På grunn av den siste epidemien WannaCry løsepengevare utnytter SMB v1-sårbarheten, har råd om å deaktivere denne protokollen dukket opp igjen på nettverket. Dessuten anbefalte Microsoft på det sterkeste å deaktivere den første versjonen av SMB tilbake i september 2016. Men en slik frakobling kan føre til uventede konsekvenser, til og med morsomme ting: Jeg kom personlig over et selskap der Sonos trådløse høyttalere sluttet å spille etter å ha kjempet mot SMB.
Spesielt for å minimere sannsynligheten for å bli "skutt i foten", vil jeg minne deg på funksjonene til SMB og vurdere i detalj konsekvensene av uoverveid å deaktivere de eldre versjonene.
SMB(Server Message Block) – nettverksprotokoll for ekstern tilgang til filer og skrivere. Dette er det som brukes når ressurser kobles til via \servernavn\delenavn. Protokollen fungerte i utgangspunktet på toppen av NetBIOS, ved å bruke UDP-portene 137, 138 og TCP 137, 139. Med utgivelsen av Windows 2000 begynte den å fungere direkte ved å bruke TCP-port 445. SMB brukes også til å logge inn og jobbe i en Active Directory-domene.
I tillegg til ekstern tilgang til ressurser, brukes protokollen også for interprosessorkommunikasjon gjennom "navngitte strømmer" - navngitte rør. Prosessen åpnes langs banen \.\pipe\navn.
Den første versjonen av protokollen, også kjent som CIFS (Common Internet File System), ble opprettet tilbake på 1980-tallet, men den andre versjonen dukket kun opp med Windows Vista, i 2006. Den tredje versjonen av protokollen ble utgitt med Windows 8. Parallelt med Microsoft ble protokollen opprettet og oppdatert i den åpne implementeringen Samba.
I hver ny versjon Ulike forbedringer ble lagt til protokollen med sikte på å øke ytelsen, sikkerheten og støtte for nye funksjoner. Men samtidig forble støtte for gamle protokoller for kompatibilitet. Selvfølgelig var og er det ganske mange sårbarheter i eldre versjoner, hvorav en utnyttes av WannaCry.
Under spoileren finner du en sammendragstabell over endringer i SMB-versjoner.
| Versjon | operativsystem | Lagt til sammenlignet med forrige versjon |
| SMB 2.0 | Windows Vista/2008 | Antallet protokollkommandoer har endret seg fra 100+ til 19 |
| Mulighet for "transportør"-arbeid - sende ytterligere forespørsler før du mottar svar på den forrige | ||
| Symbolsk lenkestøtte | ||
| Signering av HMAC-meldinger med SHA256 i stedet for MD5 | ||
| Øk hurtigbuffer og skrive-/leseblokker | ||
| SMB 2.1 | Windows 7/2008R2 | Forbedret ytelse |
| Større MTU-støtte | ||
| Støtte for BranchCache-tjenesten - en mekanisme som cacher forespørsler til det globale nettverket på det lokale nettverket | ||
| SMB 3.0 | Windows 8/2012 | Mulighet for å bygge en transparent failover-klynge med lastfordeling |
| Støtte for direkte minnetilgang (RDMA) | ||
| Administrer via Powershell cmdlets | ||
| VSS-støtte | ||
| AES–CMAC-signatur | ||
| AES–CCM-kryptering | ||
| Evne til å bruke nettverksmapper for lagring virtuelle maskiner HyperV | ||
| Evne til å bruke nettverksmapper til å lagre Microsoft SQL-databaser | ||
| SMB 3.02 | Windows 8.1/2012R2 | Sikkerhet og ytelsesforbedringer |
| Automatisk balansering i en klynge | ||
| SMB 3.1.1 | Windows 10/2016 | Støtte for AES–GCM-kryptering |
| Integritetssjekk før autentisering ved hjelp av SHA512-hash | ||
| Obligatoriske sikre "forhandlinger" når du arbeider med SMB 2.x-klienter og høyere |
Vi vurderer betinget ofre
Det er ganske enkelt å se den gjeldende protokollversjonen vi bruker cmdlet for dette Get-SmbConnection:
Cmdlet-utgang når nettverksressurser er åpne på servere med annen versjon Windows.
