Máy khách Windows 10 tràn ngập máy chủ Samba với các lần thử đăng nhập của khách ma

Tôi hiện đang chạy máy chủ Samba để chia sẻ tệp trên mạng SOHO.

Tôi đã nhận thấy rằng một trong những bản vá gần đây của Windows 10 dường như đã gây ra một số lỗi khó chịu với SMB khiến Windows 10 spam các yêu cầu khách chưa được xác thực tại máy chủ SMB cho mọi tệp được truy cập.

Các lỗi tôi nhận được trong nhật ký Samba như sau:

[22/12/2021 18:31:42.283148, 1]../../source3/smbd/service.c:355(create_connection_session_info)
  create_connection_session_info: người dùng khách (từ thiết lập phiên) không được phép truy cập phần chia sẻ này (MY_USERNAME)
[22/12/2021 18:31:42.283174, 1]../../source3/smbd/service.c:545(make_connection_snum)
  create_connection_session_info không thành công: NT_STATUS_ACCESS_DENIED

Trên ứng dụng khách Windows 10, tôi thấy trình xem sự kiện trong Nhật ký ứng dụng và dịch vụ -> Microsoft -> Windows -> SMBClient -> Bảo mật chứa đầy các lỗi sau:

Máy khách SMB không thể kết nối với chia sẻ.

Lỗi: {Quyền truy cập bị từ chối}
Một quá trình đã yêu cầu quyền truy cập vào một đối tượng, nhưng chưa được cấp các quyền truy cập đó.

Đường dẫn: \smb\MY_USERNAME

Lỗi này dường như đã xuất hiện trong vài tháng qua trong quá trình tổng hợp KB, vì bản cài đặt mới của Windows 10 không gây ra hành vi này - chỉ bản cài đặt được cập nhật đầy đủ mới có.

Tôi muốn rõ ràng về một vài điều:

1. Máy khách xác thực với máy chủ tốt. Chia sẻ mạng của tôi hoạt động rất tốt, vì vậy tôi không nghĩ đây là vấn đề về thông tin xác thực. Tuy nhiên, Windows 10 liên tục spam Samba với các lần đăng nhập của khách không được xác thực trên mỗi lần truy cập tệp.

2. Quyền truy cập của khách KHÔNG được bật trong Windows 10. Nó bị tắt theo mặc định và Tôi chưa ghi đè nó bằng GPO.

3. Bộ bảo vệ Windows không được định cấu hình để quét các chia sẻ mạng. Vô hiệu hóa chức năng đó về mặt quản trị dường như không thay đổi bất cứ điều gì.

4. Tôi đã thử vô hiệu hóa hoàn toàn quyền truy cập của khách trong Samba và tôi cũng đã thử thực thi ký mã hóa/máy chủ (điều này vô hiệu hóa hoàn toàn quyền truy cập của khách). Mặc dù vậy, tôi vẫn nhận được các lần thử đăng nhập của khách ảo từ máy khách Windows 10 (mặc dù lỗi thay đổi trên máy chủ Samba để nói lên điều gì đó về việc quyền truy cập của khách bị chặn do mã hóa).

Một lần nữa, tôi có thể đăng nhập tốt vào máy chủ tệp và mọi thứ vẫn hoạt động - ngoại trừ một chút mà Windows 10 dường như đang cố tạo ra thông tin đăng nhập của khách cho mọi tệp được truy cập.

Có cách nào để khắc phục hành vi này ở phía máy khách Samba hoặc Windows 10 không? Tôi đã xem một số báo cáo tương tự về vấn đề này trực tuyến, nhưng cho đến nay vẫn chưa có giải pháp nào và tôi không thể tìm thấy bất kỳ điều gì trong smb.conf có thể "sửa" lỗi (rõ ràng?) này.

Tôi chưa thực hiện kiểm tra hồi quy về quay lại các phiên bản Windows cũ, nhưng tôi có thể chia sẻ rằng tôi đang gặp vấn đề tương tự ở đây, với Win 10 19044.1415 kết nối với hộp TrueNAS Core 12. Nó hoạt động, nhưng nó chắc chắn tạo ra một số bản ghi ồn ào:

[24/12/2021 21:40:18.383339, 1]../../source3/smbd/service.c:355(create_connection_session_info)
  create_connection_session_info: người dùng khách (từ thiết lập phiên) không được phép truy cập chia sẻ này (cá nhân)
[24/12/2021 21:40:18.383383, 1]../../source3/smbd/service.c:544(make_connection_snum)
  create_connection_session_info không thành công: NT_STATUS_ACCESS_DENIED

