بسبب الوباء الأخير برنامج الفدية WannaCryمن خلال استغلال ثغرة SMB v1، ظهرت نصيحة حول تعطيل هذا البروتوكول مرة أخرى على الشبكة. علاوة على ذلك، أوصت Microsoft بشدة بتعطيل الإصدار الأول من SMB في سبتمبر 2016. لكن مثل هذا الانفصال يمكن أن يؤدي إلى عواقب غير متوقعة، حتى أشياء مضحكة: لقد صادفت شخصيًا شركة توقفت فيها مكبرات الصوت اللاسلكية Sonos عن العمل بعد قتال الشركات الصغيرة والمتوسطة.
على وجه الخصوص، لتقليل احتمالية التعرض "لإصابة في القدم"، أريد أن أذكرك بميزات الشركات الصغيرة والمتوسطة وأن أفكر بالتفصيل في عواقب التعطيل غير المدروس للإصدارات القديمة.
الشركات الصغيرة والمتوسطة(كتلة رسالة الخادم) – بروتوكول الشبكةل الوصول عن بعدإلى الملفات والطابعات. هذا هو ما يتم استخدامه عند توصيل الموارد عبر \servername\sharename. كان البروتوكول يعمل في البداية أعلى NetBIOS، باستخدام منافذ UDP 137 و138 وTCP 137 و139. ومع إصدار Windows 2000، بدأ العمل مباشرة باستخدام منفذ TCP 445. ويستخدم SMB أيضًا لتسجيل الدخول والعمل في مجال الدليل النشط.
بالإضافة إلى الوصول عن بعد إلى الموارد، يتم استخدام البروتوكول أيضًا للاتصال بين المعالجات من خلال "التدفقات المسماة" - الأنابيب المسماة. يتم الوصول إلى العملية عبر المسار \.\pipe\name.
تم إنشاء الإصدار الأول من البروتوكول، المعروف أيضًا باسم CIFS (نظام ملفات الإنترنت المشترك)، في الثمانينيات، لكن الإصدار الثاني ظهر فقط مع ويندوز فيستا، في عام 2006. تم إصدار الإصدار الثالث من البروتوكول مع نظام التشغيل Windows 8. بالتوازي مع Microsoft، تم إنشاء البروتوكول وتحديثه في تطبيقه المفتوح Samba.
في كل نسخة جديدةتمت إضافة تحسينات مختلفة إلى البروتوكول بهدف زيادة الأداء والأمان ودعم الوظائف الجديدة. ولكن في الوقت نفسه، ظل دعم البروتوكولات القديمة للتوافق. وبطبيعة الحال، كان هناك عدد لا بأس به من نقاط الضعف في الإصدارات القديمة، إحداها يتم استغلالها بواسطة WannaCry.
ستجد أسفل المفسد جدولًا ملخصًا للتغييرات في إصدارات الشركات الصغيرة والمتوسطة.
| إصدار | نظام التشغيل | تمت إضافته مقارنة بالإصدار السابق |
| الشركات الصغيرة والمتوسطة 2.0 | ويندوز فيستا/2008 | لقد تغير عدد أوامر البروتوكول من 100+ إلى 19 |
| إمكانية عمل “الناقل” – إرسال طلبات إضافية قبل تلقي الرد على الطلب السابق | ||
| دعم الارتباط الرمزي | ||
| توقيع رسائل HMAC باستخدام SHA256 بدلاً من MD5 | ||
| زيادة في ذاكرة التخزين المؤقت وكتل الكتابة/القراءة | ||
| الشركات الصغيرة والمتوسطة 2.1 | ويندوز 7/2008R2 | تحسين الأداء |
| دعم MTU أكبر | ||
| دعم خدمة BranchCache - وهي آلية تقوم بتخزين الطلبات المرسلة إلى الشبكة العالمية مؤقتًا على الشبكة المحلية | ||
| الشركات الصغيرة والمتوسطة 3.0 | ويندوز 8/2012 | إمكانية إنشاء مجموعة تجاوز فشل شفافة مع توزيع الأحمال |
| دعم الوصول المباشر للذاكرة (RDMA) | ||
| الإدارة عبر Powershell cmdlets | ||
| دعم VSS | ||
| توقيع AES-CMAC | ||
| تشفير AES-CCM | ||
| القدرة على استخدام مجلدات الشبكة للتخزين الآلات الافتراضيةهايبرف | ||
| القدرة على استخدام مجلدات الشبكة لتخزين قواعد بيانات Microsoft SQL | ||
| الشركات الصغيرة والمتوسطة 3.02 | ويندوز 8.1/2012R2 | تحسينات الأمان والأداء |
| التوازن التلقائي في الكتلة | ||
| الشركات الصغيرة والمتوسطة 3.1.1 | ويندوز 10/2016 | دعم تشفير AES-GCM |
| التحقق من النزاهة قبل المصادقة باستخدام تجزئة SHA512 | ||
| "مفاوضات" إلزامية آمنة عند العمل مع عملاء SMB 2.x والإصدارات الأحدث |
نحن نعتبر الضحايا المشروطين
من السهل جدًا عرض إصدار البروتوكول المستخدم حاليًا، ونحن نستخدم الأمر cmdlet لهذا الغرض الحصول على SmbConnection:
يتم إخراج أمر Cmdlet عندما تكون موارد الشبكة مفتوحة على خوادم تعمل بإصدارات مختلفة من Windows.
يُظهر الإخراج أن العميل الذي يدعم كافة إصدارات البروتوكول يستخدم الحد الأقصى النسخة الممكنةمن تلك التي يدعمها الخادم. بالطبع، إذا كان العميل يدعم فقط الإصدار القديم من البروتوكول، وتم تعطيله على الخادم، فلن يتم إنشاء الاتصال. تمكين أو تعطيل الدعم للإصدارات الأقدم في الأنظمة الحديثةيمكن عمل نظام Windows باستخدام الأمر cmdlet مجموعة-SmbServerConfiguration، وانظر الحالة هكذا:
الحصول على – SmbServerConfiguration | حدد EnableSMB1Protocol، EnableSMB2Protocol
قم بتعطيل SMBv1 على خادم يعمل بنظام التشغيل Windows 2012 R2.
