Как исправить ошибку подписывания SMB для доступа к NAS в Windows 11 24H2

• Чтобы отключить требование подписи SMB в Windows 11, откройте «Редактор групповой политики» и отключить «Клиент сети Microsoft: использовать цифровую подпись при общении (с согласия сервера)» политика.
• Эту задачу также можно выполнить с помощью командной строки и PowerShell.

В Windows 11 после установки версии 24H2 (обновление 2024 г.) вы больше не сможете получить доступ к сетевому хранилищу данных (NAS). В этом руководстве я объясню причину и расскажу, как устранить эту проблему.

Наряду с множеством новых изменений и добавлением новых функций, доступных в Windows 11 24H2, Microsoft вносит некоторые улучшения в систему безопасности, что теперь делает Блок сообщений сервера (SMB) вход в систему — обязательный шаг для всех коммуникаций. Однако, поскольку многие устройства файловых серверов, уже представленные на рынке, обычно не используют эту конфигурацию, обновление до следующей версии операционной системы может вызвать ряд ошибок.

Например, вы можете увидеть «Криптографическая подпись недействительна», «STATUS_INVALID_SIGNATURE», или «0xc000a000», и «1073700864» сообщения об ошибках.

У вас есть как минимум две альтернативы, если вы наткнетесь на одну из этих ошибок. Рекомендуемый подход — включить SMB Signing в NAS. Например, популярный бренд NAS Синология предлагает эту функцию через настройки «Домен/LDAP» и «Файловые службы» в зависимости от вашей модели. Или вы можете отключить SMB Signing на затронутом компьютере.

В этом руководстве я объясню шаги по проверке и включению подписывания SMB в Windows 11 24H2 и затронутых версиях операционной системы.

Отключите SMB-подписывание для доступа к NAS в Windows 11 из групповой политики

Чтобы отключить функцию подписания SMB из групповой политики в Windows 11 Pro, Enterprise или Education, выполните следующие действия:

1. Открыть Начинать в Windows 11.

2. Искать gpedit и щелкните правой кнопкой мыши по верхнему результату, чтобы открыть Редактор групповой политики.

3. Откройте следующий путь:

   Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности

4. Щелкните правой кнопкой мыши «Клиент сети Microsoft: использовать цифровую подпись при общении (с согласия сервера)» политику и выбрать Характеристики вариант.

5. Проверьте Неполноценный вариант.

   

6. Нажмите на Применять кнопка.

7. Нажмите на ХОРОШО кнопка.

8. Перезагрузите компьютер.

После выполнения этих шагов функция будет отключена, и вы сможете получить доступ к NAS без ошибок.

Отключите SMB-подписывание для доступа к NAS в Windows 11 из командной строки

Чтобы отключить функцию подписания SMB из командной строки, выполните следующие действия:

1. Открыть Начинать.

2. Искать Командная строка (или Терминал), щелкните правой кнопкой мыши верхний результат и выберите Запустить от имени администратора вариант.

3. Введите следующую команду, чтобы отключить SMB-подписание, и нажмите Входить:

   reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters” /v ТребоватьПодписьБезопасности /t REG_DWORD /d 0 /f

   

4. Перезагрузите компьютер.

После выполнения этих шагов вы больше не должны получать сообщения об ошибках при попытке доступа к файловому серверу по протоколу SMB.

Если вы хотите отменить изменения, вы можете воспользоваться теми же инструкциями, но на шаге 3 выполните команду reg add “HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters” /v EnableSecuritySignature /t REG_DWORD /d 1 /f.

Отключите SMB-подписывание для доступа к NAS в Windows 11 из PowerShell

Чтобы отключить функцию подписания SMB в Windows 11, выполните следующие действия:

1. Откройте Пуск.

2. Искать PowerShell (или Терминал), щелкните правой кнопкой мыши верхний результат и выберите Запустить от имени администратора вариант.

3. Введите следующую команду, чтобы отключить SMB-подписание, и нажмите Входить:

   Set-SmbClientConfiguration -RequireSecuritySignature $false

   

4. Тип «Й» и нажмите Входить для применения изменений.

5. (Необязательно) Введите следующую команду, чтобы подтвердить статус подписания SMB в Windows 11, и нажмите Входить:

   Get-SmbClientconfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature

6. Перезагрузите компьютер.

После выполнения этих шагов вы сможете получить доступ к файловому серверу в сети, просматривать его и получать доступ к нему без ошибок.

Если вы хотите отменить изменения, вы можете воспользоваться теми же инструкциями, но на шаге 3 выполните команду Set-SmbClientConfiguration -RequireSecuritySignature $true.

Соображения по подписанию SMB

В сфере сетевых технологий SMB Signing является частью CIFS (общая интернет-файловая система) и протоколы обмена файлами SMB, используемые в системах хранения Windows. Если эта функция включена, то при отправке сообщения протоколом заголовок будет включать подпись, которую затем можно проверить, чтобы убедиться, что содержимое пакета было изменено по пути. Другими словами, эта функция помогает предотвратить атаки, такие как атаки типа «человек посередине».

Эта функция доступна уже давно, но операционная система не поддерживала ее до версии 24H2.

В конечном счете, функция SMB Signing помогает улучшить безопасность в сети и между сервером и клиентскими устройствами. Однако, поскольку эта функция потребует дополнительной обработки, она повлияет на производительность и скорость передачи данных между сервером и подключенными устройствами.

По возможности наилучшим подходом является настройка NAS на прием функции SMB Signing. Однако, если это невозможно или отрицательно влияет на производительность и скорость, у вас есть несколько способов отключить эту функцию в Windows 11.

Вы также можете обратиться к этим инструкциям, если Microsoft решит внедрить эту функцию в более старых версиях операционной системы, включая Windows 10.