Kể từ phiên bản Windows 11 24H2, Microsoft đã thực hiện nhiều thay đổi đáng kể về cách hoạt động của các chia sẻ SMB trên các thiết bị Windows. Để tăng cường bảo mật, các chia sẻ này hiện yêu cầu SMB signing (ký SMB) và đối với hầu hết các phiên bản Windows 11 (ngoại trừ bản Home), tính năng guest fallback (dự phòng tài khoản khách) đã bị vô hiệu hóa. Điều này có nghĩa là bạn cần có tên người dùng và mật khẩu để kết nối với các chia sẻ SMB.
Việc tăng cường bảo mật là một điều đáng hoan nghênh, nhưng đối với những người dùng có NAS (Network-Attached Storage) tại nhà, điều này có thể khiến các chia sẻ SMB trở nên không thể truy cập được, mặc dù không có rủi ro bảo mật rõ ràng nào từ phía người dùng. Tuy nhiên, nếu bạn đang gặp phải vấn đề này và muốn khôi phục quyền truy cập, vẫn có một số cách để khắc phục. Chúng ta sẽ cùng tìm hiểu về những giải pháp này ngay sau đây.
Lý Do Đằng Sau Những Thay Đổi Về Bảo Mật SMB Trên Windows 11 24H2
Giải Quyết Các Rủi Ro Bảo Mật Nghiêm Trọng
Điều quan trọng đầu tiên là phải hiểu tại sao những thay đổi này lại được thực hiện, và câu trả lời chính là bảo mật. Mặc dù việc truy cập NAS tại nhà của bạn có vẻ không tiềm ẩn nhiều rủi ro bảo mật, nhưng các kẻ tấn công có thể rất tinh vi và xảo quyệt. SMB signing đảm bảo rằng giao tiếp giữa các thiết bị sử dụng giao thức SMB luôn diễn ra giữa hai thiết bị đã được xác thực, giúp ngăn chặn các cuộc tấn công mà kẻ xấu có thể chặn kết nối và gửi dữ liệu của bạn đến nơi khác. Tính năng này đã được Windows hỗ trợ từ lâu, nhưng chỉ bắt đầu được thực thi nghiêm ngặt kể từ Windows 11 phiên bản 24H2. Điều này có thể gây ra sự cố nếu bạn chưa kích hoạt SMB signing trước đây.
Trong khi đó, quyền truy cập của tài khoản khách (guest access) vào các chia sẻ SMB lại tiềm ẩn một rủi ro khác. Nó cho phép bạn không cần nhập tên người dùng hoặc mật khẩu để đăng nhập vào chia sẻ SMB của mình, nhưng điều này cũng có nghĩa là bạn có thể vô tình kết nối với một chia sẻ SMB mà không có bất kỳ lời nhắc nào, từ đó bị lừa gửi dữ liệu của mình đến một máy chủ độc hại. Quyền truy cập khách đã bị vô hiệu hóa trong Windows từ lâu, nhưng vẫn có một tính năng guest fallback cho phép bạn kết nối mà không cần thông tin đăng nhập khi không có tên người dùng hoặc mật khẩu nào được cung cấp. Tính năng này đã bị vô hiệu hóa trong Windows 10 Enterprise, Education và Pro for Workstations, và với Windows 11 phiên bản 24H2, nó cũng được mở rộng sang Windows 11 Pro, chỉ còn lại phiên bản Home là tùy chọn chính vẫn hỗ trợ guest fallback.
Việc thực hiện các thay đổi này giúp đảm bảo rằng giao tiếp giữa thiết bị của bạn và máy chủ NAS luôn an toàn, và các kẻ tấn công tiềm năng ít có khả năng truy cập vào dữ liệu của bạn hơn. Tuy nhiên, rất có thể bạn đã thiết lập một chia sẻ SMB mà không bật các tính năng bảo mật này chỉ vì sự tiện lợi, và giờ đây chúng sẽ không còn hoạt động nữa.
Giao diện File Explorer trên Windows 11, nơi người dùng thường truy cập các chia sẻ SMB
Các Giải Pháp Khắc Phục Khuyến Nghị
Tăng Cường Bảo Mật Cho Hệ Thống NAS Của Bạn
Nếu bạn đã mất quyền truy cập vào NAS sau khi cài đặt Windows 11 phiên bản 24H2, giải pháp tốt nhất để khắc phục quyền truy cập là tăng cường bảo mật cho chia sẻ SMB của bạn. Điều này có nghĩa là bạn cần bật SMB signing trên NAS và vô hiệu hóa guest access. Việc thực hiện sẽ phụ thuộc vào hệ điều hành mà bạn đang sử dụng cho NAS. Ví dụ, các phiên bản TrueNAS mới nhất đã bật SMB signing theo mặc định. Nếu bạn đang sử dụng một phiên bản cũ hơn và không thể cập nhật NAS, bạn có thể thêm dòng sau vào mục Additional parameters trong cài đặt chia sẻ SMB của mình:
server signing = requiredQuyền truy cập của tài khoản khách (Guest access) cũng bị vô hiệu hóa theo mặc định khi tạo một chia sẻ SMB trong TrueNAS, vì vậy bạn đã được thiết lập sẵn cho phần lớn. Theo mặc định, các chia sẻ SMB của bạn được chia sẻ với nhóm builtin_users trong TrueNAS, bao gồm tài khoản quản trị viên mặc định của bạn, vì vậy bạn có thể đơn giản sử dụng các thông tin đăng nhập đó để truy cập chia sẻ SMB từ một máy Windows.