النتيجة عند الاتصال بنظام التشغيل Windows 2003.
وبالتالي، إذا قمت بتعطيل البروتوكول القديم الضعيف، فقد تفقد وظائف الشبكة مع العملاء القدامى. علاوة على ذلك، بالإضافة إلى Windows XP و2003، يُستخدم SMB v1 أيضًا في عدد من حلول البرامج والأجهزة (على سبيل المثال، NAS على GNU\Linux باستخدام إصدار قديم من samba).
أسفل الحرق، سأقدم قائمة بالمصنعين والمنتجات التي ستتوقف عن العمل كليًا أو جزئيًا إذا تم تعطيل SMB v1.
| الشركة المصنعة | منتج | تعليق |
| باراكودا | SSL VPN | |
| النسخ الاحتياطية لبوابة أمان الويب | ||
| كانون | المسح الضوئي إلى مورد الشبكة | |
| سيسكو | WSA/WSAv | |
| واس | الإصدارات 5.0 والأقدم | |
| F5 | بوابة عميل RDP | |
| وكيل مايكروسوفت للصرافة | ||
| فورس بوينت (رايثيون) | ""بعض المنتجات"" | |
| إتش بي إي | موصل ArcSight القديم الموحد | الإصدارات القديمة |
| آي بي إم | NetServer | الإصدار V7R2 والأقدم |
| مدير الثغرات الأمنية في QRadar | الإصدارات 7.2.x والأقدم | |
| ليكسمارك | البرامج الثابتة eSF 2.x وeSF 3.x | |
| نواة لينكس | عميل سيفس | من 2.5.42 إلى 3.5.x |
| مكافي | بوابة الويب | |
| مايكروسوفت | ويندوز | XP/2003 وما فوق |
| ميوب | محاسبين | |
| نت اب | أونتاب | الإصدارات تصل إلى 9.1 |
| نت جير | جاهز ناس | |
| أوراكل | سولاريس | 11.3 وما فوق |
| نبض آمن | أجهزة الكمبيوتر | 8.1R9/8.2R4 وما فوق |
| P.S. | 5.1R9/5.3R4 وما فوق | |
| QNAP | جميع أجهزة التخزين | البرامج الثابتة الأقدم من 4.1 |
| ريدهات | RHEL | الإصدارات تصل إلى 7.2 |
| ريكو | MFP، المسح الضوئي لمورد الشبكة | بالإضافة إلى عدد من الموديلات |
| آر إس إيه | خادم إدارة المصادقة | |
| سامبا | سامبا | أكثر من 3.5 |
| سونوس | مكبرات صوت لاسلكية | |
| سوفوس | سوفوس يو تي إم | |
| جدار الحماية سوفوس XG | ||
| سوفوس ويب الأجهزة | ||
| سوزي | SLES | 11 وما فوق |
| سينولوجي | مدير محطة الأقراص | السيطرة فقط |
| طومسون رويترز | جناح CS الاحترافي | |
| تينتري | نظام التشغيل Tintri، مركز Tintri العالمي | |
| إم وير | فيسنتر | |
| إسكسي | أقدم من 6.0 | |
| وورلدوكس | جي اكس 3 دي ام اس | |
| زيروكس | MFP، المسح الضوئي لمورد الشبكة | البرامج الثابتة بدون البرامج الثابتة ConnectKey |
القائمة مأخوذة من موقع Microsoft على الويب، حيث يتم تحديثها بانتظام.
قائمة المنتجات التي تستخدم الإصدار القديم من البروتوكول كبيرة جدًا قبل تعطيل SMB v1، يجب عليك بالتأكيد التفكير في العواقب.
لا يزال إيقاف تشغيله
إذا لم تكن هناك برامج وأجهزة تستخدم SMB v1 على الشبكة، فمن الأفضل بالطبع تعطيل البروتوكول القديم. علاوة على ذلك، إذا تم تنفيذ إيقاف التشغيل على خادم SMB يعمل بنظام التشغيل Windows 8/2012 باستخدام أمر Powershell cmdlet، فستحتاج إلى تحرير السجل بالنسبة لنظام التشغيل Windows 7/2008. ويمكن القيام بذلك أيضًا باستخدام مساعدة بوويرشيل:
مجموعة – إيتمبروبيرتي – المسار "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 – نوع DWORD – القيمة 0 – القوة
أو أي شيء آخر بطريقة مريحة. ومع ذلك، ستكون هناك حاجة إلى إعادة التشغيل لتطبيق التغييرات.
لتعطيل دعم SMB v1 على العميل، ما عليك سوى إيقاف الخدمة المسؤولة عن تشغيلها وإصلاح تبعيات خدمة lanmanworkstation. يمكن القيام بذلك باستخدام الأوامر التالية:
تكوين sc.exe lanmanworkstation يعتمد = bowser/mrxsmb20/nsi تكوين sc.exe mrxsmb10 start = معطل
لتعطيل البروتوكول بسهولة عبر الشبكة، من المناسب استخدام سياسات المجموعة، وخاصة تفضيلات سياسة المجموعة. باستخدامها يمكنك العمل بسهولة مع التسجيل.
إنشاء عنصر التسجيل من خلال سياسات المجموعة.
لتعطيل البروتوكول على الخادم، فقط قم بإنشاء المعلمة التالية:
- القيمة: 0.
المسار: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
المعلمة الجديدة: REG_DWORD بالاسم SMB1؛
قم بإنشاء إعداد تسجيل لتعطيل SMB v1 على الخادم من خلال سياسات المجموعة.
لتعطيل دعم SMB v1 على العملاء، ستحتاج إلى تغيير قيمة معلمتين.
أولاً، قم بتعطيل خدمة بروتوكول SMB v1:
- القيمة: 4.
المسار: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
المعلمة: REG_DWORD بالاسم Start؛
نقوم بتحديث إحدى المعلمات.
ثم سنقوم بتصحيح تبعية خدمة LanmanWorkstation بحيث لا تعتمد على SMB v1:
- القيمة: ثلاثة أسطر - Bowser وMRxSmb20 وNSI.
