkan dengan ketara pengesahan Server Message Block (SMB) dalam Windows 11. Pada masa itu, syarikat itu mendayakan pengehad kadar pengesahan SMB secara lalai untuk menjadikannya kurang menarik kepada pelakon yang berniat jahat. Kini, ia telah mengumumkan satu lagi perubahan kepada pengesahan SMB.
Pengurus Program Utama Microsoft Ned Pyle berkata bahawa Windows 11 Pro tidak lama lagi akan mula melumpuhkan sandaran pengesahan tetamu SMB yang tidak selamat. Malah, Insider Preview baru-baru ini membina 25267 dan 25276 telah pun melaksanakan peningkatan keselamatan ini.
Rasional Microsoft untuk perubahan ini ialah pengesahan tetamu tidak menyokong jejak audit dan mekanisme keselamatan seperti tandatangan dan sijil. Oleh itu, ia adalah vektor serangan yang sangat menggoda untuk serangan manusia-dalam-tengah (MITM), yang bahkan boleh dieksploitasi dalam senario pelayan. Dalam senario terburuk, pelakon berniat jahat boleh menggunakan log masuk tetamu untuk mendapatkan akses baca atau salin ke seluruh rangkaian tanpa meninggalkan sebarang jejak audit.
Adalah penting untuk ambil perhatian bahawa sejak log masuk tetamu Windows 2000 tidak dibenarkan secara lalai. Begitu juga, edisi Windows 10 Education dan Enterprise tidak membenarkan SMB2 dan SMB3 kembali ke log masuk tetamu selepas percubaan kata laluan yang salah. Menariknya, walaupun binaan Windows 11 Pro Insider mempunyai pengesahan tetamu dilumpuhkan secara lalai, Windows 10 Pro tidak.
Microsoft mengatakan satu-satunya masa anda meminta akses tetamu adalah melalui peranti storan jauh pihak ketiga yang sah. Walau bagaimanapun, anda tidak menghadapi ralat semasa cuba melakukan ini dalam Windows 11 Pro. Penyelesaiannya adalah untuk menggali dokumentasi peranti jauh dan memikirkan cara untuk berhenti memerlukan pengesahan tetamu. Jika ini tidak mungkin, anda boleh mendayakan sandaran tetamu SMB2 atau SMB3 buat sementara waktu untuk membenarkan akses. Walau bagaimanapun, SMB1 tidak boleh digunakan kerana lubang keselamatan dalam protokol lama.
Microsoft telah menyebut bahawa tingkah laku ini didayakan secara lalai dalam binaan Windows 11 Pro Insider baru-baru ini, dan ia akan tersedia secara umum dalam "versi utama seterusnya" sistem pengendalian. Dalam apa yang kelihatan sebagai rancangan yang lebih besar untuk menjadikan Windows lebih selamat, gergasi teknologi Redmond itu juga merancang untuk menghentikan Alat Diagnostik Sokongan Microsoft (MSDT) dalam masa beberapa tahun.
Atas ialah kandungan terperinci Windows 11 Pro tidak lama lagi akan melumpuhkan pengesahan tetamu SMB yang tidak selamat secara lalai. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!