Боремся с вирусами и инфраструктурой, или отключение SMB v1. Отключаем SMB1 для защититы компьютера с Windows от атак Windows 10 подключение к samba

Этой осенью Microsoft планирует полностью отключить протокол SMBv1 в Windows 10 .

Сетевой протокол SMB первой версии был разработан Microsoft уже пару десятков лет назад. Компания четко осознает, что дни данной технологии уже давно сочтены.

Тем не менее, данное изменение коснется только новые установки Windows 10. Если вы просто выполните обновление до Windows 10 Fall Creators Update , протокол все еще останется в системе.

В тестовой сборке Windows 10 Insider Preview build 16226 SMBv1 уже полностью отключен. В версиях Домашняя и Pro по умолчанию удален серверный компонент, но клиент SMB1 по-прежнему остается в системе. Это означает, что вы можете подключаться к устройствам по SMB1, но никто не сможет подключиться к вашей машине по нему. В версиях Enterprise и Education SMB1 отключен полностью.

Нед Пайл (Ned Pyle) из Microsoft пояснил, что основной причиной для данного решения стало повышение уровня безопасности:

“Это главная, но не единственная причина. Старый протокол был заменен более функциональным SMB2, которые предоставляет более широкие возможности. Версия 2.02 поставляется с Windows Server 2008 и является минимальной рекомендуемой версией SMB. Чтобы получить максимальную безопасность и функциональность, стоит использовать версию SMB 3.1.1. SMB 1 уже давно морально устарел”.

Хотя SMBv1 все еще останется на устройствах, обновленных до Windows 10 Fall Creators Update, его можно отключить вручную.

Как отключить SMB1 в Windows 10

1. Наберите в поиске мню Пуск Панель управления и перейдите в "Программы и компоненты".
2. В левом меню выберите опцию “Включение и отключение компонентов Windows”.
3. Уберите галочку около объекта “Поддержка общего доступа к файлам SMB 1.0/CIFS ”.

или с помощью PowerShell:

1. Щелкните правой кнопкой мыши по меню Пуск, выберите опцию Windows PowerShell (администратор)
2. Выполните команду Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

В этой статье описано как настроить общий доступ, к файлам и папкам, без пароля на Windows 10.

В этой инструкции будет рассмотрен наиболее простой случай настройки общего доступа к папкам Windows 10. Когда нужно предоставить доступ к общим ресурсам Windows 10 без пароля. Это самая распространенная ситуация в домашних сетях и в сети небольшого офиса. Такая настройка предполагает что доступ по сети будет без пароля, без ограничений.

Примечание . Если у вас Windows 10 2017 или 2018 года и вы столкнулись с проблемой "Windows 10 не видит другие компьютеры в локальной сети ", тогда, прочитайте еще одну статью - . В ней описано решение проблемы с подключением Windows 10 к старым версиям Windows. Эта статья может быть актуальна и для подключения Windows 10 к старым версиям Linux.

Но в начале немого теории.

Локальные и глобальные сети

Глобальная компьютерная сеть, на сегодняшний день, существует только одна, это Интернет. Локальные компьютерные сети отличаются от глобальной следующими факторами:

• Количеством объединенных в этой сети компьютеров.
• Количеством и качеством разделяемых (доступных) в этой сети ресурсов.

В глобальной сети Интернет объединены сотни миллионов (возможно и более миллиарда) компьютеров. Эти компьютеры предоставляют большое количество разных по своему типу ресурсов. Самые распространенные из которых это текстовая и графическая информация. Кроме самой информации в Интернет возможна и обработка этой информации - существуют сервисы для работы с изображениями и документами. Также в Интернет доступны услуги не имеющие отношения к компьютерной тематике, например продажа товаров и услуг (например продажа билетов на различный транспорт).

В локальные компьютерной сети чаще всего объединяется от двух до нескольких компьютеров. Гораздо реже количество компьютеров в локальной сети может быть несколько десятков или сотен (в крупных коммерческих или государственных организациях). Как правило в локальных сетях распределяется всего несколько ресурсов - файлы, принтеры, сканеры и доступ к Интернет.

