Son salgın nedeniyle WannaCry fidye yazılımı SMB v1 güvenlik açığından yararlanıldığında, bu protokolün devre dışı bırakılmasına ilişkin tavsiye ağda yeniden ortaya çıktı. Ayrıca Microsoft, Eylül 2016'da SMB'nin ilk sürümünün devre dışı bırakılmasını şiddetle tavsiye etti. Ancak böyle bir kopukluk beklenmedik sonuçlara, hatta komik şeylere yol açabilir: Şahsen SMB ile savaştıktan sonra Sonos kablosuz hoparlörlerinin çalmayı bıraktığı bir şirketle karşılaştım.
Özellikle “ayaktan vurulma” olasılığını en aza indirmek için size SMB'nin özelliklerini hatırlatmak ve eski versiyonlarını devre dışı bırakmanın kötü düşünülmüş sonuçlarını ayrıntılı olarak ele almak istiyorum.
KOBİ(Sunucu Mesaj Bloğu) – ağ protokolüİçin uzaktan erişim dosyalara ve yazıcılara. Kaynaklar \sunucuadı\paylaşımadı aracılığıyla bağlanırken kullanılan şey budur. Protokol başlangıçta NetBIOS üzerinde UDP bağlantı noktaları 137, 138 ve TCP 137, 139'u kullanarak çalışıyordu. Windows 2000'in piyasaya sürülmesiyle birlikte, TCP bağlantı noktası 445'i kullanarak doğrudan çalışmaya başladı. SMB aynı zamanda oturum açmak ve bir bilgisayarda çalışmak için de kullanılıyor. Aktif Dizin alanı.
Kaynaklara uzaktan erişimin yanı sıra protokol, "adlandırılmış akışlar" - adlandırılmış kanallar aracılığıyla işlemciler arası iletişim için de kullanılır. İşleme \.\pipe\name yolu üzerinden erişilir.
Protokolün CIFS (Ortak İnternet Dosya Sistemi) olarak da bilinen ilk sürümü 1980'lerde oluşturuldu, ancak ikinci sürüm yalnızca CIFS (Ortak İnternet Dosya Sistemi) ile ortaya çıktı. Windows Vista, 2006 yılında. Protokolün üçüncü sürümü Windows 8 ile piyasaya sürüldü. Microsoft'a paralel olarak protokol, açık uygulaması Samba'da oluşturuldu ve güncellendi.
Her birinde yeni sürüm Performansı, güvenliği ve yeni işlevlere yönelik desteği artırmaya yönelik protokole çeşitli iyileştirmeler eklendi. Ancak aynı zamanda uyumluluk açısından eski protokollere yönelik destek de devam etti. Elbette eski sürümlerde çok sayıda güvenlik açığı vardı ve hala da var; bunlardan biri WannaCry tarafından istismar ediliyor.
Spoiler'ın altında KOBİ versiyonlarındaki değişikliklerin özet tablosunu bulacaksınız.
| Sürüm | işletim sistemi | Önceki sürüme kıyasla eklendi |
| KOBİ 2.0 | Windows Vista/2008 | Protokol komutlarının sayısı 100+'den 19'a değiştirildi |
| “Taşıyıcı” çalışma imkanı – bir öncekine yanıt almadan önce ek taleplerin gönderilmesi | ||
| Sembolik bağlantı desteği | ||
| HMAC mesajlarını MD5 yerine SHA256 ile imzalama | ||
| Önbellek ve yazma/okuma bloklarında artış | ||
| KOBİ 2.1 | Windows 7/2008R2 | Geliştirilmiş performans |
| Daha büyük MTU desteği | ||
| BranchCache hizmeti desteği - yerel ağdaki küresel ağa yönelik istekleri önbelleğe alan bir mekanizma | ||
| KOBİ 3.0 | Windows 8/2012 | Yük dağıtımıyla şeffaf bir yük devretme kümesi oluşturma olanağı |
| Doğrudan bellek erişimi (RDMA) desteği | ||
| Powershell cmdlet'leri aracılığıyla yönetin | ||
| VSS desteği | ||
| AES-CMAC imzası | ||
| AES-CCM şifrelemesi | ||
| Depolama için ağ klasörlerini kullanma yeteneği sanal makineler HyperV | ||
| Microsoft SQL veritabanlarını depolamak için ağ klasörlerini kullanma yeteneği | ||
| KOBİ 3.02 | Windows 8.1/2012R2 | Güvenlik ve performans iyileştirmeleri |
| Bir kümede otomatik dengeleme | ||
| KOBİ 3.1.1 | Windows 10/2016 | AES–GCM şifreleme desteği |
| SHA512 karmasını kullanarak kimlik doğrulamadan önce bütünlük kontrolü | ||
| KOBİ 2.x istemcileri ve üzeri ile çalışırken zorunlu güvenli "müzakereler" |
Şartlı olarak mağdurları düşünüyoruz
Şu anda kullanılan protokol sürümünü görüntülemek oldukça kolaydır; bunun için cmdlet'i kullanıyoruz; Get-SmbConnection:
Windows'un farklı sürümlerini çalıştıran sunucularda ağ kaynakları açık olduğunda cmdlet çıktısı.
