在更新到 Windows 11 24H2 后,您可能会在打开网络存储(NAS)时遇到 0xc000a000、-1073700864、STATUS_INVALID_SIGNATURE 或“加密签名无效”等访问错误。
这是由于 Windows 11 的更改,强制要求对所有外发数据包进行 SMB 签名。这可能会导致在 Windows 11 24H2 推出后,许多网络存储设备无法正常访问。
可以通过在 NAS 设置中启用 SMB 签名或在客户端计算机上禁用 SMB 签名来解决这些问题。从安全角度来看,第一种方法更为理想,但前提是您的 NAS 支持此功能。
解决方案SMB 签名是 SMB/CIFS 文件共享协议中的一项安全功能。启用后,每个 SMB 消息将在报头中进行数字签名。
此签名确保消息内容未被篡改,并验证发送者的真实性,从而防止 SMB 中间人攻击和 NTLM 中继攻击。
此前,只有在访问 AD 域控制器上的 SYSVOL 和 NETLOGON 网络文件夹时才需要 SMB 签名。
需要注意的是,网络堆栈的新配置最终将应用于其他版本的 Windows 11/10。一方面,启用 SMB 签名会增加客户端和服务器的负载,并降低数据传输速度。另一方面,它提升了网络安全性和数据安全性。
因此,从 Windows 11 版本 24H2 开始,所有外发连接都将强制要求 SMB 签名,这就是为什么访问第三方 NAS 可能会失败的原因。
如果 SMB 服务器不支持此模式,Windows 客户端会拒绝连接。可以通过以下步骤检查计算机上是否启用了 SMB 签名。
检查 SMB 签名是否启用
右键单击任务栏中的 Windows 图标,从菜单中选择“终端”。
在打开的终端应用程序的 PowerShell 选项卡中,输入以下命令:
Get-SmbClientConfiguration | Format-List EnableSecuritySignature, RequireSecuritySignature如果 EnableSecuritySignature 设置为 True,则服务器端点定义您的 Windows 是否使用 SMB 签名。如果未启用,Windows 11 将默认不对数据包进行签名。
如果 RequireSecuritySignature 为 False,则无论是否启用,SMB 签名都不是强制性的。如果为 True,Windows 11 将始终对 SMB 流量进行签名。
显然,如果由于 Windows 11 24H2 的更改导致无法访问 NAS,您需要将 RequireSecuritySignature 设置为 False,如果它当前设置为 True。
修复 Windows 11 24H2 中的 NAS 访问问题
按下键盘上的 Win + X 键,然后从菜单中选择“终端(管理员)”。
在提升权限的终端应用程序的 PowerShell 选项卡中,输入以下代码,然后按回车。
Set-SmbClientConfiguration -RequireSecuritySignature $false按 Y 确认更改,重启计算机。
尝试打开 NAS。此时,它应能正常打开并工作。
此外,也可以通过修改注册表来调整网络配置。
在注册表中禁用客户端 SMB 签名按下键盘上的 Win + R 键,在“运行”对话框中输入 regedit,然后按回车。
在注册表编辑器中,导航到以下路径。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters右键单击左侧的 Parameters,从上下文菜单中选择“新建 > DWORD(32位)值”。
将新建的值命名为 RequireSecuritySignature,并将其数值数据保持为 0。
重启计算机。
从现在开始,当您连接到 NAS 或其他共享网络资源时,SMB 签名将不会被强制执行。
现成的 REG 文件为节省您的时间,可以下载以下 REG 文件。链接的压缩包包含两个文件,将它们解压到任意文件夹。
双击 disable-smb-signing-client.reg 文件,关闭对外发连接的强制签名要求。
在用户账户控制提示中点击“是”,然后在注册表编辑器确认中再次点击“是”。完成后,需要重启 Windows 11。
第二个文件 enable-smb-signing-client.reg 是用于撤销更改的恢复选项。
使用命令提示符方法除了手动编辑注册表,还可以执行 reg.exe 命令来更改 RequireSecuritySignature 值。这种方法适用于批处理文件、管理员场景、登录命令等。
以下是相关命令,请以管理员身份运行它们。
关闭 SMB 签名要求:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f强制要求签名(24H2 默认设置):