Физически компьютеры объединяются в сеть или при помощи кабеля или через радиосигнал (WiFi). Но в любом случае настройка локальной сети выполняется одинаково.

Итак, что, и в какой последовательности, необходимо сделать для того чтобы выполнить настройку сети Windows 10?

Общий доступ Windows 10 без пароля

В этой инструкции будет описано как настроить сеть Windows 10 таким образом чтобы общий доступ к папкам (файлам) и принтерам предоставлялся без запроса пароля. Это вариант доверенной сети. Такая организация локальной компьютерной сети наиболее удобна в использовании (не нужно запоминать пароли для каждого компьютера). А кроме того такую сеть легче создать и обслуживать.

Начать настройку локальной сети лучше всего с проверки необходимых условий.

Проверка подключения по локальной сети

Вначале нужно проверить наличие на компьютере подключения по локальной сети. Для этого нужно открыть апплет имеющихся сетевых адаптеров и сетевых подключений. Проще всего открыть этот апплет через диалоговое окно "Выполнить Windows + R ncpa.cpl и нажмите кнопку "ОК ":

Примечание : есть более длинный путь - открыть "" и там клкнуть на ссылке "Изменение параметров адаптера ".

Вот так выглядит апплет сетевых подключений:

На этом примере видно, что физический сетевой адаптер на компьютере есть и сетевое подключение к локальной сети тоже есть. В этом примере используется кабельное подключение к локальной сети (Ethernet). В случае подключения через WiFi адаптер будет называться "Беспроводное подключение 802-11".

Возможные ошибки, которые можно обнаружить в апплете "Сетевые подключения":

• В этом апплете может вообще не быть адаптеров - в этом случае нужно проверять список оборудования (Диспетчер устройств). Возможно сетевой адаптер отключен или не установлены драйвера.
• Адаптер может быть перечеркнут красным крестом . Это означает что нет физического подключения к локальной сети. Нужно проверять кабели. В случае WiFi это означает что компьютер не подключен к точке доступа (роутеру) WiFi.
• Адаптер может иметь надпись "Неопознанная сеть ". Это означает, что физическое подключение к локальной сети есть, но компьютер не смог получить настройки этой сети. Чаще всего это бывает, если в локальной сети нет роутера и нужно вручную указывать параметры локальной сети.

По умолчанию Windows настроена на автоматическое получение настроек сети от сетевого роутера. Если в локальной сети есть роутер, тогда вам достаточно воткнуть сетевой кабель или подключиться к точке доступа WiFi. Если в локальной сети нет роутера, а такое иногда бывает при использовании небольших кабельных сетей, тогда вам нужно будет вручную указать сетевые настройки в свойствах сетевого адаптера. Подробнее о ручной настройке параметров локальной сети написано в статье "Настройка сети между Linux и Windows ". Там описана настройка для Windows XP, но для Windows 10 будет точно так же.

Следующий шаг это проверка имени компьютера и рабочей группы. Для этого нужно открыть апплет "Свойства системы ". Проще всего открыть этот апплет через диалоговое окно "Выполнить ". Оно доступно через меню Пуск или при нажатии клавиш Windows + R на клавиатуре. В этом окне напишите sysdm.cpl и нажмите кнопку "ОК ":

Вот так выглядит апплет "Свойства системы " (нужно открыть вкладку "Имя компьютера "):

Здесь нужно проверить:

• Полное имя - оно не должно быть написано кириллицей и не должно иметь пробелов.
• Рабочая группа - оно не должно быть написано кириллицей и не должно иметь пробелов. Кроме того, имя рабочей группы должно совпадать с таким же именем на других компьютерах локальной сети. То есть имя рабочей группы должно быть одинаково на всех компьютерах локальной сети.

Если вам нужно изменить имя компьютера или рабочей группы, нажмите кнопку "Изменить". После такого изменения нужно будет сделать перезагрузку Windows.

Теперь можно переходить к настройке сети Windows 10.

