前言
在 Windows 11 24H2 中,我们进行了两项重大安全更改,这些更改可能会影响将驱动器映射到第三方消费类 NAS 或带有 USB 存储的路由器:
- 默认情况下,所有连接都需要 SMB 签名。这通过防止网络篡改来提高安全性,并阻止将您的凭证发送到恶意服务器的中继攻击。
- 来宾回退在 Windows 11 专业版上处于禁用状态。这可以提高您在连接到不可信设备时的安全性。Guest 允许您连接到没有用户名或密码的 SMB 服务器。虽然对您的 NAS 制造商来说很方便,但这意味着您的设备可能会被诱骗连接到恶意服务器,而无需提示输入凭据,然后获得勒索软件或窃取您的数据。
出现的问题如下
- 如果第三方设备不支持签名,可能会收到以下错误提示:
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
加密签名无效
- 如果第三方需要Guest Access,可能会收到以下错误提示:
您无法访问此共享文件夹,因为您组织的安全策略会阻止未经身份验证的 Guest 访问。这些策略有助于保护你的电脑免受网络上不安全或恶意设备的攻击
0x80070035
0x800704f8
找不到网络路径
发生系统错误 3227320323
解决方法
1. Windows 11 专业版
- 打开运行(Win+R),输入 gpedit.msc 进入组策略
- 依次打开 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 双击 Microsoft 网络客户端:对通信进行数字签名(始终) 设置为 > 已禁用 > 确定即可
2. Windows 11 家庭版
- 右键 开始菜单 > 终端管理员
- 禁用 SMB 签名要求,输入以下代码并回车,然后按 Y 接受
Set-SmbClientConfiguration -RequireSecuritySignature $false
- 禁用 guest fallback,输入以下代码并回车,然后按 Y 接受
Set-SmbClientConfiguration -EnableInsecureGuestLogons $true