Çıktı, tüm protokol sürümlerini destekleyen bir istemcinin maksimum protokolü kullandığını gösterir. olası sürüm sunucu tarafından desteklenenlerden. Elbette istemci protokolün yalnızca eski sürümünü destekliyorsa ve sunucuda devre dışı bırakılmışsa bağlantı kurulmayacaktır. Eski sürümler için desteği etkinleştirme veya devre dışı bırakma modern sistemler Windows cmdlet kullanılarak yapılabilir Set–SmbServerConfiguration ve durumu şu şekilde görün:
Get–SmbServerConfiguration | EnableSMB1Protocol'u, EnableSMB2Protocol'u seçin
Windows 2012 R2 çalıştıran bir sunucuda SMBv1'i devre dışı bırakın.
Windows 2003'e bağlanırken ortaya çıkan sonuç.
Bu nedenle, eski ve savunmasız protokolü devre dışı bırakırsanız, eski istemcilerle ağın işlevselliğini kaybedebilirsiniz. Ayrıca, Windows XP ve 2003'e ek olarak SMB v1, bir dizi yazılım ve donanım çözümünde de kullanılmaktadır (örneğin, samba'nın eski bir sürümünü kullanan GNU\Linux üzerinde NAS).
Spoiler'ın altında, SMB v1'in devre dışı bırakılması durumunda çalışmayı tamamen veya kısmen durduracak üreticilerin ve ürünlerin bir listesini sunacağım.
| Üretici | Ürün | Yorum |
| Barakuda | SSL VPN'i | |
| Web Güvenliği Ağ Geçidi yedeklemeleri | ||
| Canon | Bir ağ kaynağına tarama | |
| Cisco | WSA/WSAv | |
| WAAS | Sürüm 5.0 ve üzeri | |
| F5 | RDP istemci ağ geçidi | |
| Microsoft Exchange Proxy'si | ||
| Güç Noktası (Raytheon) | "Bazı Ürünler" | |
| HPE | ArcSight Eski Birleşik Konnektör | Eski sürümler |
| IBM'in | NetSunucusu | Sürüm V7R2 ve daha eski |
| QRadar Güvenlik Açığı Yöneticisi | Sürüm 7.2.x ve daha eski | |
| Lexmark | Firmware eSF 2.x ve eSF 3.x | |
| Linux Çekirdeği | CIFS İstemcisi | 2.5.42'den 3.5.x'e |
| McAfee | Web Ağ Geçidi | |
| Microsoft | Windows | XP/2003 ve daha eski |
| MYOB | Muhasebeciler | |
| NetApp | ONTAP | 9.1'e kadar sürümler |
| NetGear | HazırNAS | |
| Kahin | Solaris | 11.3 ve üzeri |
| Nabız Güvenliği | adet | 8.1R9/8.2R4 ve daha eski |
| P.P.S. | 5.1R9/5.3R4 ve daha eski | |
| QNAP | Tüm depolama cihazları | 4.1'den eski bellenim |
| Kırmızı Hat | RHEL | 7.2'ye kadar sürümler |
| Riko | MFP, ağ kaynağına tarama | Birçok modelin yanı sıra |
| RSA | Kimlik Doğrulama Yöneticisi Sunucusu | |
| Samba | Samba | 3,5'un üzerinde |
| Sonolar | Kablosuz hoparlörler | |
| Sofo | Sophos UTM | |
| Sophos XG güvenlik duvarı | ||
| Sophos Web Uygulaması | ||
| SUSE | SLES | 11 yaş ve üstü |
| Sinoloji | Disk İstasyonu Yöneticisi | Yalnızca kontrol |
| Thomson Reuters | CS Profesyonel Paketi | |
| Tintri | Tintri İşletim Sistemi, Tintri Küresel Merkezi | |
| VMware | Vcenter | |
| ESXi | 6.0'dan eski | |
| Worldox | GX3 DMS | |
| Fotokopi | MFP, ağ kaynağına tarama | ConnectKey Firmware'siz Firmware |
Liste, düzenli olarak güncellenen Microsoft web sitesinden alınmıştır.