المسار: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
المعلمة: REG_MULTI_SZ بالاسم DependOnService؛
ونستبدله بواحد آخر.
بعد تطبيق "نهج المجموعة"، يجب عليك إعادة تشغيل أجهزة الكمبيوتر الخاصة بمؤسستك. بعد إعادة التشغيل، لن يتم استخدام SMB v1 بعد الآن.
إنه يعمل - لا تلمسه
ومن الغريب أن هذه الوصية القديمة ليست مفيدة دائمًا - فقد تظهر برامج الفدية وأحصنة طروادة في البنية التحتية التي نادرًا ما يتم تحديثها. ومع ذلك، فإن إيقاف الخدمات وتحديثها بشكل مهمل يمكن أن يؤدي إلى شل عمل المؤسسة تمامًا مثل الفيروسات.
أخبرني، هل قمت بالفعل بتعطيل الإصدار الأول من SMB؟ هل كان هناك العديد من الضحايا؟
أحدث على نطاق واسع هجمات الفيروساتتم توزيعها باستخدام الثغرات وأوجه القصور في بروتوكول SMB1 القديم. لسبب غير مهم، غرفة العمليات نظام ويندوزلا يزال يسمح لها بالعمل بشكل افتراضي. هذا النسخة القديمةيخدم البروتوكول مشاركةالملفات الموجودة على الشبكة المحلية. تعد الإصدارات الأحدث 2 و 3 أكثر أمانًا وتستحق تركها ممكّنة. لذا، بما أنك تستخدم نظام التشغيل الجديد رقم 10 أو النظام السابق - 8 أو حتى النظام القديم بالفعل - 7، فيجب عليك تعطيل هذا البروتوكول على جهاز الكمبيوتر الخاص بك.
يتم تضمينه فقط لأنه لا يزال هناك بعض المستخدمين يستخدمون التطبيقات القديمة التي لم يتم تحديثها في الوقت المناسب للعمل مع SMB2 أو SMB3. قامت Microsoft بتجميع قائمة بها. إذا لزم الأمر، ابحث عنه واعرضه على الإنترنت.
إذا احتفظت بجميع برامجك المثبتة على جهاز الكمبيوتر الخاص بك في حالة جيدة (يتم تحديثها في الوقت المحدد)، فستحتاج على الأرجح إلى تعطيل هذا البروتوكول. سيؤدي هذا إلى زيادة أمان نظام التشغيل الخاص بك والبيانات السرية خطوة أخرى إلى الأمام. بالمناسبة، حتى المتخصصين من الشركة أنفسهم يوصون بإيقاف تشغيله، إذا لزم الأمر.
هل أنت مستعد لإجراء تغييرات؟ ثم دعونا نستمر.
SMB1
افتح "لوحة التحكم"، وانتقل إلى "البرامج" وحدد "تشغيل/إيقاف تشغيل ميزات Windows".
في القائمة، ابحث عن خيار "دعم مشاركة ملفات SMB 1.0/CIFS"، وقم بإلغاء تحديده وانقر فوق "موافق".
أعد تشغيل نظام التشغيل، بعد حفظ جميع ملفاتك التي قمت بتحريرها مسبقًا، مثل المستندات وغيرها.
لنظام التشغيل Windows 7
هذا هو المكان الذي يكون فيه التحرير مفيدًا. تسجيل النظام. هو أداة قويةالنظام وإذا تم إدخال بيانات غير صحيحة فيه، فقد يؤدي ذلك إلى تشغيل غير مستقر لنظام التشغيل. استخدمه بحذر، تأكد من إنشائه أولاً نسخة احتياطيةللتراجع.
افتح المحرر بالضغط على مجموعة المفاتيح Win + R على لوحة المفاتيح وكتابة "regedit" في حقل الإدخال. بعد ذلك اتبع المسار التالي:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
قم بإنشاء قيمة DWORD جديدة 32 بت وقم بتسميتها "SMB1" بالقيمة "0". أعد تشغيل النظام الخاص بك.
انتباه! تعمل هذه الطرق على تعطيل البروتوكول على جهاز كمبيوتر واحد فقط، وليس على الشبكة بأكملها. ارجع إلى وثائق Microsoft الرسمية للحصول على المعلومات التي تهمك.
في مربع الحوارخصائص التسجيل الجديدةحدد ما يلي:
- فعل:يخلق
- شجيرة: HKEY_LOCAL_MACHINE
- المسار إلى القسم:النظام\CurrentControlSet\الخدمات\خادم لانمان\المعلمات
- اسم المعلمة:SMB1
- نوع القيمة:REG_DWORD.
- معنى: 0
سيؤدي هذا إلى تعطيل مكونات خادم SMB الإصدار 1. يجب تطبيق نهج المجموعة هذا على كافة محطات العمل والخوادم ووحدات التحكم بالمجال المطلوبة.
ملحوظة. مرشحات WMIيمكن أيضًا تهيئتها لاستبعاد أنظمة التشغيل غير المدعومة أو الاستثناءات المحددة مثل Windows XP.
انتباه!كن حذرًا عند إجراء تغييرات على وحدات التحكم حيث تكون الأنظمة القديمة مثل Windows XP أو Linux الأحدث وأنظمة الطرف الثالث(التي لا تدعم بروتوكولات SMB الإصدار 2 أو SMB الإصدار 3) تتطلب الوصول إلى SYSVOL أو المجلدات المشتركة الأخرى حيث تم تعطيل الإصدار 1 من SMB.
قم بتعطيل الإصدار 1 من عميل SMB باستخدام "نهج المجموعة".
لتعطيل عميل SMB الإصدار 1، يجب تحديث مفتاح خدمة مفتاح التسجيل لتعطيل MRxSMB10 من البدء، ثم يجب إزالة التبعية على MRxSMB10 من إدخال LanmanWorkstation بحيث يمكن بدء تشغيله بالطريقة القياسية دون مطالبة MRxSMB10 بتشغيله. بدء التشغيل الأول.
