使用 SmbServerNameHardeningLevel=2 挂载 smb3 文件夹

使用 SmbServerNameHardeningLevel=2 挂载 smb3 文件夹

总括:

mount.smb3命令是否与策略SmbServerNameHardeningLevel设置为 2 的 Windows 端点兼容?我怎样才能让它发挥作用?


错误描述:

我在 Ubuntu Desktop 22.04.1 上尝试挂载驻留在 Windows 11 计算机上的 samba 文件夹,但我不断收到错误mount error(13): Permission denied

我正在使用的命令是:

sudo mount.smb3 //IP4ADDRESS/FOLDER_NAME /mnt/target/ -o credentials=~/.smbcredentials

凭证文件包含

username=MyUser
password=TheSecr3t
workgroup=WORKGROUP

当我查看目标计算机上的事件查看器时,我可以看到由于 Windows 11 计算机管理员设置的策略,连接被拒绝:Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SmbServerNameHardeningLevel值设置为2

Error de autenticación de sesión SMB (SMB session authentication error)

Nombre de cliente (Name of client): \\IP4ADDRESS
Dirección de cliente (Address of client): IP4ADDRESS:50302
Nombre de usuario (Username): MyUser
Id. de sesión (Session ID): 0xB80010000035
Estado (Status): {Acceso denegado} (Access Denied)
Un proceso ha solicitado acceso a un objeto, pero no se le han concedido esos derechos de acceso. (0xC0000022) / A process has requested access to an object, but it was not granted access rights (0xC0000022)
SPN: 
Directiva de validación de SPN (SPN validation directive): SPN required / validate full

我尝试过的以及我所知道的:

我知道错误是不是一个明显的问题,例如 的权限/mnt/target、我正在使用的凭据或共享文件夹的设置。如何?

  • 如果我要求Windows 11机器的管理员通过注册表暂时降级,该SmbServerNameHardeningLevel命令完美运行!然而,这不是一个选择,因为降级每隔一段时间就会被全局安全策略覆盖。1mount.smb3

  • 如果我使用gio作为替代安装机制,它工作正常!

echo -e "MyUser\nWORKGROUP\nTheSecre3t" | gio mount smb://IP4ADDRESS/FOLDER_NAME

我遇到的问题是,挂载仅对挂载用户可见,因为它可在$XDG_RUNTIME_DIR/gvfs- 我想让 Ubuntu 计算机的所有用户访问挂载位置。

  • 考虑到我有一个有效的情况和一个无效的情况,我使用wireshark来捕获这两种情况的数据包,并且我可以看到gio除了使用GSSAPI之外,有效的命令正在发送一个Target Name属性作为NTLMv2的一部分响应,而mount.smb3命令不是,我很确定这就是为什么当安全策略设置为 时后者不起作用2

gio这是命令的数据包捕获的屏幕截图工作。

有效的 gio 的数据包捕获

这是mount.smb3那个才不是

mount.smb3 的抓包不起作用

如果我是对的,我想问题是,我怎样才能强制mount.smb3发送SPN?


更多文献:

这些链接似乎证实了我所描述的内容,但我找不到修复方法。 GSSAPI 似乎正确支持 SPN,这就是它gio起作用的原因。


附:我尝试过使用 DNS 名称而不是 IP 地址,因为我多次读到这样的细节可能会影响 NTLM 的协商方式,但这似乎不起作用。

任何帮助表示赞赏。感谢您花时间阅读这篇文章。

相关内容