We use cookies to ensure that we give you the best experience on our website.

无法访问Windows 11 24H2中NAS上的共享文件夹

微软最近宣布了强制性SMB数据包签名默认情况下,Windows 11 24H2将启用对共享网络文件夹的访问。当访问NAS(网络连接存储)设备上的共享文件夹时,这可能会引起问题,默认情况下不支持或禁用SMB签名。

SMB签名是SMB/CIFS文件共享协议的安全功能之一。如果启用了此选项,则将将数字签名添加到每个SMB消息的标题中。该签名使得通过验证服务器和客户端的身份来确保尚未更改消息的内容并提供身份验证。这有助于防止SMB Man-the-Middle和NTLM继电器攻击。以前,仅需要在广告域控制器上访问SYSVOL和NETLOGON股份。

从Windows 11 24H2开始的所有出站SMB连接都需要SMB签名(在Windows 11 24H2中使用SMB的第三方NAS可能会失败)。如果SMB服务器不支持此模式,则Windows客户端将拒绝连接。其他支持的Windows版本将稍后收到此更改。

重要的!实施强制性SMB签名将导致客户端和服务器上的其他RAM和CPU使用。它还降低了通过网络传输的速度。

如果远程设备不支持SMB签名,则在访问该设备上的共享文件夹时会发生错误:

  • 0xc000a000
  •  -1073700864
  • STATUS_INVALID_SIGNATURE
  • The cryptographic signature is invalid

默认的Windows(和Samba)SMB服务器设置假设仅在一方要求时才使用SMB数据包签名。使用PowerShell列出Windows客户端上的当前SMB签名设置:

Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature

  • 要求符号签名= false-不启用SMB签名的强制使用。
  • EnablesEcuritySignature = true - 客户端仅在服务器需要时使用SMB签名。

要禁用(或启用)强制性SMB签名,请使用命令

Set-SmbClientConfiguration -RequireSecuritySignature $false

更改设置后重新启动计算机。

以同样的方式,您可以在服务器端启用或禁用SMB签名(带有共享文件夹的主机):

Get-SmbServerConfiguration | fl *sign*
Set-SmbServerConfiguration -RequireSecuritySignature $true(或者$false

如果禁用了旧版SMB1协议,则忽略了启用级别符号选项值(这是Windows中的默认行为)。

参见:


reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f
reg add "HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f

可以通过注册表启用这些SMB客户端和服务器选项。下一组命令将关闭客户和服务器的SMB签名的强制使用:gpedit.mscGPO编辑器也可用于为Windows客户端配置SMB签名模式。以下选项可在本地组策略编辑器中找到(

  • )在计算机配置 - > Windows设置 - >安全设置 - >本地策略 - >安全选项
  • Microsoft网络客户端:数字签名通信(总是)

客户定义Microsoft网络客户端:数字签名通信(如果服务器同意)一些NAS模型和固件版本支持SMB签名模式,但默认情况下不启用它(例如,在Synology,Asustor,QNAP和其他一些设备中)。例如,在Synology DSM 7+,可以在控制面板- >文件服务- >SMB- > 高级设置找到选项启用服务器签名。默认情况下禁用签名。要在客户要求时启用SMB签名,请选择

从下拉菜单中。

  • 推荐的方式因此,如果您在升级到Windows 11 24H2后访问NAS共享时遇到问题,则需要:在NAS设备上启用SMB签名(
  • 较少安全的选项在Windows客户端禁用强制性SMB签名(

Related articles