يستبدل هذا التحديث القيم الافتراضية في عنصري التسجيل التاليين
HKEY_LOCAL_MACHINE\SYSTEM\مجموعة التحكم الحالي\الخدمات\mrxsmb10
المعلمة: بدء REG_DWORD: 4 = معطل
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanWorkstation
المعلمة: DependOnService REG_MULTI_SZ: "العربة"،"MRxSmb20"،"NSI"
ملحوظة. يحتوي على MRxSMB10 افتراضيًا، والذي تم استبعاده حاليًا باعتباره تبعية
للتكوين باستخدام نهج المجموعة:
- يفتح وحدة التحكم في إدارة نهج المجموعة. انقر بزر الماوس الأيمن على "كائن سياسة المجموعة (GPO)" الذي يجب أن يحتوي على العنصر المفضل الجديد، ثم انقر فوق "تحرير".
- في شجرة وحدة التحكم في القسم تكوين الكمبيوترقم بتوسيع مجلد الإعدادات، ثم قم بتوسيع مجلد إعدادات Windows.
- انقر بزر الماوس الأيمن فوق عقدة التسجيل، ثم انقر فوق جديد، ثم حدد عنصر التسجيل.
في مربع الحوار خصائص التسجيل الجديدةحدد ما يلي:
- الإجراء: تحديث
- بوش: HKEY_LOCAL_MACHINE
- مسار التقسيم: SYSTEM\CurrentControlSet\services\mrxsmb 10
- اسم المعلمة: ابدأ
- نوع القيمة: REG_DWORD.
- قيمة البيانات: 4
ثم قم بإزالة التبعية في MRxSMB10 التي تم تعطيلها
في مربع الحوار خصائص التسجيل الجديدةحدد ما يلي:
- الإجراء: استبدال
- بوش: HKEY_LOCAL_MACHINE
- مسار القسم: SYSTEM\CurrentControlSet\Services\Lanman Workstation
- اسم المعلمة: DependOnService
- نوع المعلمة REG_MULTI_SZ
- قيمة البيانات:
- العربة
- MRxSmb20
ملحوظة. لن تحتوي هذه الخطوط الثلاثة على علامات (انظر أدناه)
تحتوي القيم الافتراضية على MRxSMB10 في عدد كبير من إصدارات Windows، لذا فإن استبدالها بسلسلة متعددة القيم سيؤدي إلى إزالة MRxSMB10 باعتباره تبعية لـ LanmanServer والانتقال من القيم الافتراضية الأربع إلى القيم الثلاث الموضحة فقط فوق.
ملحوظة. عند استخدام وحدة التحكم في إدارة نهج المجموعة، لا تحتاج إلى استخدام علامات الاقتباس أو الفواصل. فقط أدخل كل إدخال في سطر منفصل على النحو الوارد أعلاه
إعادة التشغيل المطلوبة:
بمجرد تطبيق السياسة وإدخال إعدادات التسجيل، سيتم تعطيل الإصدار 1 من SMB عند إعادة تشغيل النظام.
تعليق توضيحي
إذا كانت كافة الإعدادات موجودة في نفس كائن نهج المجموعة (GPO)، فستعرض إدارة نهج المجموعة الإعدادات أدناه.
الاختبار والتحقق
بمجرد التكوين، قم بمنح الإذن للسياسة لإجراء النسخ المتماثل والتحديث. نظرًا لأن ذلك ضروري للاختبار، قم بتشغيل gpupdate /force من سطر CMD.EXE ثم استعرض الأجهزة المستهدفة للتأكد من تطبيق إعدادات التسجيل بشكل صحيح. تأكد من تشغيل الإصدار 2 من SMB والإصدار 3 من SMB لجميع الأنظمة في البيئة.
انتباه! لا تنس إعادة تشغيل الأنظمة المستهدفة.
إذا كنت تستخدم نظام التشغيل Windows 10 ولا يمكنك فتح مجلدات الشبكة على أجهزة الشبكة الأخرى (NAS، Samba خوادم لينكس) أو على أجهزة الكمبيوتر ذات الإصدارات الأقدم من Windows (Windows 7/ XP / 2003)، على الأرجح أن المشكلة ترجع إلى حقيقة أن الإصدار الجديد من Windows 10 الخاص بك قد قام بتعطيل دعم الإصدارات القديمة وغير الآمنة من بروتوكول SMB (المستخدم في Windows للوصول إلى مجلدات وملفات الشبكة المشتركة). لذلك، بدءًا من نظام التشغيل Windows 10 1709، تم تعطيل بروتوكول SMBv1 والوصول المجهول (الضيف) إلى مجلدات الشبكة باستخدام بروتوكول SMBv2.
تقوم Microsoft بشكل منهجي بتعطيل الإصدارات القديمة وغير الآمنة من بروتوكول SMB في جميع الإصدارات الحديثة إصدارات ويندوز. منذ نظام التشغيل Windows 10 1709 و خادم ويندوز 2019 (سواء في مركز البيانات أو المعيار) في نظام التشغيلافتراضيًا (تذكر الهجوم، الذي تم تنفيذه بدقة من خلال ثغرة في SMBv1).
تعتمد الإجراءات المحددة التي يجب اتخاذها على الخطأ الذي يظهر في نظام التشغيل Windows 10 عند الوصول إلى مجلد مشترك وعلى إعدادات خادم SMB البعيد الذي يتم تخزين المجلدات المشتركة عليه.