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f
除了网络存储设备,有时还需要访问运行 Windows 11 24H2 的计算机上的共享文件夹。
在这种情况下,Windows 11 会充当服务器。如果客户端设备不支持 SMB 签名,例如 Android 手机或带有旧版 Windows,无法访问共享文件夹。
为此,需要在 Windows 操作系统的服务器组件上禁用 SMB 签名。
禁用共享文件夹的 SMB 签名右键点击任务栏中的“开始”按钮,然后选择“终端(管理员)”。
输入以下命令并按回车:
Set-SmbServerConfiguration -RequireSecuritySignature $false按 Y 确认更改。
重启电脑,Windows 11 将不再强制对共享文件夹使用 SMB 签名。
要检查 Windows 11 中 SMB 签名的当前状态,可以在终端或 PowerShell 中运行以下命令:
Get-SmbServerconfiguration | Format-List EnableSecuritySignature,RequireSecuritySignature与客户端设置类似,可以使用注册表调整或控制台命令来替代 PowerShell 操作。
在注册表中禁用服务器 SMB 签名要求按下 Win + R,在“运行”对话框中输入 regedit,然后按回车。导航到以下路径。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters右键点击左侧的 Parameters,选择“新建 > DWORD(32位)值”。
将新值命名为 RequireSecuritySignature,并将其数值数据保持为 0。
重启电脑,这样操作后,您的电脑不再强制要求共享文件夹的 SMB 签名。
还可以使用小妹创建的 REG 文件来节省时间。
下载链接中的压缩包,并将其解压到任意文件夹。要取消对共享文件夹的强制签名要求,双击 disable-smb-signing-server.reg 文件。
在用户账户控制窗口中点击“是”,然后在注册表编辑器的提示中再次确认。之后,重启 Windows 11。
第二个文件 enable-smb-signing-server.reg 是用于恢复原始设置的。
控制台命令除了编辑注册表,还可以在批处理文件、终端或命令提示符中运行以下命令,具体选择取决于您的任务需求。
禁用共享文件夹的 SMB 签名要求:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v RequireSecuritySignature /t REG_DWORD /d 0 /f恢复 24H2 中的默认行为(启用强制签名):
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v EnableSecuritySignature /t REG_DWORD /d 1 /f如果您的 Windows 11 版本是 Pro、教育版、工作站版或企业版,它包含名为 gpedit.msc 的本地组策略编辑器应用程序,可以通过它的图形界面管理 SMB 签名选项。
在组策略中禁用 SMB 签名要通过组策略禁用 SMB 签名并恢复对 NAS 的访问,请按以下步骤操作:
在 Windows 开始菜单或搜索栏中输入 gpedit.msc,并选择“打开”以启动它。
在左侧,导航到计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
在右侧列表中找到“Microsoft 网络客户端:对通信进行数字签名(始终)”选项。
双击该选项,将其设置为“已禁用”,然后点击“应用”和“确定”。
同样,将“Microsoft 网络客户端:对通信进行数字签名(如果服务器允许)”策略也设置为禁用。
重启电脑。
通过以上步骤,就可以在安装 Windows 11 版本 24H2 后禁用 SMB 签名,从而恢复对 NAS 的访问。
需要注意的是,一些较新的 NAS 机型可能具备启用 SMB 签名的专用选项。
如果您的 NAS 设备较新,可以查阅其手册,看看是否有这样的选项,厂商也可能会发布带有该选项的软件更新。
Windows 11 24H2链接: https://pan.baidu.com/s/1dHXSwCqJIa6Wbv_CJVRIfQ 提取码: ayg7为小妹转发和点赞如果您喜欢小妹的分享,请点击文章末尾的点赞、分享、在看,这对您来说不会花费太多时间,但是对小妹的成长有很大的帮助,谢谢您的支持!