Utdataene viser at en klient som støtter alle protokollversjoner bruker maksimalt mulig versjon fra de som støttes av serveren. Selvfølgelig, hvis klienten bare støtter gammel versjon protokollen, men på serveren vil den bli deaktivert - forbindelsen vil ikke bli etablert. Aktiver eller deaktiver støtte for eldre versjoner i moderne Windows-systemer du kan bruke cmdleten Set–SmbServerConfiguration, og se staten slik:
Get–SmbServerConfiguration | Velg EnableSMB1Protocol, EnableSMB2Protocol
Deaktiver SMBv1 på en server som kjører Windows 2012 R2.
Resultat når du kobler til Windows 2003.
Dermed, hvis du deaktiverer den gamle, sårbare protokollen, kan du miste funksjonaliteten til nettverket med gamle klienter. Dessuten, i tillegg til Windows XP og 2003, brukes SMB v1 også i en rekke programvare- og maskinvareløsninger (for eksempel NAS på GNU\Linux med en gammel versjon av samba).
Under spoileren vil jeg gi en liste over produsenter og produkter som helt eller delvis slutter å fungere hvis SMB v1 er deaktivert.
| Produsent | Produkt | Kommentar |
| Barracuda | SSL VPN | |
| Sikkerhetskopiering av nettsikkerhetsgateway | ||
| Canon | Skann til en nettverksressurs | |
| Cisco | WSA/WSAV | |
| WAAS | Versjoner 5.0 og eldre | |
| F5 | RDP klient gateway | |
| Microsoft Exchange Proxy | ||
| Forcepoint (Raytheon) | "Noen produkter" | |
| HPE | ArcSight Legacy Unified Connector | Gamle versjoner |
| IBM | NetServer | Versjon V7R2 og eldre |
| QRadar Vulnerability Manager | Versjoner 7.2.x og eldre | |
| Lexmark | Firmware eSF 2.x og eSF 3.x | |
| Linux-kjernen | CIFS-klient | Fra 2.5.42 til 3.5.x |
| McAfee | Nettgateway | |
| Microsoft | Windows | XP/2003 og eldre |
| MYOB | Regnskapsførere | |
| NetApp | ONTAP | Versjoner opp til 9.1 |
| NetGear | KlarNAS | |
| Oracle | Solaris | 11.3 og eldre |
| Pulssikker | PCS | 8.1R9/8.2R4 og eldre |
| P.P.S. | 5.1R9/5.3R4 og eldre | |
| QNAP | Alle lagringsenheter | Firmware eldre enn 4.1 |
| RedHat | RHEL | Versjoner opp til 7.2 |
| Ricoh | MFP, skanner til nettverksressurs | I tillegg til en rekke modeller |
| RSA | Authentication Manager Server | |
| Samba | Samba | Over 3,5 |
| Sonos | Trådløse høyttalere | |
| Sophos | Sophos UTM | |
| Sophos XG brannmur | ||
| Sophos Web Appliance | ||
| SUSE | SLES | 11 og eldre |
| Synologi | Diskstasjon Manager | Kun kontroll |
| Thomson Reuters | CS Professional Suite | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Eldre enn 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | MFP, skanner til nettverksressurs | Fastvare uten ConnectKey Firmware |
Listen er hentet fra Microsofts nettside, hvor den oppdateres jevnlig.
Listen over produkter som bruker den gamle versjonen av protokollen er ganske stor før du deaktiverer SMB v1, du bør definitivt tenke på konsekvensene.
Slår den fortsatt av
Hvis det ikke er noen programmer og enheter som bruker SMB v1 på nettverket, er det selvfølgelig bedre å deaktivere den gamle protokollen. Dessuten, hvis avslutning på en Windows 8/2012 SMB-server utføres ved hjelp av Powershell-cmdleten, må du for Windows 7/2008 redigere registret. Dette kan også gjøres med Powershell hjelp:
Set–ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Type DWORD –Verdi 0 –Force
Eller hvilken som helst annen på en praktisk måte. En omstart vil imidlertid være nødvendig for å bruke endringene.
