Kể từ phiên bản Windows 11 24H2, Microsoft đã thực hiện những thay đổi đáng kể đối với cách thức hoạt động của các chia sẻ SMB (Server Message Block) trên máy tính Windows. Để tăng cường bảo mật, các chia sẻ này giờ đây yêu cầu tính năng ký SMB (SMB signing). Đồng thời, đối với hầu hết các phiên bản Windows 11 (ngoại trừ phiên bản Home), tính năng dự phòng truy cập khách (guest fallback) đã bị vô hiệu hóa, có nghĩa là bạn cần có tên người dùng và mật khẩu để kết nối với các chia sẻ SMB.
Mặc dù việc bổ sung bảo mật là một điều tốt, nhưng đối với những người dùng NAS (Network Attached Storage) tại nhà, điều này có thể khiến các chia sẻ SMB trở nên không thể truy cập được, mặc dù không có rủi ro bảo mật rõ ràng nào. Nếu bạn đang gặp phải tình trạng này và cần khôi phục quyền truy cập vào các chia sẻ của mình, đừng lo lắng. Có một vài cách để khắc phục sự cố, và chúng ta sẽ cùng tìm hiểu chi tiết ngay sau đây.
Lý do Microsoft Thay Đổi Tính Năng SMB Trên Windows 11 24H2
Trước hết, điều quan trọng là phải hiểu lý do đằng sau những thay đổi này, và đó chính là vấn đề bảo mật. Chắc chắn, việc truy cập NAS tại nhà có vẻ không phải là một rủi ro bảo mật lớn, nhưng những kẻ tấn công có thể rất tinh vi và xảo quyệt.
Tăng Cường Bảo Mật và Ngăn Ngừa Rủi Ro
Tính năng ký SMB (SMB signing) đảm bảo rằng giao tiếp giữa các thiết bị sử dụng giao thức SMB luôn được thực hiện giữa hai thiết bị đã xác thực. Điều này giúp ngăn chặn các cuộc tấn công mà kẻ xấu có thể chặn kết nối và chuyển dữ liệu của bạn đến nơi khác. Tính năng này đã được Windows hỗ trợ từ lâu, nhưng chỉ mới bắt đầu được áp dụng bắt buộc với Windows 11 phiên bản 24H2. Điều này có thể gây ra sự cố nếu trước đây bạn chưa bật ký SMB.
Trong khi đó, quyền truy cập khách (guest access) vào các chia sẻ SMB tiềm ẩn một rủi ro khác. Nó cho phép bạn kết nối mà không cần nhập tên người dùng hoặc mật khẩu. Tuy nhiên, điều này cũng có nghĩa là bạn có thể vô tình kết nối với một chia sẻ SMB mà không có bất kỳ thông báo nào, từ đó bị dụ dỗ gửi dữ liệu của mình đến một máy chủ độc hại. Quyền truy cập khách đã bị vô hiệu hóa trong Windows từ lâu, nhưng vẫn có một tính năng dự phòng truy cập khách (guest fallback) cho phép bạn kết nối mà không cần thông tin xác thực nếu không có tên người dùng hoặc mật khẩu nào được cung cấp. Tính năng này đã bị vô hiệu hóa trong Windows 10 Enterprise, Education và Pro for Workstations. Với Windows 11 phiên bản 24H2, nó cũng được mở rộng sang Windows 11 Pro, chỉ còn phiên bản Home là tùy chọn chính vẫn hỗ trợ dự phòng truy cập khách.
Việc thực hiện những thay đổi này giúp đảm bảo rằng giao tiếp giữa thiết bị của bạn và máy chủ NAS luôn an toàn, và những kẻ tấn công tiềm năng khó có thể truy cập vào dữ liệu của bạn hơn. Tuy nhiên, có khả năng cao là bạn đã thiết lập chia sẻ SMB mà không bật các tính năng bảo mật này chỉ vì sự tiện lợi, và giờ đây chúng sẽ không hoạt động nữa.
Giải Pháp Được Khuyến Nghị: Bảo Mật Chia Sẻ SMB Trên NAS Của Bạn
Nếu bạn mất quyền truy cập vào NAS sau khi cài đặt Windows 11 phiên bản 24H2, giải pháp tốt nhất để khắc phục quyền truy cập là bảo mật chia sẻ SMB của bạn. Điều đó có nghĩa là bật tính năng ký SMB trên NAS của bạn và tắt quyền truy cập khách. Việc này sẽ phụ thuộc vào hệ điều hành bạn đang sử dụng cho NAS của mình.
