Aktualizacja: 14-01-2025r.
Poniższy wpis, muszę uzupełnić o pewne doprecyzowanie.
Z treści w poniższym wpisie, może wynikać, że SAMBA na Linuxie nie obsługuje podpisywania pakietów komunikacji protokołem SMB. To jest oczywiście nieprawda; SAMBA na Linux jak najbardziej obsługuje podpisywanie.
Problem który opisałem może dotyczyć Windows 11 jak i 10 – w otoczeniu serwerów NAS, które dają dostęp do niektórych zasobów w sposób anonimowy – czyli bez uwierzytelnienia.
Tu może powstać pewien konflikt. Kiedy ustawimy tak, że klient Windows ma zezwolenie na dostęp do zasobów bez logowania (*2) oraz jednocześnie ma wymuszone podpisywanie pakietów (*1) – to próba połączenia z NAS-em, kończy się błędem o treści: „system windows nie może znaleźć elementu sprawdź pisownie i spróbuj ponownie” albo to samo w wersji angielskiej z oczywistych powodów.
Aby wyjaśnić technicznie dlaczego tak jest – trzeba by wejść dość głęboko w szczegóły procesu logowania. Teraz nie mam na to czasu.
Ale bardzo upraszczając, wygląda to tak:
Anonim łączący się z serwerem NAS, nie jest w stanie podpisywać pakietów komunikacji, gdyż nie ma on odpowiedniego klucza sesji, który jest pozyskiwany w procesie normalnego uwierzytelnienia.
Stąd, dostęp do zasobów bez uwierzytelnienia, nie jest możliwy gdy podpisywanie jest wymuszone.
Przy innych kombinacjach ustawień opcji zabezpieczeń (*1,2), mogą występować jeszcze inne zachowania klienta – co też zauważyłem niedawno. I powiem, że potrafi być ciekawie; dodatkowo Windows 10 i 11 potrafią zachowywać się inaczej, pomimo tych samych ustawień oraz przy współpracy z tym samym NAS-em.
Nie mam mocy przerobowych na opisywanie tu wszystkiego. Myślę, że naprowadziłem Cię na miejsce, gdzie możesz szukać rozwiązania, gdybyś miał problemy z dostępem do serwera SAMBA.
Jeszcze dwa słowa o tym gdzie ten problem pierwszy raz zauważyłem.
Mianowicie, była to sytuacja u klienta, gdzie nastąpiła utrata łączności z NASem po upgrade OS do Windows11. Opis ustawień zawarty w tym wpisie, był tym co rozwiązało problem.
(*) – tu jest mowa o dwóch ustawieniach, opisanych poniżej we wpisie, są to:
1. Computer configuration -> Policies -> Windows Settings -> Security Settings -> Microsoft network client: Digitally sign communications (always)
2. Computer configuration -> Policies -> Administrative Templates -> Network -> Lanman Workstation -> Enable insecure guest logons
Poniżej – pierwotny wpis z 31-gru-2025r.
Może zauważyłeś, że po instalacji albo upgrade do Windows 11, straciłeś dostęp do swoich zasobów np. na serwerze opartym o Linux/Samba?
Jeśli tak – to prawdopodobnie znajdziesz tu odpowiedź na tą zagadkę.
Brak takiego dostępu, może być spowodowany jedną lub dwiema właściwościami w ustawieniach klienta CIFS w Windows 11.
Pierwsza właściwość – to żądanie cyfrowo podpisanej komunikacji z serwerem.
Druga właściwość – to zablokowany dostęp do zasobów dostępnych bez hasła (uwierzytelnienia).
Podaję tu przepis na to, jak te dwa ograniczenia zdjąć. Oczywiście rób to tylko wtedy kiedy naprawdę tego potrzebujesz. Jest to jakby nie patrzeć, jakieś tam obniżenie poziomu security. Szczególnie zwróć uwagę na to w środowisku firmowym. Na pewno lepiej jest poprawić konfigurację serwera NAS, niż „psuć” bezpieczeństwo sieci.
Przepis dotyczy zmiany ustawień poprzez Policy Editor. Tym samym, poniższy opis dotyczy wersji Pro/Enterprise Windows 11.
Opisane zmiany można wprowadzić lokalnie (gpedit.msc) lub zdalnie/zbiorczo dla wybranych komputerów, gdy mamy Active Directory (gpmc.msc).
Zdjęcie wymogu podpisanej komunikacji klienta CIFS
Adres GPO:
Computer configuration -> Policies -> Windows Settings -> Security Settings -> Microsoft network client: Digitally sign communications (always)
Wartość tej polisy, należy ustawić w pozycję: Disabled
Zdjęcie ograniczenia do korzystania z anonimowych zasobów.
Adres GPO:
Computer configuration -> Policies -> Administrative Templates -> Network -> Lanman Workstation -> Enable insecure guest logons
Wartość tej polisy, należy ustawić w pozycję: Enabled
To tyle w temacie 🙂
Pozdrawiam
Nadredaktor