os_software:os:windows_11:zugriff_auf_einen_servershare_mit_smb

Zugriff auf ein NAS eines Drittanbieters mit SMB in Windows 11 24H2

Avatar von NedPyle Abonnieren Symbol für Microsoft-RangMicrosoft 29. Mai 2024

Hey Leute, hier ist wieder Ned . Mit der Veröffentlichung der Windows 11 24H2 Release Preview testen Kunden das neue Betriebssystem vor der allgemeinen Verfügbarkeit. Wenn Sie in den letzten Jahren am Windows Insider Canary- oder Dev-Release-Programm teilgenommen haben, ist nichts von dem, was ich Ihnen jetzt mitteilen werde, neu. Aber wenn Sie nicht dabei waren und jetzt Probleme haben, ein Laufwerk über SMB Ihren NAS-Geräten (Network Attached Storage) von Drittanbietern zuzuordnen, ist dieser Artikel für Sie.

Was hat sich geändert

In Windows 11 24H2 haben wir zwei wichtige Sicherheitsänderungen vorgenommen, die sich auf die Zuordnung von Laufwerken zu NAS-Geräten oder Routern mit USB-Speicher von Drittanbietern auswirken können: 

  Standardmäßig ist für alle Verbindungen eine SMB-Signierung erforderlich. Dies erhöht Ihre Sicherheit, indem es Manipulationen im Netzwerk verhindert und Relay-Angriffe stoppt, die Ihre Anmeldeinformationen an bösartige Server senden.
  Gast-Fallback ist in der Pro-Edition von Windows 11 deaktiviert.  Dies erhöht Ihre Sicherheit beim Verbinden mit nicht vertrauenswürdigen Geräten. Gast ermöglicht Ihnen die Verbindung mit einem SMB-Server ohne Benutzernamen oder Passwort. Das ist zwar praktisch für den Hersteller Ihres NAS, bedeutet aber, dass Ihr Gerät dazu verleitet werden kann, sich ohne Abfrage der Anmeldeinformationen mit einem bösartigen Server zu verbinden, und dann Ransomware infiziert oder Ihre Daten gestohlen werden können.

SMB-Signierung ist seit 30 Jahren in Windows verfügbar, wird jetzt aber erstmals standardmäßig für alle Verbindungen benötigt. Gast ist seit 25 Jahren in Windows deaktiviert und SMB-Gast-Fallback ist seit Windows 10 in den Editionen Enterprise, Education und Pro für Workstation deaktiviert. Beide Änderungen werden Milliarden von Geräten sicherer machen – nicht nur Windows, sondern alles, was SMB ausführt und mit Windows kommunizieren möchte. Sie sind seit einem Jahr in den Builds Windows Insider Dev und Canary enthalten.

Was passiert mit einem NAS eines Drittanbieters

Eine Konsequenz ist jedoch unvermeidbar: Wir wissen nicht, wann jemand die Sicherheit absichtlich gefährdet hat . 

  Wir kennen den Unterschied zwischen einem NAS ohne aktivierte SMB-Signierung und einem bösartigen Server, der keine  aktivierte SMB-Signierung möchte , nicht .
  Wir kennen auch nicht den Unterschied zwischen einem NAS für Verbraucher – bei dem der Hersteller Gastzugriff verwendet hat, um die Verbindung zu seinem Speicher auf Kosten der Sicherheit zu vereinfachen – und einem bösartigen Server, der  Sie ohne Sicherheitsabfragen verbinden  möchte , um alle Ihre Dateien zu stehlen und/oder Malware zu verbreiten. Darüber hinaus kann die SMB-Signierung nicht mit Gastanmeldeinformationen verwendet werden. Selbst wenn Sie also Gast-Fallback aktiviert haben, verhindert die SMB-Signierung, dass es funktioniert.

Wenn Sie Windows 11 24H2 Release Preview installiert haben und anschließend beim Verbindungsversuch mit Ihrem Drittanbietergerät, das zuvor problemlos funktioniert hat, einer dieser Fehler auftritt, sind Sie hier richtig.

Wenn die Signierung von Ihrem Drittanbietergerät nicht unterstützt wird, wird möglicherweise die folgende Fehlermeldung angezeigt: 

  OS-Version:
  -1073700864
  STATUS_INVALID_SIGNATURE
  Die kryptografische Signatur ist ungültig

Wenn ein Drittanbieter Gastzugriff benötigt, erhalten Sie möglicherweise die folgende Fehlermeldung: 

  Sie können nicht auf diesen freigegebenen Ordner zugreifen, da die Sicherheitsrichtlinien Ihrer Organisation nicht authentifizierten Gastzugriff blockieren. Diese Richtlinien schützen Ihren PC vor unsicheren oder bösartigen Geräten im Netzwerk.
  0x80070035
  OS-Version:
  Der Netzwerkpfad wurde nicht gefunden
  Der Systemfehler 3227320323 ist aufgetreten

So lösen Sie die Probleme

Um diese Probleme zu lösen, empfehlen wir Ihnen, Folgendes in dieser Reihenfolge zu tun. Dabei ist die Reihenfolge vom sichersten zum am wenigsten sicheren Ansatz. Unser Ziel ist der Schutz Ihrer Daten und nicht, Dritten dabei zu helfen, Ihnen unsichere Produkte zu verkaufen. 