Настройка сети Windows 10

Откройте "Проводник Windows" и в нем найдите и откройте пункт "Сеть ". По умолчанию, на Windows 10 общий доступ отключен и когда вы откроете "Сеть", вверху будет предупреждающая надпись:

Нужно кликнуть на этой надписи и затем выбрать пункт "Включить сетевое обнаружение и общий доступ к файлам ":

Примечание : другой путь включения сетевого обнаружения и общего доступа к файлам через "Центр управления сетями и общим доступом " и там клкнуть на ссылке "Дополнительные параметры общего доступа " и затем открыть нужный профиль.

После этого "Проводник Windows" выдаст запрос на выбор типа сети, там нужно выбрать первый вариант:

Примечание : если вам позднее нужно будет изменить тип сети - инструкция в статье "Изменить тип сети Windows 10 ".

После этого "Проводник Windows " покажет список компьютеров в локальной сети:

Теперь вы можете войти в те папки на этих компьютерах, для которых дан общий доступ.

Вход через локальную сеть на компьютер с именем "Home":

Следующий шаг - нужно настроить общий доступ к папкам Windows 10.

Как настроить общий доступ к папке Windows 10

В "Проводник Windows " найдите папку, для которой вы хотите предоставить общий доступ. Нажмите на этой папке правую кнопку мыши и в меню выберите пункт "Свойства " (на этой иллюстрации папка называется lan):

Примечание : имя папки должно быть латиницей и без пробелов.

В окне свойств папки, нужно открыть вкладку "Доступ " и там нажать кнопку "Общий доступ ":

В следующем окне нужно открыть список локальных пользователей (учетные записи на этом компьютере) и в этом списке выбрать "Все":

После этого нажать кнопку "Добавить":

После этого нужно, для группы "Все", указать права доступа на чтение и запись:

После этого нужно нажать кнопку "Готово":

После этого снова будет открыто окно "Свойства папки ". В нем можно проверить вкладку "Безопасность ", там должен быть полный доступ для группы "Все " (Windows автоматически изменяет права файловой системы NTFS):

Все, на этом настройка доступа к конкретной папке закончена. Если вы хотите расшарить еще какую-то папку, эти действия нужно повторить для каждой.

Примечание : расшаривать отдельные файлы не нужно. Все файлы, которые есть в расшаренной папке, будут доступны по сети. Также будут доступны по сети и все вложенные папки.

Осталось последнее действие..

Нужно открыть "Центр управления сетями и общим доступом " и в левой части кликнуть на "Изменить дополнительные параметры общего доступа ":

В следующем окне нужно открыть профиль "Все сети ":

И там отключить параметр "общий доступ с парольной защитой " и конечно нажать кнопку "Сохранить изменения":

На этом настройка доступа по сети без пароля для Windows 10 завершена. Теперь можно будет заходить через локальную сеть на этот компьютер и Windows не будет требовать ввода пароля.

Для проверки зайдем на компьютер Windows 10 с компьютера Windows XP:

Расшаренная папка "lan" открывается и в ней можно, через локальную сеть, редактировать и создавать файлы.

Но если, тем не менее, Windows требует сетевой пароль

Не смотря на то, что настройки, которые описаны выше, сделаны, при входе на этот компьютер, другой компьютер может запрашивать сетевой пароль. Это возможно в двух случаях.

Локальные пользователи с одинаковым именем (логином)

На обоих компьютерах есть локальные пользователи с одинаковым именем, но с разными паролями.

Пример . Есть Comp1 и Comp2. На каждом из них есть пользователь с именем User. Но на Comp1 у пользователя пароль 123, а на Comp2 у него пароль 456. При попытке сетевого входа система будет запрашивать пароль.

Решение . Или убрать совпадающие логины пользователей. Или для пользователей с одинаковым логином указать одинаковый пароль. Пустой пароль тоже считается одинаковым.

На Windows 10 нет ни одного локального пользователя

На Windows 10 возможен вход и работа с учетной записью Microsoft, при наличии Интернет. При этом возможна такая ситуация, когда при установке Windows 10 вообще не создавался локальный пользователь (вход был через учетную запись Microsoft). В этом случае Windows тоже будет требовать пароль при входе по локальной сети.