لا يمكنك الوصول إلى مجلد مشترك كضيف دون المصادقة
بدءًا من Windows 10 الإصدار 1709 (Fall Creators Update) Enterprise وEducation، بدأ المستخدمون يشتكون من أنه عندما حاولوا فتح مجلد شبكة على جهاز كمبيوتر مجاور، بدأ خطأ في الظهور:
لا يمكنك الوصول إلى هذا المجلد المشترك لأن سياسات الأمان الخاصة بمؤسستك تمنع وصول الضيف غير المصادق عليه. تساعد هذه السياسات على حماية جهاز الكمبيوتر الخاص بك من الأجهزة غير الآمنة أو الضارة الموجودة على شبكتك. حدث خطأ أثناء إعادة الاتصال Y: بـ \\nas1\shareمايكروسوفت ويندوز
الشبكة: لا يمكنك الوصول إلى هذا المجلد المشترك لأن سياسات الأمان الخاصة بمؤسستك تمنع وصول الضيف غير المصادق عليه. تساعد هذه السياسات على حماية جهاز الكمبيوتر الخاص بك من الأجهزة غير الآمنة أو الضارة الموجودة على الشبكة. علاوة على ذلك، على أجهزة الكمبيوتر الأخرى التي تعمل بإصدارات أقدم من Windows 8.1/7 أو على Windows 10 بإصدار قبل 1709، نفس الشيءأدلة الشبكة فتح بشكل طبيعي. ترجع هذه المشكلة إلى حقيقة أنه في الإصدارات الحديثة من نظام التشغيل Windows 10 (بدءًا من 1709)، يُحظر افتراضيًا الوصول إلى مجلدات الشبكة ضمن حساب الضيف عبر بروتوكول SMBv2 (والإصدارات الأقل). وصول الضيف (المجهول) يعني الوصول إلىمجلد الشبكة
بدون مصادقة. عند الوصول من خلال حساب ضيف عبر بروتوكول SMBv1/v2، لا يتم تطبيق طرق حماية حركة المرور مثل توقيع SMB، مما يجعل جلستك عرضة لهجمات MiTM (man-in-the-middle).
المصدر: معرف الحدث Microsoft-Windows-SMBClient: 31017 تم رفض تسجيل دخول ضيف غير آمن.
في معظم الحالات، يمكن مواجهة هذه المشكلة عند استخدام الإصدارات الأقدم من NAS (عادةً ما تتضمن وصول الضيف لسهولة الإعداد) أو عند الوصول إلى مجلدات الشبكة على الإصدارات الأقدم من Windows 7/2008 R2 أو Windows XP/2003 مع إعدادات (ضيف) الوصول (انظر في إصدارات مختلفةويندوز).
في هذه الحالة، توصي Microsoft بتغيير الإعدادات إلى الكمبيوتر البعيدأو جهاز NAS الذي يقوم بتوزيع مجلدات الشبكة. يُنصح بتبديل مورد الشبكة إلى وضع SMBv3. وإذا كان بروتوكول SMBv2 فقط مدعومًا، فقم بتكوين الوصول باستخدام المصادقة. هذا هو الأصح و طريقة آمنةحل المشكلة.
اعتمادًا على الجهاز الذي تم تخزين مجلدات الشبكة عليه، يجب عليك تعطيل وصول الضيف عليها.
هناك طريقة أخرى - قم بتغيير إعدادات عميل SMB الخاص بك والسماح بالوصول منه إلى مجلدات الشبكة ضمن حساب الضيف.
للسماح بوصول الضيف من جهاز الكمبيوتر الخاص بك، افتح المحرر سياسات المجموعة(gpedit.msc) وانتقل إلى: تكوين الكمبيوتر -> قوالب الإدارة -> الشبكة -> محطة عمل Lanman ( تكوين الكمبيوتر -> القوالب الإدارية -> الشبكة -> محطة عمل Lanman). تمكين السياسة تمكين عمليات تسجيل دخول الضيوف غير الآمنة.
أولئك. تظهر رسالة الخطأ بوضوح أن مجلد الشبكة يدعم فقط بروتوكول الوصول SMBv1. في هذه الحالة، يجب أن تحاول إعادة تكوين جهاز SMB البعيد لدعم SMBv2 على الأقل (المسار الصحيح والآمن).
إذا تم توزيع مجلدات الشبكة بواسطة Samba على Linux، فيمكنك تحديد الحد الأدنى من الإصدار المدعوم من SMB في ملف smb.conf مثل هذا:
بروتوكول الحد الأدنى للخادم = بروتوكول الحد الأقصى لعميل SMB2_10 = بروتوكول الحد الأدنى لعميل SMB3 = كلمات مرور تشفير SMB2_10 = تقييد حقيقي مجهول = 2
في نظام التشغيل Windows 7/Windows Server 2008 R2، يمكنك تعطيل SMBv1 وتمكين SMBv2 مثل هذا:
مجموعة-ItemProperty - المسار "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 - نوع DWORD -القيمة 0 -القوة
تعطيل-WindowsOptionalFeature -Online -اسم الميزة "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true
إذا كان جهاز الشبكة الخاص بك (NAS وWindows XP وWindows Server 2003) يدعم فقط بروتوكول SMB1، ففي نظام التشغيل Windows 10، يمكنك تمكين مكون SMB1Protocol-Client المنفصل. ولكن هذا لا ينصح!!!
قم بتشغيل وحدة تحكم PowerShell وتأكد من تعطيل SMB1Protocol-Client (الحالة: معطل):
احصل على WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
تمكين دعم بروتوكول SMBv1 (يلزم إعادة التشغيل):
تمكين-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
يمكنك أيضًا تمكين/تعطيل الميزات الإضافية مكونات ويندوز 10 (بما في ذلك SMBv1) من القائمة Optionalfeatures.exe -> SMB 1.0/CIFS File Sharing Support
في نظام التشغيل Windows 10 1709 والإصدارات الأحدث، تتم إزالة عميل SMBv1 تلقائيًا إذا لم يتم استخدامه لأكثر من 15 يومًا (يكون مكون الإزالة التلقائية SMB 1.0/CIFS مسؤولاً عن ذلك).
في هذا المثال، قمت بتمكين عميل SMBv1 فقط. لا تقم بتمكين ميزة SMB1Protocol-Server إلا إذا تم استخدام جهاز الكمبيوتر الخاص بك من قبل العملاء القدامى كخادم مجلد عام.
بعد تثبيت عميل SMBv1، يجب أن تكون قادرًا على الاتصال بمجلد الشبكة أو الطابعة دون أي مشاكل. ومع ذلك، عليك أن تفهم أن استخدام هذا الحل البديل غير مستحسن، لأن... يعرض النظام الخاص بك للخطر.
توضح هذه المقالة كيفية إعداد مشاركة الملفات والمجلدات بدون كلمة مرور على نظام التشغيل Windows 10.
