Kể từ phiên bản Windows 11 24H2, Microsoft đã thực hiện nhiều thay đổi lớn trong cách các chia sẻ SMB (Server Message Block) hoạt động trên các máy tính Windows. Để tăng cường bảo mật, các chia sẻ này giờ đây yêu cầu tính năng SMB signing (ký kết SMB). Đối với hầu hết các phiên bản Windows 11 (trừ bản Home), tính năng Guest fallback (dự phòng khách) đã bị vô hiệu hóa, có nghĩa là bạn cần có tên người dùng và mật khẩu để kết nối với các chia sẻ SMB.
Mặc dù việc tăng cường bảo mật này là một điều tốt, nhưng đối với những người dùng có hệ thống NAS (Network Attached Storage) tại nhà, nó có thể khiến các chia sẻ SMB trở nên không thể truy cập được, ngay cả khi không có rủi ro bảo mật rõ ràng nào. Tuy nhiên, nếu bạn đang gặp phải tình trạng này, đừng lo lắng. Có một vài cách để khắc phục sự cố, và chúng ta sẽ cùng tìm hiểu chi tiết ngay sau đây để khôi phục khả năng truy cập vào NAS của bạn một cách an toàn và hiệu quả.
Tại sao có những thay đổi này?
Giải quyết các rủi ro bảo mật
Trước hết, điều quan trọng là phải hiểu lý do tại sao những thay đổi này được thực hiện, và đó chính là vấn đề bảo mật. Chắc chắn, việc truy cập NAS tại nhà của bạn có vẻ không tiềm ẩn nhiều rủi ro, nhưng những kẻ tấn công có thể rất tinh vi và xảo quyệt. SMB signing đảm bảo rằng giao tiếp giữa các thiết bị sử dụng giao thức SMB luôn được thực hiện giữa hai thiết bị đã xác thực, giúp ngăn chặn các cuộc tấn công mà kẻ xấu có thể chặn kết nối và gửi dữ liệu của bạn đi nơi khác. Tính năng này đã được Windows hỗ trợ từ lâu, nhưng đến Windows 11 phiên bản 24H2, nó mới bắt đầu được thực thi một cách nghiêm ngặt. Điều này có thể gây ra sự cố nếu trước đây bạn chưa bật SMB signing cho hệ thống của mình.
Trong khi đó, quyền truy cập khách (guest access) vào các chia sẻ SMB lại tiềm ẩn một rủi ro khác. Nó cho phép bạn không cần nhập tên người dùng hoặc mật khẩu để đăng nhập vào chia sẻ SMB. Điều này đồng nghĩa với việc bạn có thể vô tình kết nối với một chia sẻ SMB mà không có bất kỳ lời nhắc nào, từ đó bị lừa gửi dữ liệu của mình đến một máy chủ độc hại. Quyền truy cập khách đã bị vô hiệu hóa trong Windows từ lâu, nhưng vẫn tồn tại tính năng guest fallback cho phép bạn kết nối mà không cần thông tin đăng nhập khi không có tên người dùng hoặc mật khẩu nào được cung cấp. Tính năng này đã bị vô hiệu hóa trong Windows 10 Enterprise, Education và Pro for Workstations. Với Windows 11 phiên bản 24H2, nó còn được mở rộng sang Windows 11 Pro, chỉ còn lại SKU Home là tùy chọn chính vẫn hỗ trợ guest fallback.
Việc thực hiện những thay đổi này giúp đảm bảo rằng giao tiếp giữa thiết bị của bạn và máy chủ NAS luôn an toàn, và các kẻ tấn công tiềm năng ít có khả năng truy cập vào dữ liệu của bạn hơn. Tuy nhiên, rất có thể bạn đã thiết lập một chia sẻ SMB mà không bật các tính năng bảo mật này chỉ vì sự tiện lợi, và giờ đây chúng sẽ không còn hoạt động nữa.
Cách thiết lập và sử dụng Windows làm bộ nhớ mạng NAS
Bạn nên làm gì để khắc phục?
Tăng cường bảo mật cho NAS của bạn
Nếu bạn đã mất quyền truy cập vào NAS của mình sau khi cài đặt Windows 11 phiên bản 24H2, giải pháp tốt nhất để khắc phục là tăng cường bảo mật cho chia sẻ SMB của bạn. Điều này có nghĩa là kích hoạt SMB signing trên NAS và vô hiệu hóa guest access. Tất nhiên, các bước cụ thể sẽ phụ thuộc vào hệ điều hành mà bạn đang sử dụng cho NAS của mình.
Ví dụ, các phiên bản TrueNAS mới nhất đã bật SMB signing theo mặc định. Nếu bạn đang sử dụng một phiên bản cũ hơn và không thể nâng cấp NAS, bạn có thể thêm dòng sau vào phần Additional parameters trong cài đặt chia sẻ SMB của mình:
server signing = requiredQuyền truy cập khách (guest access) cũng thường bị vô hiệu hóa theo mặc định khi tạo một chia sẻ SMB trong TrueNAS, vì vậy bạn đã được thiết lập gần như hoàn chỉnh. Theo mặc định, các chia sẻ SMB của bạn được chia sẻ với nhóm builtin_users trong TrueNAS, bao gồm tài khoản quản trị viên mặc định của bạn. Do đó, bạn có thể sử dụng chính những thông tin đăng nhập đó để truy cập chia sẻ SMB từ một máy Windows.