Решение . Создать локального пользователя на компьютере Windows 10.

Если в вашей локальной сети есть старые компьютеры

Если в вашей локальной сети есть компьютеры под управлением старых версий Windows или Linux, тогда вы можете столкнуться с проблемой, когда Windows 10 "не видит" такие компьютеры.

Причина может быть в том, что в последних версиях Windows 10 отключили поддержку протокола SMB версии 1. Как включить поддержку SMB версии 1, написано в статье локальная сеть между Windows 10 и Windows XP .

Отменить общий доступ к папке Windows 10

На Windows 10 отмена общего доступа сделана совсем не очевидной (в отличии от Windows XP). На вкладке "Доступ " (свойства папки) нет опции, как это было в Windows XP. Кнопку "Общий доступ" нажимать бесполезно, там нельзя отменить общий доступ.

Теперь, для отмены общего доступа, нужно на вкладке "Доступ " нажимать кнопку "Расширенная настройка ":

И там отключать доступ (убрать птичку на опции "Открыть общий доступ к этой папке"):

Как говорится "угадай с трех раз".

Общий доступ к папке Windows 10 через командную строку

Все можно сделать гораздо быстрее, если использовать командную строку (консоль, cmd.exe). Всего две команды:

net share lan=c:\lan

net share lan /delete

Первая команда открывает общий доступ к папке c:\lan и задает для нее сетевое имя lan.

Вторая команда удаляет сетевую (общедоступную) папку lan. Реальная папка c:\lan конечно остается на месте.

Общий доступ к файлам Windows 10 через оснастку "Общие папки"

В комплекте инструментов управления Windows 10 есть специальная программа (оснастка) для управления общими ресурсами на компьютере. Называется она "Общие папки" и запустить ее можно командой fsmgmt.msc (в консоли или через Win + R):

По другому эту оснастку можно открыть через меню Пуск: "Панель управления - Администрирование - Управление компьютером - Общие папки".

Общий доступ к принтерам Windows 10

Общий доступ к принтерам настраивается точно так же как и для папки. Нужно открыть апплет "Устройства и принтеры", найти там нужный принтер, открыть его свойства и на вкладке "Доступ" определить параметры сетевого доступа.

Настройка локальной сети для других ОС

Если вы живете в г. Краснодар и вам необходимо настроить локальную сеть в Windows

Иван Сухов, 2017, 2019 г .

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .

Даже небольшая сумма может помочь написанию новых статей:)

Одним из способов доступа с STB к файлам, расположенным на сетевых компьютерах, является протокол общего доступа SMB , который является стандартным протоколом Microsoft Windows и обеспечивает функции «Сети Microsoft Windows» и «Совместного использования файлов и принтеров» .
Samba - свободная реализация протокола SMB для UNIX-подобных и других операционных систем.

Применение протоколов SMB / Samba позволяет осуществлять доступ с STB (работает под управлением ОС Linux) к папкам и файлам, расположенным на сетевых компьютерах (работающих под управлением ОС Linux, Windows и др.). Таким образом, пользователи STB получают возможность проигрывать на STB медиа-файлы (видео, аудио, изображения), которые расположены на сетевых компьютерах, работающих под управлением одного из типов ОС, поддерживающей протокол SMB.

Протокол SMB / Samba является прикладным протоколом (в терминах сетевой модели OSI). Для обмена данными используется транспортный протокол TCP/IP.
Протокол SMB / Samba использует архитектуру клиент – сервер: в качестве сервера выступает ПК, на котором размещаются определенные сетевые ресурсы (папки) с медиа-файлами, в качестве клиента – STB, с которого медиа-файлы проигрываются.

Сетевые ресурсы (в виде ярлыков) отображаются в STB, в меню , в соответствии со стандартной сетевой LAN-архитектурой ОС Windows: Сеть / Рабочая группа / Компьютер / Папка.

По умолчанию, доступ к ресурсам компьютера закрыт настройками на стороне компьютера. При необходимости получить доступ к определенной сетевой папке, пользователь компьютера открывает доступ к этой папке. Для управления доступом к папкам используется процедура ОС Windows "Общий доступ к файлам ".