ستتناول هذه التعليمات أبسط حالة لإعداد الوصول المشترك إلى مجلدات Windows 10 عندما تحتاج إلى توفير الوصول إلى موارد Windows 10 المشتركة دون كلمة مرور. هذا هو الوضع الأكثر شيوعًا في الشبكات المنزلية وشبكات المكاتب الصغيرة. يفترض هذا الإعداد أن الوصول إلى الشبكة سيكون بدون كلمة مرور، وبدون قيود.
ملحوظة. إذا كان لديك نظام التشغيل Windows 10 2017 أو 2018 وتواجه المشكلة " لا يرى Windows 10 أجهزة الكمبيوتر الأخرى على الشبكة المحلية"، ثم اقرأ مقالًا آخر -. فهو يصف حلاً لمشكلة توصيل Windows 10 بالإصدارات الأقدم من Windows. قد تكون هذه المقالة ذات صلة أيضًا بـ اتصالات ويندوز 10 إلى الإصدارات الأقدم من Linux.
ولكن في بداية نظرية صامتة.
الشبكات المحلية والعالمية
يوجد اليوم شبكة كمبيوتر عالمية واحدة فقط، وهي الإنترنت. تختلف شبكات الكمبيوتر المحلية عن الشبكات العالمية في العوامل التالية:
- عدد أجهزة الكمبيوتر المتصلة بهذه الشبكة.
- كمية ونوعية الموارد المشتركة (المتاحة) في هذه الشبكة.
في الشبكة العالميةترتبط شبكة الإنترنت بمئات الملايين (وربما أكثر من مليار) جهاز كمبيوتر. توفر هذه الحواسيب عدد كبيرموارد من أنواع مختلفة. وأكثرها شيوعا هي النص و المعلومات الرسومية. بالإضافة إلى المعلومات نفسها على الإنترنت، من الممكن أيضًا معالجة هذه المعلومات - هناك خدمات للعمل مع الصور والمستندات. تتوفر أيضًا على الإنترنت خدمات لا تتعلق بموضوعات الكمبيوتر، على سبيل المثال، بيع السلع والخدمات (على سبيل المثال، بيع التذاكر لمختلف وسائل النقل).
إلى المحلية شبكة الكمبيوترفي أغلب الأحيان، يتم الجمع بين جهازين أو عدة أجهزة كمبيوتر. وفي كثير من الأحيان، يمكن أن يصل عدد أجهزة الكمبيوتر الموجودة على الشبكة المحلية إلى عدة عشرات أو مئات (في المؤسسات التجارية أو الحكومية الكبيرة). كقاعدة عامة، يتم توزيع عدد قليل فقط من الموارد على الشبكات المحلية - الملفات والطابعات والماسحات الضوئية والوصول إلى الإنترنت.
تتصل أجهزة الكمبيوتر فعليًا بالشبكة إما باستخدام كابل أو عبر إشارة راديو (WiFi). ولكن على أية حال، يتم إعداد الشبكة المحلية بنفس الطريقة.
إذن، ما الذي يجب القيام به وبأي ترتيب لتكوين شبكة Windows 10؟
مشاركة ويندوز 10 بدون كلمة مرور
ستصف هذه التعليمات كيفية إعداد شبكة Windows 10 بحيث يتم توفير الوصول المشترك إلى المجلدات (الملفات) والطابعات دون الحاجة إلى كلمة مرور. هذا خيار شبكة موثوق به. هذا النوع من تنظيم شبكة الكمبيوتر المحلية هو الأكثر ملاءمة للاستخدام (لا حاجة لتذكر كلمات المرور لكل كمبيوتر).
علاوة على ذلك، فإن إنشاء وصيانة مثل هذه الشبكة أسهل.
من الأفضل البدء في إعداد شبكة محلية عن طريق التحقق من الشروط اللازمة.
التحقق من اتصال الشبكة المحلية أولاً، تحتاج إلى التحقق مما إذا كان جهاز الكمبيوتر الخاص بك لديه اتصال بالشبكة المحلية. للقيام بذلك، تحتاج إلى فتح التطبيق الصغير لمحولات الشبكة واتصالات الشبكة المتوفرة. أسهل طريقة لفتح هذا التطبيق الصغير هي من خلال " ينفذ ويندوز + ر ncpa.cpl وانقر على "":
ملحوظةنعم : هناك طريق أطول - افتح "" وانقر على الرابط هناك "".
تغيير إعدادات المحول
هذا ما يبدو عليه برنامج اتصالات الشبكة: يوضح هذا المثال وجود محول شبكة فعلي على الكمبيوتر، كما يوجد أيضًا اتصال بالشبكة المحلية. يستخدم هذا المثالاتصال الكابل إلى الشبكة المحلية (إيثرنت).إذا تم الاتصال عبر محول واي فاي 802-11".
سيتم استدعاؤه " اتصال لاسلكي":
- الأخطاء المحتملة التي يمكن العثور عليها في التطبيق الصغير "
- اتصالات الشبكة قد لا يحتوي هذا التطبيق الصغير على محولات على الإطلاق - في هذه الحالة، تحتاج إلى التحقق من قائمة المعدات (إدارة الأجهزة)..