For å deaktivere SMB v1-støtte på klienten, stopper du bare tjenesten som er ansvarlig for driften og fikser avhengighetene til lanmanworkstation-tjenesten. Dette kan gjøres med følgende kommandoer:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start=deaktivert
For å enkelt deaktivere protokollen i hele nettverket, er det praktisk å bruke gruppepolicyer, spesielt Group Policy Preferences. Ved å bruke dem kan du enkelt jobbe med registeret.
Opprette et registerelement gjennom gruppepolicyer.
For å deaktivere protokollen på serveren, lag bare følgende parameter:
- verdi: 0.
bane: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
ny parameter: REG_DWORD med navnet SMB1;
Opprett en registerinnstilling for å deaktivere SMB v1 på serveren gjennom gruppepolicyer.
For å deaktivere SMB v1-støtte på klienter, må du endre verdien av to parametere.
Først deaktiverer du SMB v1-protokolltjenesten:
- verdi: 4.
bane: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
parameter: REG_DWORD med navnet Start;
Vi oppdaterer en av parameterne.
Deretter vil vi korrigere avhengigheten til LanmanWorkstation-tjenesten slik at den ikke er avhengig av SMB v1:
- verdi: tre linjer – Bowser, MRxSmb20 og NSI.
bane: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
parameter: REG_MULTI_SZ med navn DependOnService;
Og vi erstatter den med en annen.
Etter å ha brukt gruppepolicy, må du starte organisasjonens datamaskiner på nytt. Etter en omstart vil ikke SMB v1 lenger brukes.
Det fungerer – ikke rør det
Merkelig nok er ikke dette gamle budet alltid nyttig – løsepengevare og trojanere kan dukke opp i sjelden oppdatert infrastruktur. Imidlertid kan uforsiktig nedleggelse og oppdatering av tjenester lamme arbeidet til en organisasjon akkurat som virus.
Fortell meg, har du allerede deaktivert den første versjonen av SMB? Var det mange drepte?
Denne artikkelen beskriver hvordan du setter opp deling av filer og mapper uten passord på Windows 10.
Denne instruksjonen vil dekke den enkleste konfigurasjonssaken offentlig tilgang til Windows 10-mapper Når du trenger å gi tilgang til Windows 10-delinger uten passord. Dette er den vanligste situasjonen i hjemmenettverk og små kontornettverk. Denne innstillingen forutsetter at nettverkstilgang vil være uten passord, uten begrensninger.
Note. Hvis du har Windows 10 2017 eller 2018 og opplever " Windows 10 ser ikke andre datamaskiner på det lokale nettverket", les deretter en annen artikkel -. Den beskriver en løsning på problemet med å koble Windows 10 til eldre versjoner av Windows. Denne artikkelen kan også være relevant for Windows-tilkoblinger 10 til eldre versjoner av Linux.
Men i begynnelsen av en taus teori.
Lokale og globale nettverk
I dag er det bare ett globalt datanettverk, Internett. Lokale datanettverk skiller seg fra globale på følgende faktorer:
- Antall datamaskiner koblet til dette nettverket.
- Mengden og kvaliteten på ressursene som deles (tilgjengelig) i dette nettverket.
I globalt nettverk Internett er koblet sammen av hundrevis av millioner (muligens mer enn en milliard) datamaskiner. Disse datamaskinene gir et stort antall forskjellige typer ressurser. De vanligste er tekst og grafisk informasjon. I tillegg til selve informasjonen på Internett er det også mulig å behandle denne informasjonen – det finnes tjenester for arbeid med bilder og dokumenter. Også tilgjengelig på Internett er tjenester som ikke er relatert til dataemner, for eksempel salg av varer og tjenester (for eksempel salg av billetter til ulike transportmidler).
Til lokale datanettverk Oftest kombineres to til flere datamaskiner. Mye sjeldnere kan antallet datamaskiner på et lokalt nettverk være flere titalls eller hundrevis (i store kommersielle eller offentlige organisasjoner). Som regel distribueres bare noen få ressurser på lokale nettverk - filer, skrivere, skannere og Internett-tilgang.
