Clienții Windows 10 inund serverele Samba cu încercări de conectare pentru invitați fantomă

În prezent rulez un server Samba pentru partajarea fișierelor într-o rețea SOHO.

Am observat că unul dintre patch-urile recente pentru Windows 10 pare să fi introdus un fel de eroare urâtă cu SMB, care face ca Windows 10 să spamează cererile de invitați neautentificate la serverul SMB. pentru fiecare fișier accesat.

Erorile pe care le primesc în jurnalele Samba sunt următoarele:

[2021/12/22 18:31:42.283148, 1] ../../source3/smbd/service.c:355(create_connection_session_info)
  create_connection_session_info: utilizatorul invitat (din configurarea sesiunii) nu are permisiunea de a accesa această partajare (MY_USERNAME)
[2021/12/22 18:31:42.283174, 1] ../../source3/smbd/service.c:545(make_connection_snum)
  create_connection_session_info a eșuat: NT_STATUS_ACCESS_DENIED

Pe clientul Windows 10, văd vizualizatorul de evenimente sub Jurnalele de aplicații și servicii -> Microsoft -> Windows -> SMBClient -> Securitate urmând următoarele erori:

Clientul SMB nu s-a conectat la partajare.

Eroare: {Acces refuzat}
Un proces a solicitat acces la un obiect, dar nu i s-au acordat acele drepturi de acces.

Cale: \smb\MY_USERNAME

Această eroare pare să fi fost introdusă cândva în ultimele două luni în timpul unui pachet de KB, deoarece o nouă instalare a Windows 10 nu provoacă acest comportament - doar o instalare complet actualizată.

Vreau să fiu clar cu privire la câteva lucruri:

1. Clientul se autentifică foarte bine cu serverul. Partajările mele de rețea funcționează excelent, așa că nu cred că aceasta este o problemă de acreditări. Cu toate acestea, Windows 10 trimite constant spam pe Samba cu încercări de conectare neautentificate pentru vizitatori la fiecare acces la fișier.

2. Accesul pentru oaspeți NU a fost activat în Windows 10. Este dezactivat implicit și Nu l-am suprascris folosind GPO-uri.

3. Windows Defender nu este configurat să scaneze partajările de rețea. Dezactivarea administrativă a acestei funcții nu pare să schimbe nimic.

4. Am încercat să dezactivez direct accesul pentru oaspeți în Samba și am încercat să impun și criptarea/semnarea pe server (ceea ce dezactivează complet accesul oaspeților). În ciuda acestui fapt, încă mai primesc încercări de conectare pentru oaspeți fantomă de la clienții Windows 10 (deși eroarea se modifică pe serverul Samba pentru a spune ceva despre blocarea accesului oaspeților din cauza criptării).

Din nou, mă pot autentifica la serverul de fișiere foarte bine și lucrurile funcționează - cu excepția bitului în care Windows 10 pare să încerce să genereze o conectare pentru invitați pentru fiecare fișier accesat.

Există vreo modalitate de a remedia acest comportament fie pe partea clientului Samba, fie Windows 10? Am văzut câteva rapoarte similare despre acest lucru online, dar până acum nu am găsit soluții și nu am reușit să găsesc nimic în smb.conf care să „remedieze” acest bug (aparent?).

Nu am făcut testarea de regresie a revenirii la versiunile vechi de Windows, dar pot să vă spun că văd aceeași problemă aici, cu Win 10 19044.1415 conectându-se la o cutie TrueNAS Core 12. Funcționează, dar cu siguranță creează niște jurnale zgomotoase:

[2021/12/24 21:40:18.383339, 1] ../../source3/smbd/service.c:355(create_connection_session_info)
  create_connection_session_info: utilizatorul invitat (din configurarea sesiunii) nu are permisiunea de a accesa această partajare (personală)
[2021/12/24 21:40:18.383383, 1] ../../source3/smbd/service.c:544(make_connection_snum)
  create_connection_session_info a eșuat: NT_STATUS_ACCESS_DENIED

După o întrebare anterioară a comentatorului, rezultatul meu ICACLS:

C:\>icacls \nas\personal
\nas\personal S-1-22-1-0:(F)
               CREATOR PROPRIETAR:(OI)(CI)(IO)(F)
               S-1-5-21-3997689159-3832354152-3824094002-1005:(M,DC)
               GRUP CREATOR:(OI)(CI)(IO)(M,DC)

Procesarea cu succes a 1 fișiere; Procesarea 0 fișiere a eșuat

EDITAȚI | ×: Această problemă din noiembrie 2020 (!) pare foarte asemănătoare: https://docs.microsoft.com/en-us/answers/questions/122178/windows-10-sends-unauthenticated-smb-requests.html

De asemenea, în cazul meu, din păcate, clientul înregistrează aceeași eroare (SMBClient Error code 31010) în jurnalul de evenimente Windows pentru fiecare eroare care apare în jurnalele serverului samba.

EDITARE 2: Posibil succes?

Am reușit să obțin acest comportament dezactivând inspecția în timp real Windows Defender la nivel global pe clientul Win10. Nu am descoperit încă modificări ale setărilor Defender care să-mi permită să-l las activat, dar să nu produc acest comportament - de exemplu, maparea unei unități la partajare și excluderea acelei unități mapate de la scanare în setările Defender /nu/ funcționează.

EDITARE 3: Singura soluție pe termen lung pe care am găsit-o până acum (care nu necesită uciderea tuturor protecției în timp real împotriva programelor malware) este să renunț și să activez conectările pentru invitați pentru partajările SMB. Acest lucru permite comportamentului Windows defectat să continue fără a declanșa un val de erori, iar restul configurației mele Samba nu permite unui oaspete să acceseze nimic (utilizatorul oaspete se mapează la „nimeni”, iar ACL-urile sistemului de fișiere sunt toate chmod xx0) deci acest lucru merge bine pentru mine. YMMV.

Interesant, după această schimbare, clientul Windows acum înregistrează o plângere în jurnalul de evenimente (o dată pe conexiune de partajare) că serverul SMB la distanță permite conexiuni pentru oaspeți atunci când chiar nu ar trebui... oh, ironia.

eu sunt persoana care a postat întrebarea de pe site-ul web de întrebări și răspunsuri Microsoft din noiembrie 2020. După cum puteți vedea problemele noastre se potrivesc și cred că este aceeași. Încă mă lupt cu problema, pentru că nu am găsit timp într-adevăr raportați această problemă la Microsoft. Intre timp am incercat fara noroc si alte setari de Samba.

Astăzi am căutat din nou această problemă. m-am împiedicat acest discuție care părea promițătoare, dar adăugătoare restrânge anonim = 1 configurarea la Samba nu a ajutat. Atunci am ajuns aici și sunt fericit alte persoane au observat această problemă.

Aș putea încă să-mi actualizez testarea și să sun la Microsoft pentru a raporta problema, dar drumul pentru a ajunge la inginerii adevărați este foarte, foarte lung. (sursa: am lucrat în Customer Support și mă ocup de asta în fiecare zi).

Este foarte enervant și sunt sigur că mulți oameni au această problemă silențioasă. Cred că am putea încerca și versiuni mai vechi W10 pentru a afla când a început.