Для защиты сетевых папок после перехода на Windows 11 24H2 можно использовать следующие функции безопасности SMB: 1

• Подписывание SMB. 1 По умолчанию все исходящие и входящие подключения SMB должны быть подписаны. 1 Это предотвращает изменение данных и атаки ретранслятора, которые украдут учётные данные. 1
• Шифрование SMB. 1 Клиент SMB может запрашивать шифрование для всех исходящих подключений SMB. 1 После включения клиент подключается только к серверу SMB, который поддерживает шифрование SMB 3.0 или более поздней версии. 1
• Управление диалектами SMB. 1 Можно применить версии протокола SMB 2 и 3. 1 Например, можно указать, что подключения используют только SMB 3.1.1, наиболее безопасный диалект протокола. 1
• Блокировка SMB NTLM. 1 Клиент SMB может запретить проверку подлинности NTLM для удалённых исходящих подключений. 1 Это защищает клиентские устройства от отправки запросов NTLM на вредоносные серверы. 1
• Управление доступом клиента SMB через QUIC. 1 Позволяет ограничить доступ клиентов к SMB через серверы QUIC. 1 Теперь клиент должен иметь свой собственный сертификат и быть в списке разрешений, чтобы установить подключение QUIC, прежде чем произойдёт подключение SMB. 1

Если после внедрения Windows 11 24H2 возникают проблемы с доступом к сетевым хранилищам NAS, рекомендуется включить SMB signing на стороне NAS (рекомендуемый вариант) или отключить требование обязательного использования SMB подписей на стороне клиента (менее безопасный вариант). 3