Windows 11 24H2 kann Probleme mit SMB-NAS-Anbindung machen

[English]Es ist noch einige Tage hin, bevor Windows 11 24H2 allgemein ausgerollt wird. In den Release Preview-Builds Windows Insider lässt sich aber erkennen, wo es ggf. Probleme gibt. Ein Problembereich ist der SMB-Dienst bzw. -Protokoll, an dem Microsoft einige Änderungen vorgenommen hat. Das kann dazu führen, dass NAS-Laufwerke aus Windows 11 24H2 nicht mehr erreichbar sind. Es gibt aber Workaround, die Microsoft Betroffenen an den Hand gegeben hat. Hier ein Nachtrag zum Thema.

Was ist SMB?

Das Kürzel SMB steht für Server Message Block, ein Netzwerkprotokoll (auch unter dem Begriff Common Internet File System, CIFS, bekannt) für Datei-, Druck- und andere Serverdienste in Rechnernetzwerken. Es ist ein zentraler Teil der Netzdienste der Windows-Produktfamilie und erlaubt den Zugriff auf Dateien und Verzeichnisse, die sich auf einem anderen Computer befinden.

Änderungen in Windows 11 24H2 an SMB

Bereits Ende Mai 2024 hat Ned Pyle in der Techcommunity im Beitrag Accessing a third-party NAS with SMB in Windows 11 24H2 may fail auf Änderungen hingewiesen, die Microsoft an SMB unter Windows 11 24H2 vorgenommen hat. Es gibt zwei gravierende Änderungen, die Auswirkungen auf die Einbindung von NAS-Laufwerken (Network Attached Storage-Laufwerke) haben.

• Für alle SMB-Verbindungen ist standardmäßig ein SMB-Signing erforderlich. Dies soll die Sicherheit erhöhen, indem es Manipulationen im Netzwerk verhindert und Relay-Angriffe unterbindet, die Anmeldedaten der Benutzer an bösartige Server senden.
• In Windows 11 Pro 24H2 wird das sogenannte Guest Fallback deaktiviert. Dies soll die Sicherheit bei der Verbindung mit nicht vertrauenswürdigen Geräten erhöhen.

Zum Hintergrund: Mit der Gastfunktion (Guest) können Nutzer eine Verbindung zu einem SMB-Server ohne Benutzernamen oder Kennwort herstellen. Das ist zwar für den Hersteller der NAS-Geräte praktisch, die sparen bei der Implementierung der Firmware. Ein zugelassener Guest-Mode bedeutet aber auch, dass ein System dazu verleitet werden kann, sich mit einem bösartigen Server zu verbinden. Im Guest-Mode werden keine Anmeldeinformationen abgefragt. Es ist dann ein Leichtes, Ransomware oder Schadprogramme auszurollen oder Daten des Nutzers abzuziehen.

Auswirkungen auf NAS-Systeme

Die oben angesprochene Änderung ist ein tiefer Eingriff in das bestehende Öko-System. Dann die SMB-Signierung ist seit 30 Jahren in Windows verfügbar. Jetzt wird erstmals standardmäßig eín SMB-Signing für alle Verbindungen verlangt. SMB-Gast-Fallback ist zwar seit Windows 10 in den Editionen Enterprise, Education und Pro for Workstation deaktiviert.

Aber es ist davon auszugehen, dass doch zahlreiche NAS-Systeme von den Änderungen in Windows 11 24H2 betroffen sein dürften. Falls das obige Szenario (Guest Fallback) und fehlendes SMB-Signing verwendet wird, dürften die nachfolgenden Fehlermeldungen beim Versuch eines Zugriffs auf NAS-Systeme auftreten. Bei fehlender Unterstützung für SMB-Signing, werden vermutlich folgende Fehler gemeldet.

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• The cryptographic signature is invalid

Erwartet das NAS den Zugriff im „Guest-Mode“ (Gastzugang) werden Zugriffe mit den nachfolgend aufgelisteten Fehlermeldungen abgewiesen:

• Sie können nicht auf diesen freigegebenen Ordner zugreifen, weil die Sicherheitsrichtlinien Ihres Unternehmens den unautorisierten Gastzugang blockieren. Diese Richtlinien helfen, Ihren PC vor unsicheren oder bösartigen Geräten im Netzwerk zu schützen
• Der Netzwerkpfad wurde nicht gefunden
• Ein Systemfehler 3227320323 ist aufgetreten
• Error 0x80070035
• Error 0x800704f8

In diesen Szenarien ist kein Zugriff auf die Dateifreigaben im NAS-System mehr aus Windows 11 Version 24H2 möglich und der Benutzer muss am NAS die notwendigen Voraussetzungen sicherstellen.

Was kann man tun?

Microsoft gibt im Techcommunity-Beitrag mehrere Hinweise, was im Fehlerfall vom Benutzer getan werden kann. Die nachfolgend aufgeführten Maßnahmen beziehen sich auf das NAS-System.

• Am NAS ist das SMB-Signierung zu aktivieren. Dies sollte in der Verwaltungsoberfläche des betreffenden NAS als Option angeboten werden.
• Ist ein Gastzugang beim NAS eines Drittanbieters eingerichtet, müssen Nutzer diesen Modus abschalten. Auch hier sollte eine entsprechende Option in der Verwaltungsoberfläche des betreffenden NAS als Option angeboten werden.
• Nach Abschalten des Gastzugangs ist die Anmeldung mittels Benutzernamen und ein Passwort für das NAS in der Verwaltungsoberfläche des betreffenden Geräts zu konfigurieren.

Sofern diese Optionen auf der Verwaltungsoberfläche des betreffenden NAS fehlen, ist zu klären, ob ein Firmware-Update, welches diese Optionen bereitstellt, möglich ist. Ist das NAS bereits End-of-Life und es gibt kein Firmware-Update, welches die obigen Optionen ermöglicht, ist das Gerät auszutauschen.

Der Schritt wird nicht empfohlen, aber Microsoft beschreibt im Techcommunity-Beitrag Accessing a third-party NAS with SMB in Windows 11 24H2 may fail auch eine Gruppenrichtlinie, um das SMB-Signing abzuschalten und den Guest-Mode wieder zuzulassen. In diesem Zusammenhang erwähnt Microsoft erneut, dass in allen Editionen von Windows 11 das SMB1-Netzwerkprotokoll standardmäßig deaktiviert ist. Das könnte sich auf alte Geräte wie NAS oder Scanner auswirken, die nur SMB1 unterstützen. Hier besteht die Möglichkeit für Administratoren, SMB1 über die Features wieder zu aktivieren. Mittelfristig sollten die alten Geräte aber aus Sicherheitsgründen ersetzt werden. (via)

Ähnliche Artikel:
Windows: SMB-Signing wird (bald) für alle Versionen erzwungen
Windows 11 Home: SMB1 wird deaktiviert und künftig entfernt
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
Samba 4.11 deaktiviert SMBv1 und unterstützt SMBv2
SMBv1-FAQ und Windows-Netzwerke
Microsoft lässt NetBIOS-Namensauflösung und LLMNR zukünftig auslaufen