Protokolün eski sürümünü kullanan ürünlerin listesi oldukça geniştir; SMB v1'i devre dışı bırakmadan önce mutlaka sonuçlarını düşünmelisiniz.
Hala kapatıyorum
Ağda SMB v1'i kullanan hiçbir program ve cihaz yoksa, elbette eski protokolü devre dışı bırakmak daha iyidir. Ayrıca, Windows 8/2012 SMB sunucusunda kapatma Powershell cmdlet'i kullanılarak gerçekleştirilirse, Windows 7/2008 için kayıt defterini düzenlemeniz gerekecektir. Bu aynı zamanda şununla da yapılabilir: Powershell yardımı:
Set–ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –DWORD Türü –Değer 0 –Force
Veya başka biri uygun bir şekilde. Ancak değişikliklerin uygulanması için yeniden başlatma gerekecektir.
İstemcide SMB v1 desteğini devre dışı bırakmak için, operasyonundan sorumlu olan hizmeti durdurmanız ve lanmanworkstation hizmetinin bağımlılıklarını düzeltmeniz yeterlidir. Bu, aşağıdaki komutlarla yapılabilir:
sc.exe yapılandırması lanmanworkstation bağımlı=bowser/mrxsmb20/nsi sc.exe yapılandırması mrxsmb10 start=devre dışı
Protokolü ağ genelinde uygun şekilde devre dışı bırakmak için grup ilkelerini, özellikle de Grup İlkesi Tercihlerini kullanmak uygundur. Bunları kullanarak kayıt defteriyle rahatça çalışabilirsiniz.
Grup ilkeleri aracılığıyla bir kayıt defteri öğesi oluşturma.
Sunucudaki protokolü devre dışı bırakmak için aşağıdaki parametreyi oluşturmanız yeterlidir:
- değer: 0.
yol: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
yeni parametre: SMB1 adlı REG_DWORD;
Grup ilkeleri aracılığıyla sunucuda SMB v1'i devre dışı bırakmak için bir kayıt defteri ayarı oluşturun.
İstemcilerde SMB v1 desteğini devre dışı bırakmak için iki parametrenin değerini değiştirmeniz gerekecektir.
Öncelikle SMB v1 protokol hizmetini devre dışı bırakın:
- değer: 4.
yol: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
parametre: REG_DWORD, Start adıyla;
Parametrelerden birini güncelliyoruz.
Ardından LanmanWorkstation hizmetinin bağımlılığını SMB v1'e bağlı olmayacak şekilde düzelteceğiz:
- değer: üç satır – Bowser, MRxSmb20 ve NSI.
yol: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
parametre: DependOnService adıyla REG_MULTI_SZ;
Ve onu başka biriyle değiştiriyoruz.
Grup İlkesi'ni uyguladıktan sonra kuruluşunuzun bilgisayarlarını yeniden başlatmanız gerekir. Yeniden başlatmanın ardından SMB v1 artık kullanılmayacaktır.
Çalışıyor - dokunmayın
Garip bir şekilde, bu eski emir her zaman yararlı olmuyor; fidye yazılımları ve Truva atları nadiren güncellenen altyapılarda ortaya çıkabilir. Ancak hizmetlerin dikkatsizce kapatılması ve güncellenmesi de tıpkı virüsler gibi bir kuruluşun çalışmasını felce uğratabilir.
Söyle bana, SMB'nin ilk sürümünü zaten devre dışı bıraktın mı? Çok sayıda kayıp var mıydı?
En son büyük ölçekli virüs saldırıları eski SMB1 protokolünün açıkları ve eksiklikleri kullanılarak dağıtıldı. Önemsiz nedenlerden biri ameliyathane Windows sistemi hala varsayılan olarak çalışmasına izin veriyor. Bu eski versiyon protokol hizmet vermektedir paylaşım Yerel ağdaki dosyalar. Daha yeni olan 2 ve 3 sürümleri daha güvenlidir ve etkin durumda bırakılmaya değerdir. Bu nedenle, 10 numaralı yeni işletim sistemini veya önceki 8 numaralı işletim sistemini veya hatta zaten eski olan 7 numaralı işletim sistemini kullandığınızda, bilgisayarınızda bu protokolü devre dışı bırakmanız gerekir.
Yalnızca SMB2 veya SMB3 ile çalışacak şekilde zamanında güncellenmemiş eski uygulamaları kullanan bazı kullanıcılar olduğu için dahil edilmiştir. Microsoft bunların bir listesini hazırladı. Gerekirse internette bulun ve görüntüleyin.