Theo câu hỏi của người nhận xét trước, đầu ra ICACLS của tôi:

C:\>icacls \nas\personal
\nas\personal S-1-22-1-0:(F)
               CHỦ SỞ HỮU TẠO RA:(OI)(CI)(IO)(F)
               S-1-5-21-3997689159-3832354152-3824094002-1005:(M,DC)
               NHÓM NGƯỜI TẠO:(OI)(CI)(IO)(M,DC)

Đã xử lý thành công 1 tệp; Xử lý không thành công 0 tệp

CHỈNH SỬA: Vấn đề này từ tháng 11 năm 2020 (!) có vẻ rất giống nhau: https://docs.microsoft.com/en-us/answers/questions/122178/windows-10-sends-unauthenticated-smb-requests.html

Ngoài ra, trong trường hợp của tôi, thật không may, máy khách ghi lại lỗi tương tự (Mã lỗi SMBClient 31010) trong nhật ký sự kiện Windows cho mọi lỗi đơn lẻ xuất hiện trong nhật ký máy chủ samba.

CHỈNH SỬA 2: Có thể thành công?

Tôi đã có thể ngăn chặn hành vi này bằng cách vô hiệu hóa tính năng kiểm tra thời gian thực của Bộ bảo vệ Windows trên toàn cầu trên máy khách Win10. Tôi chưa phát hiện ra bất kỳ điều chỉnh nào đối với cài đặt Bộ bảo vệ cho phép tôi bật nó nhưng không tạo ra hành vi này - ví dụ: ánh xạ một ổ đĩa tới chia sẻ và loại trừ ổ đĩa được ánh xạ đó khỏi quá trình quét trong cài đặt Bộ bảo vệ không/không/hoạt động.

CHỈNH SỬA 3: Giải pháp thay thế dài hạn duy nhất mà tôi đã tìm thấy cho đến nay (không yêu cầu loại bỏ tất cả các biện pháp bảo vệ chống phần mềm độc hại theo thời gian thực) là nhượng bộ và cho phép đăng nhập của khách đối với các cổ phiếu SMB. Điều này cho phép hành vi Windows bị hỏng tiếp tục mà không gây ra vô số lỗi và phần còn lại của thiết lập Samba của tôi không cho phép khách truy cập vào bất kỳ thứ gì (người dùng khách ánh xạ tới 'không ai' và ACL của hệ thống tệp đều là chmod xx0) vì vậy điều này làm việc tốt cho tôi. YMMV.

Thật thú vị, sau thay đổi này, máy khách Windows hiện ghi lại khiếu nại trong nhật ký sự kiện (một lần cho mỗi kết nối chia sẻ) rằng máy chủ SMB từ xa đang cho phép kết nối khách khi nó thực sự không nên...ồ, thật trớ trêu.

tôi là người ai đã đăng câu hỏi trên Webiste Hỏi & Đáp của Microsoft vào tháng 11 năm 2020. Như bạn có thể thấy các vấn đề của chúng tôi phù hợp với nhau và tôi tin là giống nhau. Tôi vẫn đang đấu tranh với vấn đề này, bởi vì tôi không thể tìm thấy thời gian để Thực ra báo cáo vấn đề này với Microsoft. Trong khi chờ đợi, tôi đã thử cài đặt Samba khác mà không gặp may.

Hôm nay tôi đã tìm kiếm vấn đề này một lần nữa. tôi tình cờ gặp cái này cuộc thảo luận có vẻ hứa hẹn, nhưng thêm hạn chế ẩn danh = 1 đến cấu hình Samba không giúp được gì. Sau đó, tôi đã có ở đây và tôi sung sướng những người khác đã nhận thấy vấn đề này.

Tôi vẫn có thể cập nhật thử nghiệm của mình và gọi cho Microsoft để báo cáo sự cố, nhưng con đường để đến với các kỹ sư thực thụ còn rất rất dài. (nguồn: Tôi đã làm việc trong bộ phận Hỗ trợ khách hàng và giải quyết vấn đề này hàng ngày).

Rất khó chịu và tôi chắc rằng nhiều người có vấn đề thầm lặng này. Tôi nghĩ rằng chúng ta cũng có thể thử các phiên bản W10 cũ hơn để tìm hiểu xem nó bắt đầu từ khi nào.