Microsoft wird in Kürze eine wichtige Änderung vornehmen, die mit dem Windows 11 24H2-Update in größerem Umfang umgesetzt wird und die Sicherheit einzelner lokaler Netzwerkverbindungen, die das SMB-Protokoll verwenden, erheblich verbessert. Im Wesentlichen bedeutet die Änderung, dass das System unsichere Verbindungen blockiert, die frühere Versionen des SMB-Protokolls verwenden, egal ob es sich dabei um Router handelt, die die Dateifreigabe über den USB-Port nutzen, oder sogar um einige NAS-Konfigurationen. Wenn diese keinen Benutzernamen und kein Kennwort für den Zugriff auf den Inhalt erfordern, kann die Verbindung von Windows 11 24H2 abgelehnt werden.

Dies wurde von Microsofts Chief Program Manager Ned Pyle kürzlich über den offiziellen Blog des Unternehmens erwähnt. Er erklärte in dem Beitrag, dass SMB1 mittlerweile mehr als 40 Jahre alt ist und seit 2022 im Gespräch ist und mit der Ankunft von Windows 11 24H2 abgelöst werden soll. Das Betriebssystem mit dem neuen Update-Pack wird von den Benutzern verlangen, dass sie sich anmelden, um das SMB-Protokoll in allen Fällen zu verwenden, was auch dazu beitragen wird, den unbefugten Zugriff auf Inhalte zu verhindern. Für das SMB-Protokoll wird in der Version Windows 11 Pro der Rückgriff auf den Gastmodus deaktiviert, was bedeutet, dass der SMB-Server ohne Benutzernamen und Passwort nicht zugänglich ist.

Die Verwendung von SMB mit Anmeldung ist in Windows seit 30 Jahren verfügbar, wird aber mit dem kommenden Update für alle Verbindungen obligatorisch sein. SMB-Guest ist in Windows seit 25 Jahren deaktiviert, und SMB-Guest-Fallback wurde in verschiedenen Editionen von Windows 10 deaktiviert, darunter Enterprise, Education, Pro und Workstation. Beide Änderungen werden dazu führen, dass die Kommunikation nicht nur unter Windows sicherer wird, sondern auch unter allen anderen Systemen, die SMB ausführen und mit Windows "sprechen" wollen. Diese Änderung ist seit einem Jahr in den Dev- und Canary-Builds des Windows Insider Preview-Programms in Kraft.

Die Änderung ist erforderlich, um zu verhindern, dass ein bösartiger Server aus der Ferne eine SMB-Verbindung für bösartige Zwecke ohne Anmeldeinformationen initiiert - es gibt keine wirkliche Möglichkeit, zwischen einem NAS ohne SMB-basierte Anmeldung und dem betreffenden bösartigen Server zu unterscheiden, weshalb solche Verbindungen deaktiviert werden sollten. Es ist nicht möglich, während der SMB-Anmeldung Gast-Zugangsdaten einzugeben, so dass selbst bei aktiviertem Guest Fallback diese nicht funktionieren.

Wenn Sie versuchen, eine Verbindung zu einem NAS, USB-Router oder einem anderen Gerät ohne SMB-Signaturunterstützung herzustellen, erhalten Sie eine der folgenden Fehlermeldungen:

Wenn Ihr Gerät SMB-Gastzugriff erfordert, erhalten Sie möglicherweise die folgenden Fehlermeldungen:

Um den Fehler zu beheben, aktivieren Sie die SMB-Signierungsoption für den NAS oder Router, deaktivieren Sie die Gastzugriffsfunktion und geben Sie dann einen Benutzernamen und ein Kennwort ein, nach denen das Gerät bei der Verbindung zur Dateifreigabe fragt. Wenn eine solche Funktion nicht verfügbar ist, müssen Sie die Firmware oder Software des Geräts aktualisieren, falls verfügbar. Ist dies nicht der Fall, empfiehlt es sich, das Gerät durch ein sichereres Gerät zu ersetzen und dann die oben genannten Sicherheitsoptionen zum Kopieren von Daten vorübergehend zu deaktivieren, wie am Ende dieses Beitrags ausführlich beschrieben.

Gleichzeitig bittet das Microsoft-Team jeden, der ein NAS-Gerät oder einen USB-Router besitzt, bei dem die Dateifreigabe nicht durch SMB-Signierung deaktiviert werden kann und für den derzeit kein Update verfügbar ist, um die Angabe des genauen Gerätetyps und des Herstellernamens. Sobald sie diese Informationen haben, werden sie versuchen, den Hersteller davon zu überzeugen, SMB Signing mit einem Update zu aktivieren. Natürlich gibt es keine Garantie dafür, dass der Hersteller dieser Aufforderung nachkommen wird, aber die Hoffnung stirbt bekanntlich zuletzt.