Cài đặt SMB trong TrueNAS Core với tùy chọn truy cập khách đã tắt
Ví dụ, các phiên bản TrueNAS mới nhất đã bật ký SMB theo mặc định. Nếu bạn đang sử dụng phiên bản cũ hơn và không thể cập nhật NAS, bạn có thể thêm dòng sau vào phần Additional parameters trong cài đặt chia sẻ SMB của mình:
server signing = requiredQuyền truy cập khách cũng bị tắt theo mặc định khi tạo chia sẻ SMB trong TrueNAS, vì vậy bạn gần như đã được thiết lập. Theo mặc định, các chia sẻ SMB của bạn được chia sẻ với nhóm builtin_users trong TrueNAS, nhóm này bao gồm tài khoản quản trị viên mặc định của bạn, vì vậy bạn có thể chỉ cần sử dụng thông tin đăng nhập đó để truy cập chia sẻ SMB từ máy Windows.
Nếu bạn có nhiều người truy cập chia sẻ SMB của mình nhưng không muốn cung cấp thông tin đăng nhập quản trị viên NAS, bạn sẽ cần tạo người dùng mới trong TrueNAS với quyền truy cập vào chia sẻ SMB. Nếu bạn tạo tài khoản người dùng mới trong nhóm builtin_users, họ sẽ tự động có quyền truy cập vào chia sẻ, và mỗi người dùng có thể sử dụng thông tin đăng nhập tương ứng của họ để kết nối với chia sẻ trên máy khách Windows.
Một lần nữa, các bước cần thiết sẽ khác nhau tùy thuộc vào hệ điều hành bạn đang sử dụng cho NAS, nhưng các nguyên tắc chung vẫn được áp dụng. Những bước này sẽ khôi phục quyền truy cập vào các chia sẻ SMB của bạn đồng thời giữ chúng an toàn hơn.
Các Lựa Chọn Khác (Và Rủi Ro Tiềm Ẩn)
Nếu vì lý do nào đó, việc thực thi các quy tắc bảo mật này là không thể đối với bạn, thì bạn vẫn có tùy chọn vô hiệu hóa các biện pháp bảo vệ bảo mật này để có thể tiếp tục sử dụng chia sẻ SMB như trước đây. Đây không phải là giải pháp được khuyến nghị, và chúng tôi đặc biệt khuyên bạn nên sử dụng các bước trên thay thế. Tuy nhiên, nếu bạn biết rủi ro mình đang chấp nhận và đồng ý với điều đó, bạn có thể sử dụng Windows PowerShell để tắt yêu cầu ký SMB và bật lại dự phòng truy cập khách.
Tự Chịu Rủi Ro Khi Vô Hiệu Hóa Bảo Mật SMB Trên Windows 11
Bạn sẽ cần chạy Windows PowerShell (hoặc Terminal) với quyền quản trị viên, sau đó nhập lệnh sau và nhấn Enter:
Set-SmbClientConfiguration -RequireSecuritySignature $falseKhi được nhắc, nhấn Y để xác nhận thay đổi.
Nếu bạn cũng cần bật lại dự phòng truy cập khách để đăng nhập, bạn có thể nhập lệnh này:
Set-SmbClientConfiguration -EnableInsecureGuestLogons $trueTương tự, bạn sẽ cần nhấn Y để xác nhận thay đổi. Bước này không cần thiết trên Windows 11 Home, nơi dự phòng truy cập khách vẫn được hỗ trợ cho các chia sẻ SMB.
Ngoài ra, trên Windows 11 Pro, bạn cũng có thể sử dụng Group Policy Editor để thực hiện các thay đổi này, nhưng phương pháp PowerShell hoạt động trên mọi phiên bản Windows.
Thật khó chịu khi mọi thứ ngừng hoạt động theo cách chúng vẫn thường làm. Tuy nhiên, lý do tại sao các chia sẻ SMB không hoạt động như trước là hoàn toàn hợp lý. Thực tế là một hệ điều hành như TrueNAS cũng đang sử dụng ký SMB và vô hiệu hóa quyền truy cập khách cho thấy Microsoft không đơn thuần gây phiền toái. Đây là một nỗ lực chung của ngành nhằm tăng cường bảo mật, và vì vậy, chúng tôi khuyên bạn nên bật các tùy chọn bảo mật cần thiết để đảm bảo mọi thứ hoạt động bình thường.
Vô hiệu hóa các biện pháp bảo mật vẫn là một lựa chọn nếu bạn không thể thực hiện cách trên, vì vậy bạn không hoàn toàn hết lựa chọn, nhưng nó chỉ là một giải pháp cuối cùng.
Bạn đã từng gặp vấn đề này chưa? Bạn đã khắc phục như thế nào? Hãy chia sẻ kinh nghiệm của bạn trong phần bình luận bên dưới nhé!