  Aktivieren Sie die SMB-Anmeldung in Ihrem NAS von Drittanbietern. Ihr Anbieter wird Ihnen die Schritte dazu online mitteilen, sofern dies in der Verwaltungssoftware des Geräts möglich ist.
  Deaktivieren Sie den Gastzugriff auf Ihrem NAS von Drittanbietern. Ihr Anbieter wird Ihnen Schritte dazu online mitteilen, wenn dies in der Verwaltungssoftware des Geräts möglich ist.
  Aktivieren Sie einen Benutzernamen und ein Passwort in Ihrem NAS von Drittanbietern. Ihr Anbieter wird Ihnen die Schritte dazu online mitteilen, wenn dies in der Verwaltungssoftware des Geräts möglich ist.
  Aktualisieren Sie Ihr NAS, wenn Sie die Signierung nicht aktivieren, den Gast nicht deaktivieren oder keinen Benutzernamen und kein Passwort verwenden können. Das NAS verfügt in der Verwaltungssoftware normalerweise über eine Aktualisierungsoption, möglicherweise mit der Bezeichnung „Firmware-Update“.
  Ersetzen Sie Ihr NAS, wenn Sie Ihre NAS-Software nicht aktualisieren können, um Signierung und Anmeldeinformationen zu unterstützen (Sie müssen zuerst die Schritte 6 und höher ausführen, um Ihre Daten von dort auf Ihr neues NAS zu kopieren).

Nun kommen wir zu den weniger empfohlenen Schritten, da sie Ihr Windows-Gerät und Ihre Daten deutlich weniger sicher machen. Sie erhalten dadurch jedoch Zugriff auf dieses unsichere NAS.

6. Deaktivieren Sie die SMB-Client-Signaturanforderung:

a. Geben Sie im Startmenü „gpedit “ ein und starten Sie die App „Gruppenrichtlinie bearbeiten“ (d. h. den lokalen Gruppenrichtlinien-Editor) . Wenn Sie die Home Edition verwenden , fahren Sie mit Schritt 8 fort.

b. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen .

c. Doppelklicken Sie auf Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) .

d. Wählen Sie Deaktiviert > OK .

7. Deaktivieren Sie den Gast-Fallback-Schutz:

a. Geben Sie im Startmenü „gpedit “ ein und starten Sie die App „Gruppenrichtlinie bearbeiten“ (d. h. „Lokaler Gruppenrichtlinien-Editor“) . Wenn Sie die Home Edition verwenden , fahren Sie mit Schritt e fort.

b. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Administrative Vorlagen > Netzwerk > Lanman Workstation.

c. Doppelklicken Sie auf Unsichere Gastanmeldungen aktivieren

d. Wählen Sie Aktiviert > OK .

8. Wenn Sie Windows 11 Home Edition verwenden , ist die Gast-Fallback-Option immer noch standardmäßig aktiviert, sodass Sie diesen Blogbeitrag wahrscheinlich nicht lesen. Aber wenn sie aus irgendeinem Grund aktiviert ist oder Sie die SMB-Signierung aufgrund eines NAS eines Drittanbieters deaktivieren müssen, müssen Sie PowerShell verwenden, um Ihren Computer zu konfigurieren, da standardmäßig kein gpedit-Tool vorhanden ist. Gehen Sie dazu wie folgt vor:

a. Geben Sie im Startmenü „ powershell“ ein und klicken Sie dann unter der Windows PowerShell- App auf „Als Administrator ausführen“. Akzeptieren Sie die Eingabeaufforderung mit erhöhten Rechten.

b. Um die SMB-Signaturanforderung zu deaktivieren, geben Sie Folgendes ein:

Set-SmbClientConfiguration -RequireSecuritySignature $false

d. Drücken Sie die Eingabetaste und dann zum Akzeptieren die Y-Taste.

c. Um den Gast-Fallback zu deaktivieren, geben Sie Folgendes ein:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true

e. Drücken Sie die Eingabetaste und dann zum Akzeptieren die Y-Taste.

An diesem Punkt arbeiten Sie, wenn die Anmeldung oder der Gastmodus Ihre wirklichen Probleme wären.

Wichtig : Wir haben Ihre Möglichkeit, SMB1 zu aktivieren, nicht entfernt. In allen Editionen von Windows 11 ist SMB1 standardmäßig deaktiviert – dies ist seit über einem Jahr und in einigen Editionen seit Windows 10 der Fall –, Sie können es jedoch jederzeit wieder aktivieren, wenn Sie ein NAS eines Drittanbieters haben, das nur SMB1 unterstützt. SMB1 unterstützt die Signierung, Ihr NAS jedoch möglicherweise nicht , daher können die oben genannten Schritte zum Deaktivieren der Signierung weiterhin gelten. SMB1 lässt immer Gast-Fallback zu und kann nicht gestoppt werden, daher sind die Schritte für Gäste nicht anwendbar. Wenn Ihr NAS eines Drittanbieters noch SMB1 erfordert, ist es wahrscheinlich hier aufgeführt https://aka.ms/stillneedssmb1 . Wenn Sie feststellen, dass es auch keine SMB-Signierung unterstützt, teilen Sie uns dies bitte unter der unten angegebenen E-Mail-Adresse mit.

  • os_software/os/windows_11/zugriff_auf_einen_servershare_mit_smb.txt
  • Zuletzt geändert: 2024/11/27 21:16
  • von reinhard