.
A Microsoft deseja aumentar a segurança nas edições do Windows Pro, garantindo que os fallbacks de autenticação de convidado inseguro para SMB não sejam mais a configuração padrão no sistema operacional.
A mudança, que está incluída no Windows 11 Insider Preview Build 25276 lançado este mês, significa que os sistemas com Windows 10 versão 1709 ou posterior e Windows Server 2019, SMB2 e SMB3 não permitirão mais, por padrão, o acesso de conta de convidado a um servidor remoto ou para aqueles que fornecerem credenciais inválidas para retornar à conta de convidado .
Isso alinha as edições do Windows Pro com a segurança mais forte nas edições Enterprise e Education, que pararam de permitir a configuração padrão desde o Windows 10, de acordo com o fabricante de software corporativo.
Um problema-chave é que os logons de convidados não exigem senhas e não oferecem suporte a recursos básicos de segurança, como assinatura e criptografia, escreveu Ned Pyle, principal gerente de programas da Microsoft, em um postagem no blog.
“Permitir que um cliente use logons de convidado torna o usuário vulnerável a cenários de ataque intermediário ou servidores maliciosos – por exemplo, um ataque de phishing que induz um usuário a abrir um arquivo em um compartilhamento remoto ou um servidor falsificado que engana um cliente a pensar que é legítimo”, escreveu Pyle. “O invasor não precisa saber as credenciais do usuário e uma senha incorreta é ignorada. Somente dispositivos remotos de terceiros podem exigir acesso de convidado por padrão.”
Noutro postagem no bloga Microsoft escreveu que o cliente Windows e o Windows Server não permitiam acesso de convidado ou usuários remotos a se conectarem como convidados ou usuários anônimos desde o Windows 2000. Somente dispositivos remotos de terceiros podem exigir acesso de convidado por padrão, mas sistemas executando o Windows não.
Dito isso, a Microsoft está pedindo aos usuários que não voltem a permitir o acesso de convidados como padrão. Se um dispositivo remoto estiver configurado para usar credenciais de convidado, o processo deve ser para um administrador desabilitar o acesso de convidado ao dispositivo e configurar a autenticação e autorização corretas.
Se um dispositivo de armazenamento remoto precisar de acesso de convidado a um sistema como um NAS de pequena empresa, o usuário verá uma das várias mensagens de erro ao se conectar do Windows 11 Insider Pro via SMB, incluindo:
- Você não pode acessar esta pasta compartilhada porque as políticas de segurança da sua organização bloqueiam o acesso de convidados não autenticados. Essas políticas ajudam a proteger seu PC contra dispositivos inseguros ou mal-intencionados na rede.
- Código de erro: 0x80070035
- O caminho de rede não foi encontrado.
Qualquer pessoa que veja essas mensagens de erro precisará configurar o dispositivo remoto para exigir um nome de usuário e senha para conexões SMB, de modo que não precise mais da autenticação de convidado. Se o dispositivo não puder ser configurado para atender aos novos requisitos ou precisar de acesso temporário para migrar dados para dispositivos seguros, as etapas para habilitar o acesso de convidado inseguro em SMB2 e SMB3 podem ser encontradas aqui.
Pyle também escreveu que os usuários não devem usar o SMB1 como solução alternativa devido aos vários problemas de segurança desse protocolo, que foi desabilitado por padrão em todas as versões do Windows. A proteção mais recente contra autorização insegura de convidados não se aplica a SMB1.®
.
