Последнее обновление 19.09.2024 — Алёна Кузнецова
- Чтобы отключить требование подписи SMB в Windows 11, откройте «Редактор групповой политики» и отключите политику «Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)».
- Эту задачу также можно выполнить с помощью командной строки и PowerShell.
В Windows 11 после установки версии 24H2 (обновление 2024 г.) вы больше не сможете получить доступ к сетевому хранилищу данных (NAS). В этом руководстве я объясню причину и расскажу, как устранить эту проблему.
Наряду с массой новых изменений и добавлением новых функций, доступных в Windows 11 24H2, Microsoft вносит некоторые улучшения безопасности в систему, что теперь делает вход в систему Server Message Block (SMB) обязательным шагом для всех коммуникаций. Однако, поскольку многие устройства файловых серверов, уже представленные на рынке, обычно не используют эту конфигурацию, обновление до следующей версии операционной системы может вызвать ряд ошибок.
Например, вы можете увидеть сообщения об ошибках «Криптографическая подпись недействительна», «STATUS_INVALID_SIGNATURE» или «0xc000a000» и «1073700864».
У вас есть как минимум две альтернативы, если вы столкнетесь с одной из этих ошибок. Рекомендуемый подход — включить SMB Signing в NAS. Например, популярный бренд NAS Synology предлагает эту функцию через настройки «Домен/LDAP» и «Файловые службы» в зависимости от вашей модели. Или вы можете отключить SMB Signing на затронутом компьютере.
В этом руководстве я объясню шаги по проверке и включению подписывания SMB в Windows 11 24H2 и затронутых версиях операционной системы.
Отключите SMB-подписывание для доступа к NAS в Windows 11 из групповой политики
Чтобы отключить функцию подписания SMB из групповой политики в Windows 11 Pro, Enterprise или Education, выполните следующие действия:
-
Откройте «Пуск» в Windows 11.
-
Найдите gpedit и щелкните правой кнопкой мыши верхний результат, чтобы открыть редактор групповой политики.
-
Откройте следующий путь:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
-
Щелкните правой кнопкой мыши политику «Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)» и выберите параметр «Свойства».
-
Отметьте опцию «Отключено».
-
Нажмите кнопку «Применить».
-
Нажмите кнопку ОК.
-
Перезагрузите компьютер.
После выполнения этих шагов функция будет отключена, и вы сможете получить доступ к NAS без ошибок.
Отключите SMB-подписывание для доступа к NAS в Windows 11 из командной строки
Чтобы отключить функцию подписания SMB из командной строки, выполните следующие действия:
-
Откройте Пуск.
-
Найдите Командная строка (или Терминал), щелкните правой кнопкой мыши верхний результат и выберите параметр Запуск от имени администратора.
-
Введите следующую команду, чтобы отключить подписание SMB, и нажмите Enter:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
-
Перезагрузите компьютер.
После выполнения этих шагов вы больше не должны получать сообщения об ошибках при попытке доступа к файловому серверу по протоколу SMB.
Если вы хотите отменить изменения, вы можете использовать те же инструкции, но на шаге 3 запустите reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f команда.
Отключите SMB-подписывание для доступа к NAS в Windows 11 из PowerShell
Чтобы отключить функцию подписания SMB в Windows 11, выполните следующие действия:
-
Откройте Пуск.
-
Найдите PowerShell (или Терминал), щелкните правой кнопкой мыши верхний результат и выберите параметр «Запуск от имени администратора».
-
Введите следующую команду, чтобы отключить подписание SMB, и нажмите Enter:
Set-SmbClientConfiguration -RequireSecuritySignature $false
-
Введите «Y» и нажмите Enter, чтобы применить изменения.
-
(Необязательно) Введите следующую команду для подтверждения статуса подписания SMB в Windows 11 и нажмите Enter:
Get-SmbClientconfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature
-
Перезагрузите компьютер.
После выполнения этих шагов вы сможете получить доступ к файловому серверу в сети, просматривать его и получать доступ к нему без ошибок.
Если вы хотите отменить изменения, вы можете воспользоваться теми же инструкциями, но на шаге 3 запустите Set-SmbClientConfiguration -RequireSecuritySignature $true команда.
Соображения по подписанию SMB
В сети SMB Signing является частью CIFS (Common Internet File System) и протоколов обмена файлами SMB, используемых в системах хранения Windows. Если эта функция включена, то при отправке сообщения протоколом заголовок будет включать подпись, которую затем можно проверить, чтобы убедиться, что содержимое пакета было изменено по пути. Другими словами, эта функция помогает предотвращать атаки, такие как атаки типа «человек посередине».
Эта функция доступна уже давно, но операционная система не поддерживала ее до версии 24H2.
В конечном счете, функция SMB Signing помогает улучшить безопасность в сети и между сервером и клиентскими устройствами. Однако, поскольку эта функция потребует дополнительной обработки, она повлияет на производительность и скорость передачи данных между сервером и подключенными устройствами.
По возможности наилучшим подходом является настройка NAS на прием функции SMB Signing. Однако, если это невозможно или отрицательно влияет на производительность и скорость, у вас есть несколько способов отключить эту функцию в Windows 11.
Вы также можете обратиться к этим инструкциям, если Microsoft решит внедрить эту функцию в более старых версиях операционной системы, включая Windows 10.
