Świeżo z taśmy zjechał nowy build Windows 11 Insider Preview w Canary Channel. Tym razem Microsoft zaczyna testować zmiany dotyczące sygnatury zabezpieczeń SMB, a także wyświetlania okienka dialogowego w sytuacjach, w których wystąpią problemy ze streamingiem obrazu z kamery.
Windows 11: nowości w kompilacji 25381 w Canary Channel
Zmiany wymagań podpisywania SMB
Począwszy od kompilacji 25381 w edycjach Enterprise, podpisywanie SMB jest teraz domyślnie wymagane dla wszystkich połączeń. Jest to zmiana w stosunku do starszego zachowania Windows 10 i Windows 11, które domyślnie wymagały podpisywania SMB jedynie przy łączeniu z zasobami o nazwach SYSVOL i NETLOGON, a kontrolery domeny Active Directory wymagały podpisywania SMB, gdy jakikolwiek klient się z nimi łączył. Jest to część kampanii mającej na celu poprawę bezpieczeństwa Windows i Windows Server w nowoczesnym środowisku.
Wszystkie wersje Windows i Windows Server obsługują podpisywanie SMB. Zewnętrzne zasoby mogą jednak mieć je wyłączone lub mogą go nie wspierać. Jeśli próbujesz połączyć się z zasobem zdalnym na zewnętrznym serwerze SMB, który nie pozwala na podpisywanie SMB, możesz otrzymać wiadomość błędu np. 0xc000a000, -1073700864, STATUS_INVALID_SIGNATURE albo The cryptographic signature is invalid.
Aby to naprawić, skonfiguruj swój zewnętrzny serwer, aby obsługiwał podpisywanie SMB. Jest to oficjalna porada Microsoftu. Nie wyłączaj podpisywania SMB w Windows, aby używać SMB1 w celu obejścia tego zachowania (SMB1 wspiera podpisywanie, ale go nie wymusza). Urządzenie SMB, które nie wspiera podpisywania, umożliwia ataki typu interception i relay. Podpisywanie SMB może zmniejszyć wydajność operacji kopiowania SMB. Możesz temu zapobiec, stosując więcej fizycznych rdzeni CPU lub wirtualnych CPU, a także nowsze, szybsze CPU.
Aby zobaczyć obecne ustawienia podpisywania SMB, uruchom w PowerShell polecenia:
Get-SmbServerConfiguration | fl requiresecuritysignature
Get-SmbClientConfiguration | fl requiresecuritysignature
Aby wyłączyć wymaganie podpisywania SMB na kliencie (wychodzące na inne urządzenia), jako administrator z podwyższonym poziomem uprawnień uruchom w PowerShell polecenie:
Set-SmbClientConfiguration -RequireSecuritySignature $false
Aby wyłączyć wymaganie podpisywania SMB na serwerze (na Windows 11 Insider Preview Build 25381 lub nowszym w edycjach Enterprise), jako administrator z podwyższonym poziomem uprawnień uruchom w PowerShell polecenie:
Set-SmbServerConfiguration -RequireSecuritySignature $false
Nie jest wymagane ponowne uruchomienie, ale istniejące połączenia SMB będą nadal używały podpisywania aż do czasu ich zamknięcia.
Pozostałe zmiany i ulepszenia
Ogólne
- Jeśli wykryte zostaną problemy ze streamingiem z kamery, np. kamera nie może się uruchomić lub jej migawka jest zamknięta, pojawi się wyskakujące okno dialogowe z rekomendacją uruchomienia zautomatyzowanego narzędzia rozwiązywania problemów "Uzyskaj pomoc".