Предусмотрены два типа сетевого доступа к папкам (тип доступа определяется на стороне сервера):

• по паролю - для доступа к сетевой папке со стороны STB используется процедура Авторизации (необходимо ввести имя (login) определенного пользователя компьютера и его пароль (password);
• без пароля - доступ к сетевой папке открыт для всех пользователей, без необходимости вводить пароль.

Обнаружение общих сетевых ресурсов на стороне STB происходит автоматически (если это не запрещено на стороне компьютера или кроме случаев, связанных с некорректной работой сети). Соединение с сетевой папкой устанавливается, когда пользователь STB открывает сетевую папку. Если используется доступ к папке по паролю, пользователю выдается запрос указать login и password .

Также предусмотрена возможность ручного подключения сетевых папок (если они не были обнаружены автоматически). Настройка и доступ к ресурсам сети по протоколу SMB / Samba на STB проводится в меню Home media .

Ниже рассмотрен пример, как подключить сетевую папку ПК с ОС Windows 10для воспроизведения медиа-файлов с STB.

Параметры, используемые в примере

Компьютер (файловый сервер):

• Операционная система - Windows 10 64-bit;
• Имя компьютера – My _ computer ;
• Рабочая группа – WORKGROUP (имя рабочей группы “по умолчанию” в ОС « Windows »);
• IP- адрес ПК: 192.168.1.186 .
• Сетевой ресурс, к которому открывается доступ (папка с медиа-файлами) - папка Video _ E 1.
• Имя пользователя - Usr.

STB (клиент )

• IP- адрес STB : 192.168.1.230

Настройка соединения на стороне ПК

Проверка доступности сетевого соединения между ПК и STB

Перед настройкой соединения убедитесь в доступности сетевого соединения между ПК и STB – пошлите ICMP Echo Requests ( PING) с ПК на STB.

Проверка включения протокола SMB

1. Открыть Панель управления ⇒ Все элементы панели управления ⇒ Программы и компоненты .
2. В левой панели выбрать пункт Включение и отключение компонентов Windows .
3. Убедиться, что включена опция Поддержка общего доступа к файлам SMB 1.0/CIFS .

Настройка параметров общего доступа для различных профилей Windows

1. Открыть Панель управления ⇒ Все элементы панели управления ⇒ Центр управления сетями и общим доступом .

2. В левой панели выбрать пункт Изменить дополнительные параметры общего доступа .

2. Настроить параметры общего доступа для трех профилей ("Частная", "Гостевая или общедоступная" и "Все сети" ):

Частная

Гостевая или общедоступная

Все сети

Открытие доступа к папке на стороне ПК

1. Откройте доступ к папке Video_E1 : Свойства ⇒ Доступ ⇒ Общий доступ .
2. В открывшемся окне Общий доступ к файлам выберите и добавьте пользователей для доступа к папке:

2.1 Для организации доступ к папке по паролю (используется пароль пользователя ПК), выберете и добавьте необходимых пользователей (в примере - рассмотрен доступ для текущего пользователя Usr ). В этом случае при попытке открыть папку со стороны STB будут запрошены логин (имя пользователя компьютера) и пароль (пароль пользователя компьютера).

Учтите. Необходимо использовать определенное значение пароля учетной записи пользователя. Отсутствие пароля (пустой пароль) приведет к невозможности доступа к папке!

2.2 Если необходимо предоставлять доступ к папке всем пользователям сети, выбрать в списке пользователя «Все» (если такого пункта нет в списке - выбрать и добавить).

Ниже на рисунке приведен вариант настройки предоставления беспарольного доступа к папке Video_E1 (для всех сетевых пользователей).

Автоматическое соединение с сетевой папкой со стороны STB

1. Во Встроенном портале зайти в Главное окно ⇒ Home Media ⇒ Сетевое окружение (Network ) ⇒ WORKGROUP

2. В папке WORKGROUP отображаются сетевые компьютеры рабочей группы.
Откройте ярлык необходимого сетевого компьютера - My _ Computer (в разделе My _ Computer отображаются папки одноименного сетевого компьютера, для которых открыт доступ).