Datamaskiner er fysisk koblet til et nettverk enten ved hjelp av en kabel eller via et radiosignal (WiFi). Men uansett, å sette opp et lokalt nettverk gjøres på samme måte.
Så, hva, og i hvilken rekkefølge, må gjøres for å konfigurere Windows 10-nettverket?
Windows 10 deling uten passord
Denne instruksjonen vil beskrive hvordan du setter opp et Windows 10-nettverk slik at delt tilgang til mapper (filer) og skrivere tilbys uten å kreve passord. Dette er et pålitelig nettverksalternativ. Denne typen organisering av et lokalt datanettverk er mest praktisk å bruke (du trenger ikke å huske passord for hver datamaskin).
Dessuten er et slikt nettverk lettere å opprette og vedlikeholde.
Det er best å begynne å sette opp et lokalt nettverk ved å sjekke de nødvendige forholdene.
Sjekker lokal nettverkstilkobling Først må du sjekke om datamaskinen din har en lokal nettverkstilkobling. For å gjøre dette må du åpne appleten med tilgjengelige nettverkskort og nettverkstilkoblinger. Den enkleste måten å åpne denne appleten på er gjennom " Henrette Windows + R ncpa.cpl og klikk "":
Note OK : det er en lengre vei - åpne "" og klikk på lenken der "".
Endre adapterinnstillinger
Slik ser appleten for nettverkstilkoblinger ut: Dette eksemplet viser at det er en fysisk nettverksadapter på datamaskinen og det er også en nettverkstilkobling til det lokale nettverket. Dette eksemplet bruker kabeltilkobling til det lokale nettverket (Ethernet). Hvis tilkoblet via WiFi-adapter 802-11".
vil bli kalt " Trådløs tilkobling":
- Mulige feil som kan finnes i appleten "
- Nettverkstilkoblinger Denne appleten inneholder kanskje ikke adaptere i det hele tatt - i dette tilfellet må du sjekke listen over utstyr (Enhetsbehandling)..
- Dette betyr at det ikke er noen fysisk tilkobling til det lokale nettverket. Du må sjekke kablene. Når det gjelder WiFi, betyr dette at datamaskinen ikke er koblet til et WiFi-tilgangspunkt (ruter). Adapteren kan ha påskriften " Uidentifisert nettverk
". Dette betyr at det er en fysisk tilkobling til det lokale nettverket, men datamaskinen var ikke i stand til å motta innstillingene til dette nettverket. Oftest skjer dette hvis det ikke er en ruter på det lokale nettverket og du må spesifisere det lokale nettverket manuelt. parametere. Ved Windows standard konfigurert til å motta nettverksinnstillinger automatisk fra nettverksruter . Hvis det er en ruter på det lokale nettverket, trenger du bare å koble til nettverkskabel eller koble til punktet WiFi-tilgang . Hvis det ikke er en ruter på det lokale nettverket, og dette noen ganger skjer når du bruker små kabelnettverk, må du spesifisere manuelt nettverksinnstillinger i eiendommer nettverkskort . Les mer om manuell innstilling
Lokale nettverksinnstillinger er skrevet i artikkelen "Sett opp et nettverk mellom Linux og Windows". Oppsettet er beskrevet der for Windows XP, men for Windows 10 blir det nøyaktig det samme. Neste trinn Dette er en sjekk av datamaskinnavnet og arbeidsgruppen. Først må du sjekke om datamaskinen din har en lokal nettverkstilkobling. For å gjøre dette må du åpne appleten med tilgjengelige nettverkskort og nettverkstilkoblinger. Den enkleste måten å åpne denne appleten på er gjennom " For å gjøre dette må du åpne appleten " Henrette Systemegenskaper "Den enkleste måten å åpne denne appleten på er gjennom dialogboksen" ncpa.cpl og klikk "":
". Den er tilgjengelig via Start-menyen eller ved å trykke på tastene Neste trinn på tastaturet. Skriv i dette vinduet sysdm.cpl"):
Slik ser appleten ut"
- "(du må åpne fanen" Datamaskinnavn
- Her må du sjekke: Fullt navn
- den skal ikke skrives på kyrillisk og skal ikke ha mellomrom.
