Kể từ phiên bản Windows 11 24H2, Microsoft đã thực hiện những thay đổi đáng kể trong cách thức hoạt động của các chia sẻ SMB trên máy tính Windows. Nhằm tăng cường bảo mật, các chia sẻ này hiện yêu cầu ký SMB (SMB signing), và đối với hầu hết các phiên bản Windows 11 (trừ bản Home), tính năng dự phòng truy cập khách (guest fallback) đã bị vô hiệu hóa. Điều này có nghĩa là bạn cần phải có tên người dùng và mật khẩu để kết nối tới các chia sẻ SMB. Dù các cải tiến bảo mật này là một điều tốt, nhưng đối với những người dùng NAS (Network Attached Storage) tại nhà, chúng có thể khiến các chia sẻ SMB trở nên không thể truy cập được, mặc dù không có rủi ro bảo mật rõ ràng. Nếu bạn đang gặp phải tình trạng này và muốn khôi phục quyền truy cập, vẫn có một số cách để giải quyết vấn đề. Hãy cùng tìm hiểu chi tiết.
Tại sao các thay đổi này được thực hiện?
Trước hết, điều quan trọng là phải nói về lý do tại sao những thay đổi này được thực hiện, và đó chính là vấn đề bảo mật. Chắc chắn, việc truy cập NAS tại nhà của bạn có vẻ không tiềm ẩn nhiều rủi ro, nhưng những kẻ tấn công có thể rất tinh vi. Ký SMB (SMB signing) đảm bảo rằng giao tiếp giữa các thiết bị sử dụng giao thức SMB luôn được thực hiện giữa hai thiết bị đã xác thực, giúp ngăn chặn các cuộc tấn công trung gian (man-in-the-middle) nơi kẻ tấn công có thể chặn kết nối và chuyển dữ liệu của bạn đến nơi khác. Tính năng này đã được Windows hỗ trợ từ lâu, nhưng chỉ bắt đầu được thực thi bắt buộc từ Windows 11 phiên bản 24H2. Điều này có thể gây ra sự cố nếu bạn chưa bật ký SMB trước đây.
Trong khi đó, quyền truy cập khách (guest access) vào các chia sẻ SMB lại gây ra một rủi ro khác. Nó cho phép bạn không cần nhập tên người dùng hoặc mật khẩu để đăng nhập vào chia sẻ SMB của mình, nhưng điều đó cũng có nghĩa là bạn có thể vô tình kết nối tới một chia sẻ SMB mà không có bất kỳ lời nhắc nào, do đó có thể bị lừa gửi dữ liệu của mình đến một máy chủ độc hại. Quyền truy cập khách đã bị vô hiệu hóa trong Windows từ lâu, nhưng vẫn có tính năng dự phòng truy cập khách (guest fallback) cho phép bạn kết nối mà không cần thông tin đăng nhập khi không có tên người dùng và mật khẩu nào được cung cấp. Tính năng này đã bị vô hiệu hóa trong Windows 10 Enterprise, Education và Pro for Workstations, và với Windows 11 phiên bản 24H2, nó cũng được mở rộng sang Windows 11 Pro, chỉ còn lại phiên bản Home là tùy chọn chính vẫn hỗ trợ guest fallback.
Việc thực hiện những thay đổi này giúp đảm bảo rằng giao tiếp giữa thiết bị của bạn và máy chủ NAS luôn an toàn, giảm thiểu đáng kể khả năng kẻ tấn công truy cập dữ liệu của bạn. Tuy nhiên, rất có thể bạn đã thiết lập một chia sẻ SMB mà không bật các tính năng bảo mật này chỉ vì sự tiện lợi, và giờ đây chúng sẽ không hoạt động nữa.
Bạn nên làm gì để khắc phục?
Tăng cường bảo mật cho NAS/Máy chủ SMB của bạn
Nếu bạn bị mất quyền truy cập vào NAS sau khi cài đặt Windows 11 phiên bản 24H2, giải pháp tốt nhất để khắc phục là tăng cường bảo mật cho chia sẻ SMB của bạn. Điều này có nghĩa là bật tính năng ký SMB (SMB signing) trên NAS của bạn và vô hiệu hóa quyền truy cập khách (guest access). Các bước thực hiện sẽ phụ thuộc vào hệ điều hành bạn đang sử dụng cho NAS. Ví dụ, các phiên bản TrueNAS mới nhất đã bật ký SMB theo mặc định. Nếu bạn đang sử dụng một phiên bản cũ hơn và không thể cập nhật NAS, bạn có thể thêm dòng sau vào phần Additional parameters trong cài đặt chia sẻ SMB của bạn:
server signing = requiredQuyền truy cập khách cũng bị vô hiệu hóa theo mặc định khi tạo một chia sẻ SMB trong TrueNAS, vì vậy bạn đã được thiết lập sẵn ở đó. Theo mặc định, các chia sẻ SMB của bạn được chia sẻ với nhóm builtin_users trong TrueNAS, bao gồm tài khoản quản trị viên mặc định của bạn, vì vậy bạn có thể đơn giản sử dụng các thông tin đăng nhập đó để truy cập chia sẻ SMB từ máy Windows.
