Проблемы с доступом к NAS после обновления до Windows 11 24H2

Если вы пользуетесь сетевыми хранилищами NAS, после обновления до Windows 11 24H2 вы с более чем средней долей вероятности столкнетесь с ошибками доступа 0xc000a000, -1073700864, STATUS_INVALID_SIGNATURE либо The cryptographic signature is invalid. Причина – обязательное использование подписи SMB для всех исходящих пакетов, включенное Microsoft в новое обновление системы.

Если сетевое устройство не поддерживает подписывание SMB либо оно отключено, появятся указанные ошибки.

К слову, в ближайшее время новые правила также будут применены к другим версиям Windows 11 и 10. Вряд ли это будет встречено с особым энтузиазмом, поскольку использование SMB signing увеличивает нагрузку на клиент и сервер и, соответственно, снижает скорость передачи данных. Что касается возможного появления ошибок доступа к хранилищам, решить их можно будет двумя способами: включением SMB signing в настройках NAS или отключением того же SMB signing на клиентском компьютере.

С точки зрения безопасности первый вариант является более предпочтительным, но необходимо, чтобы NAS поддерживал такую возможность.

Вывести текущий статус SMB сервера можно выполненной в PowerShell следующей командой:

Get-SmbClientconfiguration | fl EnableSecuritySignature,RequireSecuritySignature

Обратите внимание на параметры RequireSecuritySignature и EnableSecuritySignature.

Если первый имеет значение False, значит обязательное использование SMB подписи отключено, если True – включено. Значение True для второго параметра станет означать, что клиентский ПК будет использовать подпись SMB, только если требует сервер. Чтобы включить или отключить обязательное использование подписания SMB на клиенте, используете такую команду:

Set-SmbClientConfiguration -RequireSecuritySignature $true/$false

Для включения/отключения настройки на сервере используйте следующие команды:

Get-SmbServerConfiguration | fl *sign*

Set-SmbServerConfiguration -RequireSecuritySignature $true/$false

В обоих случаях новые настройки будут применены после перезагрузки компьютера.

Изменить те же самые параметры можно через редактор локальных групповых политик.

Запустив его командой gpedit.msc, перейдите в раздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности.

И найдите справа политики «Клиент сети Microsoft: использовать цифровую подпись (всегда)» и «Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)» и включите или отключите ее в настройках каждой политики, открыв ее свойства двойными кликом.

Не будет лишним проверить настройки подписи SMB в самом NAS.

Он может поддерживать обязательное использование SMB signing, но не всегда оно включено по умолчанию. Нужная настройка называется Enable Server Signing или похожее и располагается в расширенных параметрах сервера.