两步解决Windows11 24H2 专业版无法访问局域网共享
转发自 https://bbs.pcbeta.com/viewthread-2010145-1-1.html1.打开组策略,在“本地计算机策略 > 计算机配置 > 管理模板 > 网络 > Lanman 工作站”中启用“启用不安全的来宾登录”。
2.打开组策略,在”本地计算机策略 > 计算机配置 > Windows 设置 > 安全设置 > 本地策略>安全选项”中禁用“Microsoft 网络客户端:对通信进行数字签名(始终)”。
立即生效。
PS: 我今天按老方法添加AllowInsecureGuestAuth始终不行,上网一查原来24H2版本是这个套路 本帖最后由 zhoualive 于 2024-11-19 00:33 编辑
牛。标记一下 用到来看运行gpedit.msc
今天重新安装系统发现 不行
报错如下:
因发生下列错误,无法创建映射网络驱动器 出现了扩展错误
还需要追加以下2个命令
搜索 powershell 以管理员身份运行
Set-SmbClientConfiguration -RequireSecuritySignature $false
输入A回车
Set-SmbServerConfiguration -RequireSecuritySignature $false
输入A回车 参考官方博文,微软并不建议如此操作:
更改内容
在 Windows 11 24H2 中,我们进行了两项重大安全更改,这些更改可能会影响将驱动器映射到第三方消费类 NAS 或带有 USB 存储的路由器:
[*]默认情况下,所有连接都需要 SMB 签名。这通过防止网络篡改来提高安全性,并阻止将您的凭证发送到恶意服务器的中继攻击。
[*]来宾回退在 Windows 11 专业版上处于禁用状态。这可以提高您在连接到不可信设备时的安全性。Guest 允许您连接到没有用户名或密码的 SMB 服务器。虽然对您的 NAS 制造商来说很方便,但这意味着您的设备可能会被诱骗连接到恶意服务器,而无需提示输入凭据,然后获得勒索软件或窃取您的数据。
SMB 签名已在 Windows 中提供 30 年,但现在所有连接都默认需要 SMB 签名。来宾已在 Windows 中禁用 25 年,自 Windows 10 以来,SMB 来宾回退在企业版、教育版和专业工作站版中处于禁用状态。这两项更改都将使数十亿台设备(不仅仅是 Windows,还包括所有运行 SMB 并希望与 Windows 通信的设备)更加安全。他们已经在 Windows Insider Dev 和 Canary 版本中使用了一年。
第三方 NAS 会发生什么情况
不过,有一个不可避免的后果:我们不知道什么时候有人打算变得不安全。
[*]我们不知道未启用 SMB 签名的 NAS 与不希望启用 SMB 签名的恶意服务器之间的区别。
[*]我们也不知道消费类 NAS(制造商使用访客访问来简化连接到其存储,但以牺牲安全性为代价)与希望您在没有任何安全提示的情况下进行连接的邪恶服务器之间的区别,以便窃取您的所有文件或提供恶意软件。此外,SMB 签名不能与来宾凭据一起使用。 因此,即使您启用了来宾回退,SMB 签名也会阻止它工作。
如果您已经安装了 Windows 11 24H2 Release Preview,并在之后尝试连接到您的第三方设备时看到这些错误之一,并且之前运行良好,那么您来对地方了。
如果您的第三方设备不支持签名,您可能会收到错误:
[*]0xc000a000
[*]-1073700864
[*]STATUS_INVALID_SIGNATURE
[*]加密签名无效
如果您的第三方需要 Guest Access,您可能会收到错误:
[*]您无法访问此共享文件夹,因为您组织的安全策略会阻止未经身份验证的 Guest 访问。这些策略有助于保护你的电脑免受网络上不安全或恶意设备的攻击
[*]0x80070035
[*]0x800704f8
[*]找不到网络路径
[*]发生系统错误 3227320323
如何解决问题
要解决这些问题,我们建议您按此顺序执行以下操作。它按从最安全到最不安全的顺序排序,我们的目标是保护您的数据,而不是帮助第三方向您销售不安全的产品。
[*]在第三方 NAS 中启用 SMB 签名。如果设备的管理软件中可能,您的供应商将提供在线执行此操作的步骤。
[*]在第三方 NAS 中禁用 Guest Access。如果设备的管理软件中可能,您的供应商将提供在线执行此操作的步骤。
[*]在您的第三方 NAS 中启用用户名和密码。如果设备的管理软件中可能,您的供应商将提供在线执行此操作的步骤。
