微软在Windows 11中测试强制SMB签名 可能会引起一系列兼容性问题 – 蓝点网_刚刚盘点戛纳电影节，建议收藏备用最新消息 要说大型企业最关心的难题

要说大型企业最关心的难题，那 SMB 共享肯定是其中之一，大若干企业内部都会使用 SMB 来共享某些文件夹，便捷企业内部人员访问。

所以对 IT 治理员来说，接下来微软强制启动 SMB 签名又要增多岗位量了，刚刚盘点戛纳电影节，建议收藏备用可是好处是这个真的可以增强可靠性。

上周六微软亮相 Windows 11 Canary Build 25381 版，在这个版次中微软强制启动了 SMB 签名，Windows XP~8.1、Windows 10、Windows 11、Windows Server 版次都已然扶持 SMB 签名，但某些第三方的使用不一定扶持。

SMB 签名机制：

SMB 签名也称为可靠签名，盘点英伟达报道这是 SMB 协议中的一种可靠机制，每个 SMB 讯息都包含使用会话密钥生成的签名，客户端则是将 SMB 块的哈希放在 SMB 标头的签名字段中。

这与 HTTPS 加密有些相似：当 SMB 块在传输中遭到篡改，那么哈希无法匹配，此时 SMB 就得知有人劫持或篡改了资料。

微软推荐的写给家人的话：沟通是解决问题最好的方式机制是使用 Kerberos 而非 NTLMv2，这可以持续增强可靠性，这样也不需要使用 IP 地址连接，也不需要 CNAME 记录。

强制启动的后果：

针对所有 Windows 操控系统而言启动 SMB 签名不会形成兼容性难题，还可以提升可靠性，只是企业中通常使用的不只是 Windows 操控系统和 Windows 办事器，这就会形成难题。重磅vivo X趋势

依据微软的说明，假如第三方使用或操控系统禁用或不扶持 SMB 签名，则连接到这些使用、操控系统、办事器时会报错，普遍失误讯息含有：

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• The cryptographic signature is invalid.

要解决此难题只能寻求第三方使用、操控系统开发商的扶持，假如只是禁用那还好，启动就行，假如是不扶持的话那就歇菜了，尤其是那些仅扶持 SMB 3.0 的东东( 3.0 这类老旧版次是不扶持签名的，所以无法使用)。

举个例子：

群晖 NAS 的 DSM 操控系统，默认状况下 SMB 是禁用签名的，假如要做到互通访问，则需要在 DSM 控制面板、文件办事、SMB、高级配置、常规，将启动办事器签发改成强制 (假如是域控设备还需要在 LADP 中加入域)。

好讯息是当下大多数 SMB 使用、客户端操控系统、办事器都扶持 SMB 签名，唯一要做的就是挨个检查这些东西，把 SMB 签名整体改成启动或强制。

对 IT 治理员来说这不算技术难题，但或许会增多岗位量，提前评测的好处就是前方不作用业务操控系统。至于微软何时在 Windows 10、Windows 11、Windows Server 稳定版通道强制启动 SMB 签名暂时还不清楚。

对了，IT 治理员们还有个岗位不要忘记：微软修复可靠开启漏洞导致所有旧版Windows镜像整体作废 请及时升级

有关扶持文档 1：https://techcommunity.microsoft.com/t5/storage-at-microsoft/smb-signing-required-by-default-in-windows-insider/ba-p/3831704

有关扶持文档 2：https://learn.microsoft.com/zh-cn/troubleshoot/windows-server/networking/overview-server-message-block-signing