Hvis du trenger å endre navnet på datamaskinen eller arbeidsgruppen, klikk på Endre-knappen. Etter en slik endring må du starte Windows på nytt.
Nå kan du fortsette til konfigurasjonen "Windows-nettverk" Sette opp et Windows 10-nettverk Åpne Windows Utforsker
og i den finn og åpne elementet " Nett":
Note". Som standard er deling deaktivert på Windows 10, og når du åpner Network, vil det være en advarsel øverst: Du må klikke på denne inskripsjonen og deretter velge elementet " Aktiver nettverksoppdagelse og fildeling : En annen måte å aktivere nettverksoppdagelse og fildeling via "" og åpne deretter ønsket profil.
Etter det "Windows Utforsker" vil be deg velge en nettverkstype, der du må velge det første alternativet:
Note: hvis du senere må endre nettverkstype - instruksjoner i artikkelen "Endre nettverkstype Windows 10".
Etter det "Windows Utforsker" vil vise en liste over datamaskiner på det lokale nettverket:
Du kan nå få tilgang til de delte mappene på disse datamaskinene.
Logg inn via lokalt nettverk til en datamaskin som heter "Hjem":
Det neste trinnet er å konfigurere Windows 10-mappedeling.
Hvordan sette opp mappedeling i Windows 10
I "Windows Utforsker" Finn mappen du vil dele. Høyreklikk på denne mappen og velg " Egenskaper" (i denne illustrasjonen kalles mappen lan):
Note: Mappenavnet må være på latin og uten mellomrom.
I vinduet for mappeegenskaper må du åpne "fanen" Adgang"og trykk deretter på knappen" Deling":
I det neste vinduet må du åpne listen over lokale brukere (kontoer på denne datamaskinen) og velge "Alle" fra denne listen:
Klikk deretter på "Legg til"-knappen:
Etter dette må du spesifisere lese- og skrivetilgangsrettigheter for "Alle"-gruppen:
Etter dette må du klikke på "Fullfør"-knappen:
Etter dette vil vinduet åpne seg igjen" Mappeegenskaper". I den kan du sjekke fanen " Sikkerhet"det bør være full tilgang for gruppen" Alle" (Windows endrer automatisk tillatelsene filsystemet NTFS):
Det er det, konfigureringen av tilgang til en bestemt mappe er fullført. Hvis du vil dele en annen mappe, må disse trinnene gjentas for hver enkelt.
Note: del separate filer ikke nødvendig. Alle filer som er i den delte mappen vil være tilgjengelige over nettverket. Alt vil også være tilgjengelig online nestet mapper.
Et siste skritt igjen...
Må åpne" Du må klikke på denne inskripsjonen og deretter velge elementet "" og på venstre side klikk på " Endre avanserte delingsalternativer":
I neste vindu må du åpne profilen din " Alle nettverk":
Og der deaktiver parameteren " delt tilgang med passordbeskyttelse" og selvfølgelig klikk på "Lagre endringer"-knappen:
Dette fullfører oppsett av nettverkstilgang uten passord for Windows 10. Nå kan du logge på denne datamaskinen via det lokale nettverket og Windows vil ikke kreve at du oppgir et passord.
For å sjekke, la oss gå til en Windows 10-datamaskin fra en Windows XP-datamaskin:
Den delte mappen "lan" åpnes og du kan redigere og lage filer i den via det lokale nettverket.
Men hvis Windows likevel krever et nettverkspassord
Til tross for det faktum at innstillingene beskrevet ovenfor er gjort, kan en annen datamaskin be om når du logger på denne datamaskinen nettverkspassord. Dette er mulig i to tilfeller.
Lokale brukere med samme navn (pålogging)
Begge datamaskinene har lokale brukere med samme navn, men forskjellige passord.
Eksempel. Det er Comp1 og Comp2. Hver av dem har en bruker som heter User. Men på Comp1 er brukerens passord 123, og på Comp2 er passordet 456. Når du prøver å logge på nettverket, vil systemet be om et passord.
