A Microsoft rövidesen fontos változtatást eszközöl, ami a Windows 11 24H2-es frissítésével szélesebb körben is érvénybe lép, ezáltal jelentősen javul az egyes helyi hálózati kapcsolatok biztonsága az SMB protokoll használata közben. A változás lényegében az lesz, hogy a rendszer blokkolni fogja azokat a nem biztonságos kapcsolatokat, amelyek az SMB protokoll korábbi verzióit használják, legyen szó USB portos fájlmegosztást használó routerekről, vagy éppen egyes NAS konfigurációkról. Amennyiben ezek nem igényelnek felhasználónevet és jelszót a tartalmakhoz való hozzáféréshez, a kapcsolatot visszautasíthatja a Windows 11 24H2.

Erről a Microsoft fő programvezetője, Ned Pyle tett említést a minap a vállalat hivatalos blogján keresztül. A posztban kifejtette, az SMB1 már 40 évnél is idősebb, leváltásáról 2022 óta beszélnek, erre pedig sor is kerül a Windows 11 24H2 verziójának érkezésével. Az új frissítőcsomaggal ellátott operációs rendszer minden esetben megköveteli majd, hogy bejelentkezzen a felhasználó az SMB protokoll használatához, ami segít abban is, hogy az illetéktelenek ne férhessenek hozzá a különböző tartalmakhoz. Az SMB protokoll esetében a vendégmódra történő visszaugrás tiltva lesz a Windows 11 Pro kiadás esetében, vagyis az SMB szerverhez semmiképpen sem lehet majd hozzáférni felhasználónév és jelszó megadása nélkül.

Az SMB bejelentkezéshez kötött használatára már 30 éve van lehetőség Windows alatt, ám az érkező frissítéssel kötelezővé válik az összes kapcsolat esetében. A SMB Guest Windows alatt 25 éve lett letiltva, az SMB Guest Fallback funkció pedig a Windows 10 különböző kiadásaiban került letiltásra, így például az Enterprise, az Education, a Pro és a Workstation kiadásokkal sem használható. Mindkét változás azt eredményezi, hogy a kommunikáció nemcsak Windows alatt, hanem minden alatt biztonságosabb lesz, ami SMB-t futtat és a Windows-hoz szeretne „szólni”. Ez a változás a Windows Insider Preview program Dev és Canary buildjeiben már egy éve végbe ment.

A változásra azért van szükség, mert ezáltal elkerülhető, hogy egy rosszindulatú szerver távolról, bejelentkezési adatok nélkül, kártékony célokra kezdeményezzen SMB kapcsolatot – nem igazán lehet különbséget tenni egy SMB alapú bejelentkezéssel nem rendelkező NAS és az említett kártékony szerver között, ezért kell tiltani az efféle kapcsolódást. Az SMB bejelentkezés alkalmával vendég adatokat nem lehet majd megadni, így hiába van bekapcsolva a Guest Fallback funkció, az nem fog működni.

Amennyiben NAS, USB portos router vagy egyéb eszköz esetében csatlakozni próbálunk egy fájlmegosztáshoz SMB Signing támogatás nélkül, az alábbi hibaüzenetek valamelyikét kapjuk majd:

Ha az adott eszköz megkövetelné az SMB Guest Access funkciót, az alábbi hibaüzeneteket kaphatjuk:

A hiba elhárításához engedélyezni kell az SMB Signing opciót a NAS vagy a router esetében, illetve tiltani kell a Guest Access funkciót, majd meg kell adni egy felhasználónevet és jelszót, amit a fájlmegosztáshoz történő csatlakozáskor kér majd az eszköz. Ha ilyen funkció nem áll rendelkezésre, frissíteni kell az adott eszköz firmware-ét, illetve szoftverét, amennyiben van rá lehetőség. Ha nincs, akkor az eszközt ajánlott biztonságosabbra cserélni, majd az adatok átmásolásához ideiglenesen érdemes kikapcsolni a fentebb említett biztonsági opciókat, ehhez e poszt végén találnak részletes leírást az érdeklődők.

A Microsoft csapata ezzel egy időben azt kéri, hogy aki rendelkezik olyan NAS eszközzel vagy USB portos routerrel, amelynél a fájlmegosztást nem lehet SMB Signing funkcióval levédeni, és az eszközökhöz jelenleg frissítés sem áll rendelkezésre, küldjék el az eszköz pontos típuság, a gyártó nevével együtt. Az információ birtokában megpróbálják majd rábírni a gyártót, kapcsolja be az SMB Signing funkciót egy frissítéssel. Arra persze nincs garancia, hogy ezt a kérést teljesíti is az adott gyártó, de a remény hal meg utoljára.