Как отключить SMB‑подпись по умолчанию в Windows 11

Что такое SMB‑подпись и зачем она нужна

SMB (Server Message Block) — сетевой протокол для обмена файлами и ресурсами в Windows. SMB‑подпись добавляет к каждому сетевому сообщению криптографическую подпись, которая подтверждает целостность и подлинность пакета. Коротко:

• Цель: выявлять подмену или подслушивание сообщений между клиентом и сервером.
• Модель: каждая сторона вычисляет и проверяет хэш‑подпись для сообщения.
• Эффект: защищает от типов атак «man‑in‑the‑middle» и подделки трафика.

Важно: подпись повышает безопасность, но может добавить небольшую нагрузку на CPU и создать проблемы совместимости со старым ПО или устройствами, которые не поддерживают подпись.

Почему Microsoft включает подпись по умолчанию

Microsoft описывает включение подписи как часть общей инициативы по усилению безопасности Windows в современном сетевом ландшафте. Защищённые соединения снижают риск распространённых атак в корпоративных и домашних сетях. Поэтапный релиз через Windows Insider позволяет выявлять проблемы совместимости до массового развёртывания.

Когда имеет смысл отключать SMB‑подпись

• Старые NAS, принтеры или сторонние реализации SMB не поддерживают подпись и перестают работать.
• Временное отладочное окружение, где нужно восстановить совместимость.
• Тестирование миграции и совместимости перед обновлением инфраструктуры.

Примечание: отключение подписи увеличивает риск перехвата и подмены трафика. Рекомендуется рассматривать это только как временную меру и по возможности обновлять третьесторонние компоненты.

Как отключить SMB‑подпись по умолчанию в Windows 11 (шаг за шагом)

1. Откройте поиск на панели задач, введите “Windows PowerShell” и запустите от имени администратора.

2. Посмотрите текущую настройку клиента SMB командой:

Get-SmbClientConfiguration | FL RequireSecuritySignature

3. Чтобы отключить требование подписи для клиентских подключений, выполните:

Set-SmbClientConfiguration -RequireSecuritySignature $false

4. Подтвердите действие (выберите Y), и изменения вступят в силу.

Дополнительно: если в вашей роли сервер Windows предоставляет общие ресурсы и требуется отключить подпись на стороне сервера (только в редких случаях и с пониманием рисков), можно проверить и изменить конфигурацию сервера:

Get-SmbServerConfiguration | FL RequireSecuritySignature
Set-SmbServerConfiguration -RequireSecuritySignature $false

Типичная ошибка несовместимости и как её решать

Если клиент ожидает подпись, а сервер её не поддерживает, при подключении может появиться ошибка с кодом:

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE — “Криптографическая подпись недействительна.”

Решение: обновите или перенастройте сторонний сервер/устройство, чтобы оно поддерживало SMB‑подпись, либо временно отключите требование подписи на стороне клиента, как показано выше. Microsoft не рекомендует долгосрочно оставлять подпись отключённой.

Альтернативные подходы и рекомендации

• Обновление ПО: по возможности обновите прошивку NAS/устройств или используемое ПО, чтобы оно поддерживало SMB‑подпись.
• Сегментация сети: если устройство небезопасно, поместите его в отдельный VLAN с ограниченным доступом.
• Ограниченные исключения: отключайте подпись только для конкретных клиентских машин, а не глобально на всем парке.
• Логирование и мониторинг: включите аудит доступа к файлам и мониторинг аномалий при временном снижении защиты.

Когда отключение не поможет (контрпримеры)

• Проблемы с производительностью при высокой загрузке останутся, отключение подписи не увеличит пропускную способность сети значимо.
• Если сервер физически скомпрометирован или заражён, отключение подписи не защитит данные — нужно проводить инцидент‑реакцию.

Быстрая проверка для разных ролей

• Системный администратор: проверьте журналы событий, выполните резервное копирование конфигурации и согласуйте отключение подписи с политиками безопасности.
• DevOps/инженер поддержки: протестируйте клиент и сервер в изолированной среде перед внесением изменений в продакшн.
• Пользователь/оператор: сообщите администратору о проблемах с подключением, не изменяйте глобальные настройки без согласования.

Матрица рисков и меры смягчения

• Риск: Перехват трафика → Митигаторы: включить VPN, сегментация сети, восстановить подпись как можно скорее.
• Риск: Неисправность оборудования при ожидании подписи → Митигаторы: обновить прошивку, временно включить совместимость для конкретных хостов.
• Риск: Нарушение регуляторных требований → Митигаторы: документировать изменения и получать одобрение от владельцев данных.

Краткий словарь (1‑строчные определения)

• SMB: протокол обмена файлами в сетях Microsoft.
• Подпись (RequireSecuritySignature): настройка, требующая криптографической проверки целостности SMB‑пакетов.

Критерии приёмки

• Клиент подключается к целевому серверу без ошибки STATUS_INVALID_SIGNATURE (если подпись отключена).
• Изменения зафиксированы в журнале изменений конфигурации и одобрены ответственным за безопасность.
• Временное отключение имеет план возврата (rollback) и сроки тестирования.

Итог и рекомендации

SMB‑подпись по умолчанию повышает безопасность Windows и уменьшает поверхность атак. Отключать её стоит только при острой необходимости и с компенсационными мерами: обновление третьестороннего ПО, сегментация сети и мониторинг. По возможности работайте с вендором устройства, чтобы получить корректную поддержку подписи.

Важно: настройка в настоящее время разворачивается через Windows Insider и в будущем появится в стабильных релизах. Планируйте тестирование и оповещения пользователей заранее.

Пожалуйста, напишите в комментариях: столкнулись ли вы с проблемами совместимости после включения SMB‑подписи?