Løsning. Eller fjern samsvarende brukerpålogginger. Eller for brukere med samme pålogging, spesifiser det samme passordet. Et tomt passord anses også som det samme.
Det er ingen lokale brukere på Windows 10
På Windows 10 kan du logge på og jobbe med en Microsoft-konto hvis du har Internett-tilgang. I dette tilfellet er en situasjon mulig når en lokal bruker ikke ble opprettet i det hele tatt ved installasjon av Windows 10 (påloggingen var via konto Microsoft). I dette tilfellet vil Windows også kreve et passord ved pålogging via det lokale nettverket.
Løsning. Opprett en lokal bruker på din Windows 10-datamaskin.
Hvis det er gamle datamaskiner på ditt lokale nettverk
Hvis det er datamaskiner på ditt lokale nettverk som kjører eldre versjoner av Windows eller Linux, kan du støte på et problem der Windows 10 ikke "ser" slike datamaskiner.
Årsaken kan være at i siste versjoner Windows 10 har deaktivert støtte for SMB-protokoll versjon 1. Hvordan aktivere støtte for SMB versjon 1 er skrevet i artikkelen Lokalt nettverk mellom Windows 10 og Windows XP.
Fjern deling av en Windows 10-mappe
På Windows 10 er det ikke åpenbart å avbryte deling (i motsetning til Windows XP). På "fanen" Adgang"(mappeegenskaper) det er ingen mulighet, slik det var i Windows XP. Det er ubrukelig å klikke på "Deling"-knappen; du kan ikke avbryte deling der.
Nå, for å avbryte deling, må du gå til " Adgang"trykk på knappen" Avansert oppsett":
Og deaktiver tilgang der (fjern merket for "Del denne mappen"):
Som de sier, "gjett tre ganger."
Del en Windows 10-mappe via kommandolinjen
Alt kan gjøres mye raskere hvis du bruker kommandolinje(konsoll, cmd.exe). Det er kun to lag:
nettandel lan=c:\lan
net share lan /slett
Den første kommandoen deler mappen klan og angir et nettverksnavn for det lan.
Den andre kommandoen sletter nettverksmappen (offentlig). lan. Ekte mappe klan Selvfølgelig forblir den på plass.
Del Windows 10-filer ved hjelp av snapin-modulen Delte mapper
Inkludert i verktøysettet Windows-administrasjon 10 ja spesialprogram(snap-in) for å administrere delte ressurser på en datamaskin. Det kalles "Delte mapper" og du kan kjøre det med kommandoen fsmgmt.msc(i konsollen eller via Win + R):
Alternativt kan denne snapin-modulen åpnes via Start-menyen: "Kontrollpanel - Administrative verktøy - Datamaskinbehandling - Delte mapper."
Windows 10 skriverdeling
Skriverdeling er konfigurert på samme måte som for en mappe.
Du må åpne appleten "Enheter og skrivere", finne ønsket skriver der, åpne egenskapene og på fanen "Tilgang" definere nettverkstilgangsparametrene.
Sette opp et lokalt nettverk for andre operativsystemer Windows
Hvis du bor i Krasnodar og du trenger å sette opp et lokalt nettverk i .
Ivan Sukhov, 2017, 2019 Hvis du fant denne artikkelen nyttig eller bare likte den, så ikke nøl med å støtte forfatteren økonomisk. Dette er enkelt å gjøre ved å kaste penger på Yandex lommebok nr. 410011416229354 +7 918-16-26-331 .
. Eller på telefonen
SMB Selv en liten mengde kan hjelpe med å skrive nye artikler :) eller Servermeldingsblokk er en designet for deling filer, skrivere og andre ulike enheter . Det er tre versjoner av SMB – SMBv1, SMBv2 og SMBv3. Av sikkerhetsgrunner anbefaler Microsoft å deaktivere SMB-versjon 1 siden den er utdatert og bruker teknologi som er nesten 30 år gammel. For å unngå infeksjon av løsepengevirus som WannaCrypt, må du deaktivere SMB1 og installere oppdateringer for operativsystemet. Denne protokollen brukes av Windows 2000, Windows XP, Windows Server 2003 og Windows Server 2003 R2 - derfor vil nettverksfiltilgang til disse OS-versjonene ikke være tilgjengelig. Det samme gjelder noen nettverkslagring
, skannere osv.