Nếu bạn có nhiều người truy cập chia sẻ SMB nhưng không muốn tiết lộ thông tin đăng nhập quản trị viên NAS của mình, bạn sẽ cần tạo người dùng mới trong TrueNAS với quyền truy cập vào chia sẻ SMB. Nếu bạn tạo tài khoản người dùng mới trong nhóm builtin_users, họ sẽ tự động có quyền truy cập vào chia sẻ, và mỗi người dùng có thể sử dụng thông tin đăng nhập tương ứng của họ để kết nối với chia sẻ trên máy khách Windows.
Một lần nữa, các bước cần thiết sẽ có sự khác biệt tùy thuộc vào hệ điều hành bạn đang sử dụng cho NAS, nhưng các nguyên tắc chung vẫn được áp dụng. Việc thực hiện các bước này sẽ khôi phục quyền truy cập vào các chia sẻ SMB của bạn đồng thời giữ chúng an toàn hơn.
Cài đặt SMB chia sẻ trong TrueNAS Core, minh họa việc tắt quyền truy cập của khách
Những Lựa Chọn Thay Thế (Cần Cân Nhắc Rủi Ro)
Tiếp Tục Sử Dụng SMB Với Rủi Ro Tiềm Ẩn
Nếu vì bất kỳ lý do nào mà việc áp dụng các quy tắc bảo mật này không khả thi đối với bạn, bạn vẫn có tùy chọn vô hiệu hóa các biện pháp bảo vệ này để tiếp tục sử dụng chia sẻ SMB như trước đây. Đây không phải là một giải pháp được khuyến nghị, và chúng tôi thực sự khuyên bạn nên sử dụng các bước đã nêu ở trên. Tuy nhiên, nếu bạn hiểu rõ rủi ro mình đang chấp nhận và đồng ý với điều đó, bạn có thể sử dụng Windows PowerShell để vô hiệu hóa yêu cầu SMB signing và bật lại guest fallback. Bạn sẽ cần chạy Windows PowerShell (hoặc Terminal) với quyền quản trị viên, sau đó nhập lệnh sau và nhấn Enter:
Set-SmbClientConfiguration -RequireSecuritySignature $falseKhi được nhắc, nhấn Y để xác nhận thay đổi.
Nếu bạn cũng cần bật lại guest fallback để đăng nhập, bạn có thể nhập lệnh này:
Set-SmbClientConfiguration -EnableInsecureGuestLogons $trueTương tự, bạn sẽ cần nhấn Y để xác nhận thay đổi. Bước này thường không cần thiết trên Windows 11 Home, nơi guest fallback vẫn được hỗ trợ cho các chia sẻ SMB.
Ngoài ra, trên Windows 11 Pro, bạn cũng có thể sử dụng Group Policy Editor để thực hiện các thay đổi này, nhưng phương pháp Windows PowerShell hoạt động trên mọi phiên bản Windows.
Cửa sổ Windows PowerShell hiển thị các lệnh thay đổi cài đặt bảo mật SMB trên Windows 11
Bảo Mật Luôn Là Ưu Tiên Hàng Đầu
Việc mọi thứ không hoạt động như trước đây luôn gây khó chịu, nhưng phải thừa nhận rằng lý do tại sao các chia sẻ SMB không hoạt động như trước là hoàn toàn hợp lý. Thực tế là một hệ điều hành NAS như TrueNAS cũng đang sử dụng SMB signing và vô hiệu hóa quyền truy cập khách cho thấy Microsoft không chỉ gây phiền toái một cách vô cớ. Đây là một nỗ lực chung của ngành để tăng cường bảo mật. Do đó, chúng tôi khuyến nghị bạn nên bật các tùy chọn bảo mật cần thiết để đảm bảo mọi thứ hoạt động đúng cách và an toàn.
Vô hiệu hóa các biện pháp bảo mật vẫn là một lựa chọn nếu bạn không thể làm theo cách khác, vì vậy bạn không hoàn toàn hết cách. Tuy nhiên, hãy nhớ rằng đây chỉ nên là giải pháp cuối cùng khi bạn đã cân nhắc kỹ lưỡng về rủi ro.
Bạn đã từng gặp phải vấn đề tương tự chưa? Hãy chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới để cộng đồng của blogcongnghe.net cùng tham khảo!