Thiết lập cài đặt chia sẻ SMB trong TrueNAS Core, minh họa vô hiệu hóa quyền truy cập của khách
Nếu bạn có nhiều người truy cập chia sẻ SMB của mình nhưng không muốn cung cấp thông tin đăng nhập quản trị viên NAS, bạn sẽ cần tạo người dùng mới trong TrueNAS với quyền truy cập chia sẻ SMB. Nếu bạn tạo tài khoản người dùng mới trong nhóm builtin_users, họ sẽ tự động có quyền truy cập vào chia sẻ, và mỗi người dùng có thể sử dụng thông tin đăng nhập tương ứng của họ để kết nối với chia sẻ trên máy khách Windows.
Một lần nữa, các bước cần thiết sẽ có chút khác biệt tùy thuộc vào hệ điều hành bạn đang sử dụng cho NAS, nhưng các nguyên tắc chung vẫn được áp dụng. Những bước này sẽ khôi phục quyền truy cập vào các chia sẻ SMB của bạn trong khi vẫn giữ chúng an toàn hơn.
Các lựa chọn khác của bạn là gì?
Tiếp tục với rủi ro bảo mật
Nếu vì bất kỳ lý do nào, việc thực thi các quy tắc bảo mật này không khả thi đối với bạn, thì bạn vẫn có tùy chọn để vô hiệu hóa các biện pháp bảo vệ bảo mật này để có thể tiếp tục sử dụng chia sẻ SMB như trước đây. Đây KHÔNG phải là một giải pháp được khuyến nghị, và chúng tôi đặc biệt khuyên bạn nên sử dụng các bước đã nêu ở trên. Tuy nhiên, nếu bạn hiểu rõ rủi ro mình đang chấp nhận và đồng ý với điều đó, bạn có thể sử dụng Windows PowerShell để vô hiệu hóa yêu cầu ký SMB và bật lại tính năng dự phòng truy cập khách. Bạn sẽ cần chạy Windows PowerShell (hoặc Terminal) với quyền quản trị viên, sau đó nhập lệnh sau và nhấn Enter:
Set-SmbClientConfiguration -RequireSecuritySignature $falseKhi được nhắc, nhấn Y để xác nhận thay đổi.
Nếu bạn cũng cần bật lại tính năng dự phòng truy cập khách để đăng nhập, bạn có thể nhập lệnh này:
Set-SmbClientConfiguration -EnableInsecureGuestLogons $trueTương tự, bạn sẽ cần nhấn Y để xác nhận thay đổi. Bước này không cần thiết trên Windows 11 Home, nơi tính năng dự phòng truy cập khách vẫn được hỗ trợ cho các chia sẻ SMB.
Màn hình Windows PowerShell hiển thị các lệnh điều chỉnh cài đặt bảo mật SMB trên Windows 11
Ngoài ra, trên Windows 11 Pro, bạn cũng có thể sử dụng Trình chỉnh sửa chính sách nhóm (Group Policy Editor) để thực hiện các thay đổi này, nhưng phương pháp sử dụng Windows PowerShell hoạt động trên mọi phiên bản Windows.
An ninh là ưu tiên hàng đầu
Thật khó chịu khi mọi thứ không còn hoạt động như trước đây, nhưng có thể nói rằng lý do tại sao các chia sẻ SMB không hoạt động như trước đây là rất chính đáng. Việc một hệ điều hành như TrueNAS cũng đang sử dụng ký SMB và vô hiệu hóa quyền truy cập khách cho thấy Microsoft không chỉ gây phiền toái một cách vô cớ. Đây là một nỗ lực chung của ngành để tăng cường bảo mật, và do đó chúng tôi khuyến nghị bật các tùy chọn bảo mật cần thiết để đảm bảo mọi thứ hoạt động bình thường. Vô hiệu hóa các biện pháp bảo mật vẫn là một lựa chọn nếu bạn không thể làm theo cách an toàn, vì vậy bạn không hoàn toàn hết các phương án, nhưng đó chỉ là giải pháp cuối cùng.