[*]如果您无法启用签名、无法禁用 guest 或无法使用用户名和密码,请升级您的 NAS。NAS 的管理软件中通常有一个升级选项,可能标记为 “固件更新”。
[*]如果您无法升级 NAS 软件以支持签名和凭证,请更换 NAS(您需要先使用步骤 6 及以后将数据复制到新 NAS)
现在我们进入不太推荐的步骤,因为它们会大大降低您的 Windows 设备和数据的安全性。但是,他们会让您访问这个不安全的 NAS。
[*]禁用 SMB 客户端签名要求:
a. 在开始菜单搜索中,键入 gpedit 并启动编辑组策略应用程序(即本地组策略编辑器)。如果您使用的是 Home Edition,请跳至步骤 8。
b.在控制台树中,选择 “计算机配置”>“Windows 设置”>“安全设置”>“本地策略”>“安全选项”。
c. 双击“Microsoft 网络客户端:对通信进行数字签名(始终)”。
d. 选择 Disabled > OK。
[*]禁用客户机回退保护:
a. 在开始菜单搜索中,键入 gpedit 并启动编辑组策略应用程序(即本地组策略编辑器)。如果您使用的是 Home Edition,请跳至步骤 e。
b.在控制台树中,选择 Computer Configuration > Administration Templates> Network > Lanman Workstation。
c. 双击 Enable insecure guest logons
d. 选择 Enabled > OK。
[*]如果您运行的是 Windows 11 家庭版,则默认情况下仍启用来宾回退选项,因此您可能没有阅读此博客文章。但是,如果由于某种原因它处于打开状态,或者由于某些第三方 NAS 而需要关闭 SMB 签名,您将需要使用 PowerShell 来配置您的计算机,因为默认情况下没有 gpedit 工具。操作步骤:
a. 在开始菜单搜索中,键入 powershell,然后在 Windows PowerShell 应用程序下,单击 以管理员身份运行。 接受 elevation 提示。
b. 要禁用 SMB 签名要求,请键入:
Set-SmbClientConfiguration -RequireSecuritySignature $false
d. 按 Enter,然后按 Y 接受。
c. 要禁用 guest fallback,请键入:
Set-SmbClientConfiguration -EnableInsecureGuestLogons $true
e. 按 Enter,然后按 Y 接受。
此时,如果 Signing 或 Guest 是您真正的问题,您将开始工作。
共享这玩意真的在win10以来就是麻烦 留个记号,以后可能用得到。 之前遇到过无法访问局域网的打印机,应该也是这个问题
net
本帖最后由 BK11 于 2024-10-2 21:01 编辑user用户权限问题,共享文件权限添加user属性的用户,用密码就能正常访问,win10开始就禁止用户空密码登录。cmd输入net user就知道有些用户存在,net share就知道有哪些共享盘符。 哈哈,我家里的电脑愣是没搞出来 ,每次都拿U盘 ,或者每台机器单独下载[狂笑] 标记一下,说不定LTSC能用上 Mark一下。。。[偷笑] 学习!!! 学习记号。 vasomax 发表于 2024-10-2 21:15
哈哈,我家里的电脑愣是没搞出来 ,每次都拿U盘 ,或者每台机器单独下载
找局域网共享工具!!! 真是复杂呀 这样弄的话.局域网内的打印机咋办?? 每次新版本微软都能整点活 早就知道这方法了 学习了 收藏一下万一后面遇到https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif 匿名共享迟早又要爆漏洞的,早该改成帐号密码共享了 单位里,打印机共享是真需求。。
一直很难弄。 啊?有这问题吗? 标记一下 用到来看 mark 一下
windows在安全和便捷方便真是难以两全 gubugu2001 发表于 2024-10-3 09:37
单位里,打印机共享是真需求。。
一直很难弄。
采购新打印机一定要带网络接口的,老打印机加个绿联打印机网络共享器之类的 解决过几家公司局域网问题,都是装机商的批量系统权限和策略都不太一样那种。后来发现只用一步就行了,就是去添加windows凭据,用机器名+用户名+密码就行,因为甚至有的公司局域网ip都不固定的。 改了还是不行
难怪,我说怎么连不上nas。我最后使用nas的管理员账户练上去的。匿名不行了 翩翩人中鳯 发表于 2024-10-12 17:02
难怪,我说怎么连不上nas。我最后使用nas的管理员账户练上去的。匿名不行了 ...
赶紧的,这个设置无需重启,立马生效