- هذا يعني أنه لا يوجد اتصال فعلي بالشبكة المحلية. تحتاج إلى التحقق من الكابلات. في حالة WiFi، هذا يعني أن الكمبيوتر غير متصل بنقطة وصول WiFi (جهاز التوجيه). قد يحتوي المحول على النقش "شبكة مجهولة
". وهذا يعني أن هناك اتصالاً فعليًا بالشبكة المحلية، لكن الكمبيوتر غير قادر على استقبال إعدادات هذه الشبكة. يحدث هذا غالبًا في حالة عدم وجود جهاز توجيه على الشبكة المحلية وتحتاج إلى تحديد الشبكة المحلية يدويًا حدود. بواسطةويندوز الافتراضي تم تكوينه لتلقي إعدادات الشبكة تلقائيًا من جهاز توجيه الشبكة. إذا كان هناك جهاز توجيه على الشبكة المحلية، فأنت بحاجة فقط إلى توصيلهكابل الشبكة أو الاتصال بالنقطةوصول واي فاي . إذا لم يكن هناك جهاز توجيه على الشبكة المحلية، ويحدث هذا أحيانًا عند استخدام شبكات الكابلات الصغيرة، فستحتاج إلى التحديد يدويًاإعدادات الشبكة في الخصائصمحول الشبكة . اقرأ المزيد عنالإعداد اليدوي
تمت كتابة إعدادات الشبكة المحلية في المقالة "إعداد شبكة بين Linux و Windows".تم وصف الإعداد هناك لنظام التشغيل Windows XP، ولكن بالنسبة لنظام التشغيل Windows 10 سيكون هو نفسه تمامًا. الخطوة التاليةهذا هو التحقق من اسم الكمبيوتر ومجموعة العمل. أولاً، تحتاج إلى التحقق مما إذا كان جهاز الكمبيوتر الخاص بك لديه اتصال بالشبكة المحلية. للقيام بذلك، تحتاج إلى فتح التطبيق الصغير لمحولات الشبكة واتصالات الشبكة المتوفرة. أسهل طريقة لفتح هذا التطبيق الصغير هي من خلال "للقيام بذلك، تحتاج إلى فتح التطبيق الصغير " ينفذخصائص النظام "أسهل طريقة لفتح هذا التطبيق الصغير هي من خلال مربع الحوار" ncpa.cpl وانقر على "":
". يمكن الوصول إليه من خلال قائمة "ابدأ" أو عن طريق الضغط على المفاتيح الخطوة التاليةعلى لوحة المفاتيح. في هذه النافذة أكتب sysdm.cpl"):
هذا ما يبدو عليه التطبيق الصغير"
- "(تحتاج إلى فتح علامة التبويب""اسم الكمبيوتر
- هنا تحتاج إلى التحقق:الاسم الكامل
- أن لا تكون مكتوبة باللغة السيريلية وأن لا تحتوي على مسافات.
إذا كنت بحاجة إلى تغيير اسم الكمبيوتر أو مجموعة العمل، فانقر فوق الزر "تغيير". بعد هذا التغيير، سوف تحتاج إلى إعادة تشغيل Windows.
يفتح الآن يمكنك المتابعة إلى التكوينشبكة ويندوز إعداد شبكة ويندوز 10"مستكشف ويندوز"
وفيه ابحث عن العنصر وافتحه " شبكة":
ملحوظة". بشكل افتراضي، يتم تعطيل المشاركة على نظام التشغيل Windows 10 وعندما تفتح الشبكة، ستكون هناك رسالة تحذير في الأعلى: تحتاج إلى النقر فوق هذا النقش ثم تحديد العنصر "تمكين اكتشاف الشبكة ومشاركة الملفات : طريقة أخرى لتمكين اكتشاف الشبكة ومشاركة الملفات عبر "" ثم افتح ملف التعريف المطلوب.
بعد ذلك الآن يمكنك المتابعة إلى التكوينسيطالبك بتحديد نوع الشبكة، حيث يتعين عليك تحديد الخيار الأول:
ملحوظة: إذا كنت بحاجة لاحقًا إلى تغيير نوع الشبكة - التعليمات في المقالة "تغيير نوع الشبكة لنظام التشغيل Windows 10".
بعد ذلك "مستكشف ويندوز" سيعرض قائمة بأجهزة الكمبيوتر الموجودة على الشبكة المحلية:
يمكنك الآن الوصول إلى المجلدات المشتركة الموجودة على أجهزة الكمبيوتر هذه.
تسجيل الدخول عبر الشبكة المحليةإلى جهاز كمبيوتر يسمى "الصفحة الرئيسية":
الخطوة التالية هي تكوين مشاركة مجلد Windows 10.
كيفية إعداد مشاركة المجلدات في نظام التشغيل Windows 10
في "مستكشف ويندوز"حدد موقع المجلد الذي تريد مشاركته. انقر فوق هذا المجلد الزر الأيمنالماوس وحدد " ملكيات" (في هذا الرسم التوضيحي يسمى المجلد lan):
ملحوظة: يجب أن يكون اسم المجلد باللغة اللاتينية وبدون مسافات.
في نافذة خصائص المجلد، تحتاج إلى فتح علامة التبويب " وصول"ثم اضغط على الزر" مشاركة ":
في النافذة التالية، تحتاج إلى فتح قائمة المستخدمين المحليين (الحسابات الموجودة على هذا الكمبيوتر) وتحديد "الكل" من هذه القائمة:
بعد ذلك، انقر فوق الزر "إضافة":
بعد ذلك، تحتاج إلى تحديد حقوق الوصول للقراءة والكتابة لمجموعة "الجميع":
بعد ذلك عليك الضغط على زر "إنهاء":
وبعد ذلك ستفتح النافذة مرة أخرى." خصائص المجلد". في ذلك يمكنك التحقق من علامة التبويب " أمان"يجب أن يكون هناك حق الوصول الكامل للمجموعة" الجميع" (يقوم Windows تلقائيًا بتغيير أذونات الملفات أنظمة NTFS):
هذا كل شيء، تم الانتهاء من إعداد الوصول إلى مجلد معين. إذا كنت تريد مشاركة مجلد آخر، فيجب تكرار هذه الخطوات لكل مجلد.
ملحوظة: يشارك ملفات منفصلةلا حاجة. سيتم الوصول إلى كافة الملفات الموجودة في المجلد المشترك عبر الشبكة. وسيكون كل ذلك متاحًا أيضًا عبر الإنترنت متداخلةالمجلدات.
بقي خطوة أخيرة..
بحاجة إلى فتح" تحتاج إلى النقر فوق هذا النقش ثم تحديد العنصر "" وعلى الجانب الأيسر انقر على " تغيير خيارات المشاركة المتقدمة":
في النافذة التالية تحتاج إلى فتح ملف التعريف الخاص بك " جميع الشبكات":
وهناك قم بتعطيل الخيار " الوصول المشترك مع حماية كلمة المرور" وبالطبع انقر فوق الزر "حفظ التغييرات":
يكتمل هذا إعداد الوصول إلى الشبكة بدون كلمة مرور لنظام التشغيل Windows 10. يمكنك الآن تسجيل الدخول إلى هذا الكمبيوتر عبر الشبكة المحلية ولن يطلب منك Windows إدخال كلمة مرور.