3. Чтобы убедиться, что автоматическое определение сетевого ресурса состоялось и проверить тип протокола необходимо выделить папку и воспользоваться кнопкой «i» (INFO) на ПДУ:

4. Открыть папку Video_E1 . Внутри папки пройти по пути, по которому находится медиа-файл, который необходимо воспроизвести.

5. Если для папки установлен доступ по паролю, либо по каким-либо причинам STB не может «примонтировать» папку (то есть получить к ней доступ - см. раздел ), то при попытке открыть данную папку открывается окно Network connection .

6. Запустить медиа-файл.

Принудительное установление соединения к сетевой папке со стороны STB

Для тех случаев, когда автоматическое соединение не устанавливается, предусмотрена ручная настройка доступа к сетевой папке:

• Во Встроенном портале открыть Главное окно ⇒ Home Media ⇒ Сетевое окружение
• Вызвать окно Operations (Операции ) - кнопка Меню на ПДУ.
• Нажать Подключить NFS/SMB (Connect NFS/SMB ) .
• В окне Подключение сетевой папки (Connect network folder ) ввести параметры соединения:
  • Адрес сервера (Server Address ) – IP-адрес ПК (файлового сервера), на котором размещена требуемая сетевая папка;
  • Папка на сервере (Server folder ) – имя папки (каталога) на ПК, для которой установлен общий доступ;
  • Локальная папка (Local folder ) – имя папки на STB (по умолчанию, совпадает с именем папки на сервере);
  • Тип подключения (Connection type ) – SMB .
  • Логин (Login ) – логин доступа - вводится, если для папки используется доступ по паролю. Вводимое значение совпадает с именем пользователя ПК ;
  • Пароль (Password ) – пароль доступа к папке - вводится, если для папки используется доступ с паролем.
    Примечание . Если для папки используется беспарольный доступ, поля Логин и Пароль должны быть пустыми!

Отключение сетевой папки, изменение настроек соединения на STB

Для принудительного отключения определенной сетевой папки используйте для этой папки команду Отключить NFS/SMB .

В случае необходимости внести изменения в настройку соединения определенной папки (например, при изменении параметров доступа к папке на стороне ПК), используйте для этой папки команду Редактировать (англ. Edit share) .

Монтирование папки

Установление соединения к определенной папке, описанное в подразделах и , сопровождается автоматическим монтированием папки на STB. Если определенная папка "примонтирована" на STB, ее ярлык появляется на верхнем уровне меню Home media .

Пользователь также может монтировать необходимую папку вручную (это также ведет к соединению с папкой ), для этой цели используется команда Подключить ресурс (англ. Mount share) .

Для "размонтирования" папки в STB (это также ведет к разъединению папки от STB) используется команда Отключить ресурс (англ. Unmount share) .

На компьютере проверить .

На компьютере проверить .

Перезагрузить STB и ПК и повторить попытку соединения.

2. Если при открытии сетевой папки на STB предлагается выполнить авторизацию, но для папки доступ по паролю не назначался:

1. • На сетевом компьютере проверить, чтобы в свойствах папки был открыт доступ для пользователя «Все» ;

3. Если при открытии папки на STB предлагается выполнить авторизацию (ввести логин, пароль), но значение пароля не задано (пустой пароль):

1. • Установить определенное значение пароля пользователя компьютера;
   • Если доступ не возобновился, перезагрузить STB.

4. Если файл не открывается:

1. • проверить, проигрывается ли файл локально на ПК;
   • попытаться запустить с STB другие файлы с той же сетевой папки, с других сетевых папок;
   • попытаться проиграть файл другого формата (желательно, проверить файл, который на STB ранее воспроизводился, например, с USB-носителя). Возможно, данный формат файла не поддерживается плеером STB.

Аннотация

В этой статье описываются процедуры включения и отключения протокола Server Message Block (SMB) версии 1, SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) в клиентских и серверных компонентах SMB.