Nếu bạn có nhiều người truy cập vào chia sẻ SMB nhưng không muốn cung cấp thông tin đăng nhập quản trị viên NAS của mình, bạn sẽ cần tạo người dùng mới trong TrueNAS với quyền truy cập vào chia sẻ SMB. Nếu bạn tạo tài khoản người dùng mới trong nhóm builtin_users, họ sẽ tự động có quyền truy cập vào chia sẻ, và mỗi người dùng có thể sử dụng thông tin đăng nhập tương ứng của mình để kết nối với chia sẻ trên máy khách Windows.
Cài đặt chia sẻ SMB trong TrueNAS Core với quyền truy cập khách bị vô hiệu hóa
Một lần nữa, các bước cần thiết sẽ có sự khác biệt nhất định tùy thuộc vào hệ điều hành bạn sử dụng cho NAS, nhưng các nguyên tắc chung vẫn được áp dụng. Việc thực hiện các bước này sẽ khôi phục quyền truy cập vào các chia sẻ SMB của bạn đồng thời giữ chúng an toàn hơn.
Laptop Windows 11 hiển thị bảng điều khiển TrueNAS và Proxmox
Các lựa chọn khác của bạn là gì?
Tự chịu rủi ro
Nếu vì bất kỳ lý do nào mà việc thực thi các quy tắc bảo mật này không khả thi đối với bạn, thì bạn vẫn có tùy chọn tắt các biện pháp bảo vệ bảo mật này để có thể tiếp tục sử dụng chia sẻ SMB như trước đây. Đây không phải là một giải pháp được khuyến nghị, và chúng tôi thực sự khuyên bạn nên sử dụng các bước đã nêu ở trên. Tuy nhiên, nếu bạn hiểu rõ rủi ro mình đang chấp nhận và đồng ý với điều đó, bạn có thể sử dụng Windows PowerShell để tắt yêu cầu SMB signing và bật guest fallback.
Bạn sẽ cần chạy Windows PowerShell (hoặc Terminal) với quyền quản trị viên, sau đó nhập lệnh sau và nhấn Enter:
Set-SmbClientConfiguration -RequireSecuritySignature $falseKhi được nhắc, nhấn Y để xác nhận thay đổi.
Nếu bạn cũng cần bật lại guest fallback để đăng nhập, bạn có thể nhập lệnh này:
Set-SmbClientConfiguration -EnableInsecureGuestLogons $trueTương tự, bạn sẽ cần nhấn Y để xác nhận thay đổi. Bước này thường không cần thiết trên Windows 11 Home, nơi guest fallback vẫn được hỗ trợ cho các chia sẻ SMB.
Màn hình Windows PowerShell sau khi chạy lệnh thay đổi cài đặt bảo mật SMB trên Windows 11
Ngoài ra, trên Windows 11 Pro, bạn cũng có thể sử dụng Group Policy Editor để thực hiện những thay đổi này, nhưng phương pháp PowerShell hoạt động trên mọi phiên bản Windows.
Sử dụng SMB trong chia sẻ macOS
Ưu tiên bảo mật là tốt nhất
Thật khó chịu khi mọi thứ không còn hoạt động như trước, nhưng lý do khiến các chia sẻ SMB không hoạt động như trước đây là rất chính đáng. Việc một hệ điều hành như TrueNAS cũng đang sử dụng SMB signing và vô hiệu hóa guest access cho thấy rằng Microsoft không chỉ gây khó dễ. Đây là một nỗ lực đồng bộ của toàn ngành để tăng cường bảo mật. Vì vậy, chúng tôi khuyên bạn nên kích hoạt các tùy chọn bảo mật cần thiết để đảm bảo mọi thứ hoạt động đúng cách và an toàn.
Vô hiệu hóa các biện pháp bảo mật vẫn là một lựa chọn nếu bạn không thể thực hiện cách trên, vì vậy bạn không hoàn toàn hết lựa chọn. Tuy nhiên, đây chỉ nên là giải pháp cuối cùng khi không còn cách nào khác.
NAS TerraMaster F4-424 Max
Kết luận
Những thay đổi trong cách thức hoạt động của SMB trên Windows 11 phiên bản 24H2, đặc biệt là yêu cầu SMB signing và vô hiệu hóa guest fallback, là một bước tiến quan trọng nhằm tăng cường bảo mật dữ liệu cho người dùng. Mặc dù điều này có thể gây ra một số bất tiện ban đầu cho việc truy cập NAS hoặc các thư mục chia sẻ, nhưng lợi ích về an toàn thông tin là không thể phủ nhận.
congnghe360.net khuyến nghị bạn nên ưu tiên giải pháp tăng cường bảo mật cho NAS của mình bằng cách kích hoạt SMB signing và thiết lập quyền truy cập bằng tài khoản người dùng cụ thể. Đây không chỉ là cách tốt nhất để khắc phục sự cố mà còn là phương pháp giúp bảo vệ dữ liệu của bạn khỏi các mối đe dọa tiềm ẩn. Việc sử dụng các lệnh PowerShell để tắt bảo mật chỉ nên được xem xét như một lựa chọn cuối cùng khi các biện pháp an toàn không thể áp dụng, và bạn hoàn toàn hiểu rõ về những rủi ro đi kèm.
Nếu bạn có bất kỳ câu hỏi nào hoặc đã thử các phương pháp trên mà vẫn gặp vấn đề, hãy chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới. Chúng tôi luôn sẵn lòng hỗ trợ và cùng bạn tìm ra giải pháp tối ưu nhất cho hệ thống của mình.