Deaktiverer SMB1 fra kontrollpanelet
Start -> Kontrollpanel -> Programmer og funksjoner -> Slå Windows-funksjoner på eller av
Deaktiver "Støtte for SMB 1.0/CIFS fildeling"
Deaktivere SMB1 via Powershell
Åpne en Powershell-konsoll med administratorrettigheter og skriv inn følgende kommando:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Verdi 0 –Force
Deaktiver SMB1 ved hjelp av Windows-registeret Du kan også deaktivere SMBv1 ved å kjøre regedit.exe
og gå videre til neste avsnitt:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Lag en DWORD i denne delen SMB1 0 .
Verdier for å aktivere og deaktivere SMB1:
- 0 = Av
- 1 = Aktivert
Etter dette må du installere oppdateringen MS17-010. Oppdateringen ble utgitt for alle versjoner av Windows, inkludert Windows XP og Windows Server 2003, som ikke lenger støttes.
Og avslutningsvis vil jeg si at, til tross installert antivirus og regelmessige operativsystemoppdateringer, hvis du verdsetter dataene dine, må du først tenke på sikkerhetskopiering.
Hvorfor og hvordan du trenger å deaktivere SMB1 i Windows 10/8/7
Denne høsten planlegger Microsoft å fullstendig deaktivere SMBv1-protokollen i Windows 10.
Nettverksprotokoll Den første versjonen av SMB ble utviklet av Microsoft for et par tiår siden. Selskapet er tydelig klar over at dagene med denne teknologien lenge har vært talte.
Denne endringen vil imidlertid bare påvirke nye Windows installasjoner 10. Hvis du bare oppdaterer til Windows 10 Fall Creators Update, vil loggen fortsatt forbli på systemet.
I Windows 10 Insider Preview build 16226 er SMBv1 allerede fullstendig deaktivert. I Home- og Pro-versjonene fjernes serverkomponenten som standard, men SMB1-klienten forblir fortsatt på systemet. Dette betyr at du kan koble til enheter over SMB1, men ingen kan koble til maskinen din over den. I Enterprise- og Education-versjoner er SMB1 fullstendig deaktivert.
Ned Pyle fra Microsoft forklarte at hovedårsaken til denne avgjørelsen det var en økning i sikkerhetsnivået:
"Dette er den viktigste, men ikke den eneste grunnen. Den gamle protokollen er erstattet av den mer funksjonelle SMB2, som gir mer avanserte funksjoner. Versjon 2.02 leveres med Windows Server 2008 og er minimum anbefalt versjon av SMB. For å få maksimal sikkerhet og funksjonalitet bør du bruke SMB versjon 3.1.1. SMB 1 har lenge vært foreldet.»
Mens SMBv1 fortsatt vil forbli på enheter som er oppdatert til Windows 10 Fall Creators Update, kan den deaktiveres manuelt.
Slik deaktiverer du SMB1 i Windows 10
- Skriv inn søkemenyen Start Kontrollpanel og gå til Programmer og funksjoner.
- I menyen til venstre velger du alternativet "Slå Windows-funksjoner på eller av".
- Fjern merket i boksen ved siden av objektet " SMB 1.0/CIFS fildelingsstøtte”.
eller ved å bruke PowerShell:
- Klikk høyreklikk mus på Start-menyen, velg alternativet Windows PowerShell(administrator)
- Kjør kommandoen Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
I dialogboksenNye registeregenskapervelg følgende:
- Handling:Skape
- Busk: HKEY_LOCAL_MACHINE
- Vei til seksjon:SYSTEM\CurrentControlSet\Services\Lanman Server\Parameters
- Parameternavn:SMB1
- Verditype:REG_DWORD.