Предупреждение. Не рекомендуется отключать прокол SMB версии 2 или 3. Отключать протокол SMB версии 2 или 3 следует только в качестве временной меры устранения неполадок. Не оставляйте протокол SMB версии 2 или 3 в отключенном состоянии.

В Windows 7 и Windows Server 2008 R2 отключение протокола SMB версии 2 приведет к отключению указанных далее функциональных возможностей.

• Комбинирование запросов, позволяющее отправлять несколько запросов SMB 2 как единый сетевой запрос.


• Большие объемы операций чтения и записи, позволяющие оптимально использовать быстрые сети.


• Кэширование свойств файлов и папок, в которых клиенты сохраняют локальные копии файлов и папок.


• Долговременные дескрипторы, позволяющие прозрачно восстанавливать подключение к серверу в случае временного отключения.


• Усовершенствованные подписи сообщений, где алгоритм хэширования HMAC SHA-256 заменяет MD5.


• Усовершенствованное масштабирование для совместного использования файлов (существенно увеличено число пользователей, общих ресурсов и открытых файлов на сервер).


• Поддержка символьных ссылок.


• Модель аренды нежестких блокировок клиентов, ограничивающая объем данных, передаваемых между клиентом и сервером, что позволяет улучить производительность сетей с большой задержкой и повысить масштабируемость SMB-сервера.


• Поддержка больших MTU для полноценного использования 10-гигабитного Ethernet.


• Снижение энергопотребления — клиенты, имеющие открытые для сервера файлы, могут находиться в режиме сна.

В Windows 8, Windows 8.1, Windows 10, Windows Server 2012 и Windows Server 2016 отключение протокола SMB версии 3 приведет к отключению указанных далее функциональных возможностей (а также функциональности протокола SMB версии 2, описанной в предыдущем списке).

• Прозрачная отработка отказа, при которой клиенты переключаются на узлы кластера во время обслуживания или сбоя без нарушения работы.


• Масштабирование - с предоставлением параллельного доступа к общим данным на всех узлах кластера.


• Многоканальность обеспечивает агрегирование полосы пропускания сетевого канала и отказоустойчивость сети в различных каналах, имеющихся между клиентом и сервером.


• SMB Direct - предоставляет поддержку сетей RDMA для обеспечения очень высокой производительности, небольшой задержки и низкого коэффициента использования ЦП.


• Шифрование - обеспечивает сквозное шифрование данных и защищает их от перехвата в ненадежных сетях.


• Аренда каталогов сокращает время ответа приложений в филиалах за счет кэширования.


• Оптимизация производительности операций произвольного чтения и записи небольших объемов данных.

Дополнительная информация

Как включить и отключить протоколы SMB на SMB-сервере

Windows 8 и Windows Server 2012

В Windows 8 и Windows Server 2012 представлен новый командлет Windows PowerShell Set-SMBServerConfiguration . Он позволяет включать или отключать протоколы SMB версии 1, 2 и 3 на сервере.
Примечания . При включении или отключении протокола SMB версии 2 в Windows 8 или Windows Server 2012 также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.
После выполнения командлета

• Чтобы получить текущее состояние конфигурации протокола SMB-сервера, выполните следующий командлет:

  Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

• Set-SmbServerConfiguration -EnableSMB1Protocol $false

• Set-SmbServerConfiguration -EnableSMB2Protocol $false

• Set-SmbServerConfiguration -EnableSMB1Protocol $true

• Set-SmbServerConfiguration -EnableSMB2Protocol $true

Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы включить или отключить протоколы SMB на SMB-сервере с Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, воспользуйтесь Windows PowerShell или редактором реестра.

Windows PowerShell 2.0 или более поздняя версия PowerShell

• Чтобы отключить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

• Чтобы отключить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

• Чтобы включить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

• Чтобы включить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Примечание . После внесения этих изменений компьютер необходимо перезагрузить.