للتحقق، دعنا ننتقل إلى جهاز كمبيوتر يعمل بنظام Windows 10 من جهاز كمبيوتر يعمل بنظام Windows XP:
يتم فتح المجلد المشترك "lan" ويمكنك تحرير وإنشاء الملفات فيه عبر الشبكة المحلية.
ولكن إذا كان Windows يتطلب كلمة مرور للشبكة
على الرغم من أنه تم إجراء الإعدادات الموضحة أعلاه، عند تسجيل الدخول إلى هذا الكمبيوتر، قد يطلب كمبيوتر آخر كلمة مرور الشبكة. وهذا ممكن في حالتين.
المستخدمون المحليون الذين يحملون نفس الاسم (تسجيل الدخول)
لدى كلا الجهازين مستخدمين محليين بنفس الاسم ولكن بكلمات مرور مختلفة.
مثال. هناك Comp1 وComp2. كل واحد منهم لديه مستخدم اسمه المستخدم. لكن في Comp1، كلمة مرور المستخدم هي 123، وفي Comp2 هي 456. عند محاولة تسجيل الدخول إلى الشبكة، سيطلب النظام كلمة مرور.
حل. أو قم بإزالة تسجيلات دخول المستخدم المطابقة. أو بالنسبة للمستخدمين الذين لديهم نفس معلومات تسجيل الدخول، حدد نفس كلمة المرور. تعتبر كلمة المرور الفارغة هي نفسها أيضًا.
لا يوجد مستخدمون محليون على نظام التشغيل Windows 10
في نظام التشغيل Windows 10، يمكنك تسجيل الدخول والعمل باستخدام حساب Microsoft إذا كان لديك إمكانية الوصول إلى الإنترنت. في هذه الحالة، الوضع ممكن عندما تثبيت ويندوز 10، لم يتم إنشاء مستخدم محلي على الإطلاق (تم تسجيل الدخول عبر حسابمايكروسوفت). في هذه الحالة، سيطلب Windows أيضًا كلمة مرور عند تسجيل الدخول عبر الشبكة المحلية.
حل. قم بإنشاء مستخدم محلي على جهاز الكمبيوتر الذي يعمل بنظام Windows 10.
إذا كانت هناك أجهزة كمبيوتر قديمة على شبكتك المحلية
إذا كانت هناك أجهزة كمبيوتر على شبكتك المحلية تعمل بإصدارات أقدم من Windows أو Linux، فقد تواجه مشكلة حيث لا "يرى" Windows 10 أجهزة الكمبيوتر هذه.
قد يكون السبب في ذلك أحدث الإصداراتقام Windows 10 بتعطيل دعم الإصدار 1 من بروتوكول SMB. تمت كتابة كيفية تمكين الدعم لإصدار SMB 1 في المقالة الشبكة المحلية بين Windows 10 وWindows XP.
قم بإلغاء مشاركة مجلد Windows 10
في نظام التشغيل Windows 10، لا يعد إلغاء المشاركة أمرًا واضحًا على الإطلاق (على عكس نظام التشغيل Windows XP). في "علامة التبويب" وصول"(خصائص المجلد) لا يوجد خيار، كما كان الحال في نظام التشغيل Windows XP. لا فائدة من النقر فوق الزر "مشاركة"، ولا يمكنك إلغاء المشاركة هناك.
الآن، لإلغاء المشاركة، عليك الانتقال إلى " وصول"اضغط على الزر" الإعداد المتقدم":
وقم بتعطيل الوصول هناك (قم بإلغاء تحديد خيار "مشاركة هذا المجلد"):
كما يقولون، "خمن ثلاث مرات".
مشاركة مجلد Windows 10 عبر سطر الأوامر
كل شيء يمكن القيام به بشكل أسرع بكثير إذا كنت تستخدمه سطر الأوامر(وحدة التحكم، cmd.exe). لا يوجد سوى فريقين:
صافي حصة lan=c:\lan
صافي حصة الشبكة المحلية / حذف
الأمر الأول يشارك المجلد عشيرةويحدد اسم الشبكة لها الشبكة المحلية.
الأمر الثاني يحذف مجلد الشبكة (العام). الشبكة المحلية.المجلد الحقيقي عشيرةبالطبع يبقى في مكانه.
مشاركة ملفات Windows 10 باستخدام الأداة الإضافية Shared Folders
المدرجة في مجموعة الأدوات إدارة ويندوز 10 نعم برنامج خاص(أداة إضافية) لإدارة الموارد المشتركة على جهاز الكمبيوتر. يطلق عليه "المجلدات المشتركة" ويمكنك تشغيله باستخدام الأمر fsmgmt.msc(في وحدة التحكم أو عبر Win + R):
وبدلاً من ذلك، يمكن فتح هذه الأداة الإضافية من خلال قائمة "ابدأ": "لوحة التحكم - الأدوات الإدارية - إدارة الكمبيوتر - المجلدات المشتركة".
مشاركة الطابعة في نظام التشغيل Windows 10
يتم تكوين مشاركة الطابعة بنفس طريقة تكوين المجلد.
تحتاج إلى فتح التطبيق الصغير "الأجهزة والطابعات"، والعثور على الطابعة المطلوبة هناك، وفتح خصائصها وتحديد معلمات الوصول إلى الشبكة في علامة التبويب "الوصول".
إنشاء شبكة محلية لأنظمة التشغيل الأخرى ويندوز
إذا كنت تعيش في كراسنودار وتحتاج إلى إعداد شبكة محلية فيها .
إيفان سوخوف، 2017، 2019 إذا وجدت هذه المقالة مفيدة أو أعجبتك ببساطة، فلا تتردد في دعم المؤلف ماليًا. من السهل القيام بذلك عن طريق رمي الأموالمحفظة ياندكس رقم 410011416229354 +7 918-16-26-331 .
. أو على الهاتف