- Betydning: 0
Dette vil deaktivere SMB versjon 1-serverkomponenter. Denne gruppepolicyen må brukes på alle nødvendige arbeidsstasjoner, servere og domenekontrollere i domenet.
Note. WMI-filtre kan også konfigureres til å ekskludere ikke-støttede operativsystemer eller utvalgte unntak som Windows XP.
Oppmerksomhet!Vær forsiktig når du gjør endringer i kontrollerene der eldre systemer som Windows XP eller nyere Linux og tredjepartssystemer(som ikke støtter SMB versjon 2 eller SMB versjon 3 protokoller) krever tilgang til SYSVOL eller andre delte mapper, der SMB versjon 1 er deaktivert.
Deaktiver SMB-klient versjon 1 med gruppepolicy
For å deaktivere SMB versjon 1-klienten, må registernøkkeltjenestenøkkelen oppdateres for å deaktivere MRxSMB10 fra å starte, og deretter må avhengigheten av MRxSMB10 fjernes fra oppføringen for LanmanWorkstation slik at den kan startes på standard måte uten å spørre MRxSMB10 på første oppstart.
Denne oppdateringen erstatter standardverdiene i følgende to registerelementer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\services\mrxsmb10
Parameter: Start REG_DWORD: 4 = deaktivert
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanWorkstation
Parameter: DependOnService REG_MULTI_SZ: “Bowser”,,”MRxSmb20”,,”NSI”
Note. Inneholder MRxSMB10 som standard, som for øyeblikket er ekskludert som en avhengighet
For å konfigurere ved hjelp av gruppepolicy:
- Nå kan du fortsette til konfigurasjonen administrasjonskonsoll gruppepolicyer . Høyreklikk på "Group Policy Object (GPO)" som skal inneholde det nye foretrukne elementet, og klikk deretter Rediger.
- I konsolltreet i seksjonen Datamaskinkonfigurasjon utvid mappen Innstillinger, og utvid deretter mappen Windows-innstillinger.
- Høyreklikk på registernoden, klikk på Ny og velg Registerelement.
I dialogboksen Nye registeregenskaper velg følgende:
- Handling: Oppdatering
- Bush: HKEY_LOCAL_MACHINE
- Partisjonsbane: SYSTEM\CurrentControlSet\services\mrxsmb 10
- Parameternavn: Start
- Verditype: REG_DWORD.
- Dataverdi: 4
Fjern deretter avhengigheten i MRxSMB10 som ble deaktivert
I dialogboksen Nye registeregenskaper velg følgende:
- Handling: Erstatt
- Bush: HKEY_LOCAL_MACHINE
- Partisjonsbane: SYSTEM\CurrentControlSet\Services\Lanman Workstation
- Parameternavn: DependOnService
- Parametertype REG_MULTI_SZ
- Dataverdi:
- Bowser
- MRxSmb20
Note. Disse tre linjene vil ikke ha markører (se nedenfor)
Standardverdier inneholder MRxSMB10 tommer store mengder Windows-versjoner, så å erstatte dem med en streng med flere verdier vil fjerne MRxSMB10 som en avhengighet for LanmanServer og gå fra standard fire verdier til bare de tre verdiene beskrevet ovenfor.
Note. Når du bruker Group Policy Management Console, trenger du ikke å bruke anførselstegn eller komma. Bare skriv inn hver oppføring på en egen linje som ovenfor
Omstart kreves:
Når policyen er tatt i bruk og registerinnstillingene er angitt, vil SMB versjon 1 bli deaktivert når systemet startes på nytt.
Merknad
Hvis alle innstillingene er i samme gruppepolicyobjekt (GPO), vil Group Policy Management vise innstillingene nedenfor.
Testing og verifisering
Når den er konfigurert, gi tillatelse til policyen til å utføre replikering og oppdatering. Fordi dette er nødvendig for testing, kjør gpupdate /force fra CMD.EXE-linjen og bla gjennom målmaskinene for å sikre at registerinnstillingene brukes riktig. Sørg for at SMB versjon 2 og SMB versjon 3 kjører for alle systemer i miljøet.
Oppmerksomhet! Ikke glem å starte målsystemene på nytt.