Клиенты Windows 10 наводняют серверы Samba фантомными гостевыми попытками входа в систему

В настоящее время я использую сервер Samba для обмена файлами в сети SOHO.

Я заметил, что одно из недавних исправлений для Windows 10, по-видимому, внесло какую-то неприятную ошибку в SMB, из-за которой Windows 10 рассылает спам на неаутентифицированные гостевые запросы на SMB-сервере. за каждый доступный файл.

Ошибки, которые я получаю в журналах Samba, следующие:

[2021/12/22 18:31:42.283148, 1] ../../source3/smbd/service.c:355(create_connection_session_info)
  create_connection_session_info: гостевому пользователю (из настройки сеанса) не разрешен доступ к этому общему ресурсу (MY_USERNAME)
[2021/12/22 18:31:42.283174, 1] ../../source3/smbd/service.c:545(make_connection_snum)
  Ошибка create_connection_session_info: NT_STATUS_ACCESS_DENIED

На клиенте Windows 10 я вижу средство просмотра событий в разделе «Журналы приложений и служб» -> «Microsoft» -> «Windows» -> «SMBClient» -> «Безопасность», заполняющееся следующими ошибками:

Клиенту SMB не удалось подключиться к общему ресурсу.

Ошибка: {Отказано в доступе}
Процесс запросил доступ к объекту, но ему не были предоставлены эти права доступа.

Путь: \smb\ИМЯ_ПОЛЬЗОВАТЕЛЯ

Эта ошибка, по-видимому, появилась где-то за последние пару месяцев во время свертывания базы знаний, поскольку новая установка Windows 10 не вызывает такого поведения — только полностью обновленная установка.

Я хочу прояснить пару вещей:

1. Клиент отлично аутентифицируется на сервере. Мои сетевые ресурсы работают отлично, поэтому я не думаю, что это проблема с учетными данными. Тем не менее, Windows 10 постоянно спамит Samba попытками гостевого входа без аутентификации при каждом доступе к файлу.

2. Гостевой доступ НЕ был включен в Windows 10. Он отключен по умолчанию. и Я не переопределял его с помощью GPO.

3. Защитник Windows не настроен на сканирование общих сетевых ресурсов. Административное отключение этой функции ничего не меняет.

4. Я попытался полностью отключить гостевой доступ в Samba, а также принудительно применить шифрование/подпись сервера (что полностью отключает гостевой доступ). Несмотря на это, я все еще получаю фантомные гостевые попытки входа в систему от клиентов Windows 10 (хотя ошибка изменяется на сервере Samba, чтобы сказать что-то о том, что гостевой доступ заблокирован из-за шифрования).

Опять же, я могу нормально войти на файловый сервер, и все работает, за исключением того момента, когда Windows 10, похоже, пытается создать гостевой вход для каждого доступного файла.

Есть ли способ исправить это поведение на стороне клиента Samba или Windows 10? Я видел несколько похожих отчетов об этом в Интернете, но до сих пор не было решений, и я не смог найти ничего в smb.conf, что могло бы «исправить» эту (очевидную?) ошибку.

Я не проводил регрессионное тестирование отката к старым версиям Windows, но могу поделиться тем, что здесь я вижу ту же проблему, когда Win 10 19044.1415 подключается к коробке TrueNAS Core 12. Это работает, но, безусловно, создает некоторые шумные журналы:

[2021/12/24 21:40:18.383339, 1] ../../source3/smbd/service.c:355(create_connection_session_info)
  create_connection_session_info: гостевой пользователь (из настройки сеанса) не имеет доступа к этому общему ресурсу (личный)
[2021/12/24 21:40:18.383383, 1] ../../source3/smbd/service.c:544(make_connection_snum)
  Ошибка create_connection_session_info: NT_STATUS_ACCESS_DENIED

На вопрос предыдущего комментатора мой вывод ICACLS:

C:\>icacls\nas\personal
\nas\личный S-1-22-1-0:(F)
               СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)(F)
               S-1-5-21-3997689159-3832354152-3824094002-1005:(M,DC)
               ГРУППА СОЗДАТЕЛЯ:(OI)(CI)(IO)(M,DC)

Успешно обработано 1 файлов; Не удалось обработать 0 файлов

РЕДАКТИРОВАТЬ: Этот выпуск от ноября 2020 года (!) кажется очень похожим: https://docs.microsoft.com/en-us/answers/questions/122178/windows-10-sends-unauthenticated-smb-requests.html

Кроме того, в моем случае, к сожалению, клиент регистрирует одну и ту же ошибку (код ошибки SMBClient 31010) в журнале событий Windows для каждой отдельной ошибки, которая появляется в журналах сервера samba.

РЕДАКТИРОВАТЬ 2: Возможный успех?

Мне удалось остановить это поведение, отключив глобальную проверку Защитника Windows в режиме реального времени на клиенте Win10. Я еще не обнаружил каких-либо настроек в настройках Защитника, которые позволяют мне оставить его включенным, но не приводят к такому поведению — например, сопоставление диска с общим ресурсом и исключение этого сопоставленного диска из сканирования в настройках Защитника не работает.

РЕДАКТИРОВАТЬ 3: Единственный долгосрочный обходной путь, который я нашел до сих пор (который не требует уничтожения всей защиты от вредоносных программ в реальном времени), — это сдаться и включить гостевой вход в систему для общих ресурсов SMB. Это позволяет продолжать работать с ошибками Windows, не вызывая потока ошибок, а остальная часть моей установки Samba не позволяет гостю получить доступ к чему-либо (гостевой пользователь сопоставляется с «никто», а все ACL файловой системы имеют вид chmod xx0), так что это отлично работает для меня. YMMV.

Интересно, что после этого изменения клиент Windows теперь регистрирует жалобу в журнале событий (один раз на каждое подключение к общему ресурсу) о том, что удаленный сервер SMB разрешает гостевые подключения, хотя на самом деле этого не следует... о, ирония судьбы.

я человек кто опубликовал вопрос на веб-сайте вопросов и ответов Microsoft в ноябре 2020 г. Как видите, наши проблемы совпадают, и я считаю, что это одна и та же проблема. Я до сих пор борюсь с этим вопросом, потому что не мог найти время, чтобы В самом деле сообщите об этой проблеме в Microsoft. Тем временем я безуспешно пробовал другие настройки Samba.

Сегодня снова просматривал этот вопрос. я наткнулся на это дискуссия, которая казалась многообещающей, но добавила ограничить анонимный = 1 настройка Samba не помогла. Тогда я здесь, и я счастливый другие люди заметили эту проблему.

Я все еще мог бы обновить свое тестирование и позвонить в Microsoft, чтобы сообщить о проблеме, но путь к настоящим инженерам очень и очень долгий. (источник: я работал в службе поддержки клиентов и сталкиваюсь с ней каждый день).

Это очень раздражает, и я уверен, что у многих людей есть эта тихая проблема. Я думаю, мы могли бы также попробовать более старые версии W10, чтобы узнать, когда это началось.