Редактор реестра

Внимание ! В статье содержатся сведения об изменении реестра. Перед внесением изменений рекомендуется создать резервную копию реестра. и изучить процедуру его восстановления на случай возникновения проблемы. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра см. в указанной ниже статье базы знаний Майкрософт. Чтобы включить или отключить протокол SMB версии 1 на SMB-сервере, настройте следующий раздел реестра:

Подраздел реестра: Запись реестра: SMB1
REG_DWORD: 0 = отключено
REG_DWORD: 1 = включено
По умолчанию: 1 = включено

Чтобы включить или отключить протокол SMB версии 2 на SMB-сервере, настройте следующий раздел реестра:

Подраздел реестра:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanServer\Parameters Запись реестра: SMB2
REG_DWORD: 0 = отключено
REG_DWORD: 1 = включено
По умолчанию: 1 = включено

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= disabled

• Чтобы включить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

  
  sc.exe config mrxsmb10 start= auto

• Чтобы отключить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
  sc.exe config mrxsmb20 start= disabled

• Чтобы включить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb20 start= auto

Примечания.

• Эти команды следует вводить в командной строке с повышенными привилегиями.


• После внесения этих изменений компьютер необходимо перезагрузить.

Если вы из Windows 10 не можете открыть сетевые папки на других сетевых устройствах (NAS, Samba сервера Linux) или на компьютерах со старыми версиями Windows (Windows 7/ XP /2003), скорее всего проблема связана с тем, что в вашей новой версии Windows 10 отключена поддержка устаревших и небезопасных версий протокола SMB (используется в Windows для доступа к общим сетевым папкам и файлам). Так, начиная с Windows 10 1709, был отключен протокол SMBv1 и анонимный (гостевой) доступ к сетевым папкам по протоколу SMBv2.

Microsoft планомерно отключает старые и небезопасные версий протокола SMB во всех последний версиях Windows. Начиная с Windows 10 1709 и Windows Server 2019 (как в Datacenter так и в Standard ) в операционной системе по умолчанию (помните атаку , которая как раз и реализовалась через дыру в SMBv1).

Конкретные действия, которые нужно предпринять зависят от ошибки, которая появляется в Windows 10 при доступе к общей папке и от настроек удаленного SMB сервера, на котором хранятся общие папки.

Вы не можете получить гостевой доступ к общей папке без проверки подлинности

Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети. An error occurred while reconnecting Y: to \\nas1\share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

При это на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Эта проблем связана с тем, что в современных версиях Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и , что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.

При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:

Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.

В большинстве случае с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным (гостевым) доступом (см. в разных версиях Windows).

В этом случае Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.

В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.

Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.

Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation ). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы) .

Т.е. из сообщения об ошибке четко видно, что сетевая папка поддерживает только SMBv1 протокол доступа. В этом случае нужно попытаться перенастроить удаленное SMB устройство для поддержки как минимум SMBv2 (правильный и безопасный путь).

Если сетевые папки раздает Samba на Linux, вы можете указать минимально поддерживаемую версию SMB в файле smb.conf так:

Server min protocol = SMB2_10 client max protocol = SMB3 client min protocol = SMB2_10 encrypt passwords = true restrict anonymous = 2

В Windows 7/Windows Server 2008 R2 вы можете отключить SMBv1 и разрешить SMBv2 так:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true

Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003), поддерживает только протокол SMB1, в Windows 10 вы можете включить отдельный компонент SMB1Protocol-Client. Но это не рекомендуется!!!

Запустите консоль PowerShell и проверьте, что SMB1Protocol-Client отключен (State: Disabled):

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Включите поддержку протокола SMBv1 (потребуется перезагрузка):

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Также вы можете включить/отключить дополнительные компоненты Windows 10 (в том числе SMBv1) из меню optionalfeatures.exe -> SMB 1.0/CIFS File Sharing Support

В Windows 10 1709 и выше клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).

В этом примере я включил только SMBv1 клиент. Не включайте компонент SMB1Protocol-Server, если ваш компьютер не используется устаревшими клиентами в качестве сервера для хранения общих папок.

После установки клиента SMBv1, вы должны без проблем подключиться к сетевой папке или принтеру. Однако, нужно понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает вашу систему опасности.