Bilgisayarınızda kurulu tüm programlarınızı iyi durumda (zamanında güncellenmiş) tutuyorsanız, büyük ihtimalle bu protokolü devre dışı bırakmanız gerekecektir. Bu, işletim sisteminizin ve gizli verilerinizin güvenliğini bir adım daha artıracaktır. Bu arada, şirketin uzmanları bile gerekirse kapatmayı tavsiye ediyor.
Değişiklik yapmaya hazır mısın? O halde devam edelim.
KOBİ1
Denetim Masası'nı açın, "Programlar"a gidin ve "Windows özelliklerini aç/kapat"ı seçin.
Listede “SMB 1.0/CIFS dosya paylaşımı desteği” seçeneğini bulun, işaretini kaldırın ve “Tamam”a tıklayın.
Belgeler vb. gibi önceden düzenlenmiş tüm dosyalarınızı kaydettikten sonra işletim sistemini yeniden başlatın.
WINDOWS 7 İÇİN
Düzenlemenin kullanışlı olduğu yer burasıdır. sistem kayıt defteri. O güçlü araç Sisteme yanlış veriler girilirse, işletim sisteminin dengesiz çalışmasına yol açabilir. Dikkatli kullanın, önce oluşturduğunuzdan emin olun. yedek kopya geri alma için.
Klavyenizdeki Win + R tuş kombinasyonuna basarak ve giriş alanına “regedit” yazarak düzenleyiciyi açın. Daha sonra aşağıdaki yolu izleyin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Yeni bir 32 bit DWORD değeri oluşturun ve bunu "0" değeriyle "SMB1" olarak adlandırın. Sisteminizi yeniden başlatın.
Dikkat! Bu yöntemler protokolü yalnızca bir bilgisayarda devre dışı bırakmak için çalışır, ancak tüm ağda işe yaramaz. İlgilendiğiniz bilgiler için resmi Microsoft belgelerine bakın.
İletişim kutusundaYeni Kayıt Defteri Özellikleriaşağıdakileri seçin:
- Aksiyon:Yaratmak
- Çalı: HKEY_LOCAL_MACHINE
- Bölüme giden yol:SİSTEM\CurrentControlSet\Services\Lanman Sunucusu\Parametreler
- Parametre adı:KOBİ1
- Değer türü:REG_DWORD.
- Anlam: 0
Bu, SMB sürüm 1 sunucu bileşenlerini devre dışı bırakacaktır. Bu grup ilkesinin etki alanındaki tüm gerekli iş istasyonlarına, sunuculara ve etki alanı denetleyicilerine uygulanması gerekir.
Not. WMI filtreleri desteklenmeyen işletim sistemlerini veya Windows XP gibi seçilmiş istisnaları hariç tutacak şekilde de yapılandırılabilir.
Dikkat!Windows XP veya üzeri Linux gibi eski sistemlerin ve üçüncü taraf sistemlerin kullanıldığı denetleyicilerde değişiklik yaparken dikkatli olun.(SMB sürüm 2 veya SMB sürüm 3 protokollerini desteklemeyen), SYSVOL'a veya SMB sürüm 1'in devre dışı bırakıldığı diğer paylaşılan klasörlere erişim gerektirir.
SMB istemcisi sürüm 1'i Grup İlkesi ile devre dışı bırakın
SMB sürüm 1 istemcisini devre dışı bırakmak için, kayıt defteri anahtarı hizmet anahtarının MRxSMB10'un başlatılmasını devre dışı bırakacak şekilde güncellenmesi gerekir ve ardından MRxSMB10'un başlatılmasını istemeden standart şekilde başlatılabilmesi için MRxSMB10 bağımlılığı LanmanWorkstation girişinden kaldırılmalıdır. ilk başlangıç.
Bu güncelleme aşağıdaki iki kayıt defteri öğesindeki varsayılan değerlerin yerini alır
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\services\mrxsmb10
Parametre: REG_DWORD'u başlat: 4 = devre dışı
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanWorkstation
Parametre: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”
Not. Şu anda bağımlılık olarak hariç tutulan MRxSMB10'u varsayılan olarak içerir
Grup İlkesi'ni kullanarak yapılandırmak için:
- Açık Grup İlkesi Yönetim Konsolu. Tercih edilen yeni öğeyi içermesi gereken "Grup İlkesi Nesnesi (GPO)"na sağ tıklayın ve ardından Düzenle'ye tıklayın.
- Bölümdeki konsol ağacında Bilgisayar yapılandırması Ayarlar klasörünü genişletin, ardından Windows Ayarları klasörünü genişletin.
- Kayıt defteri düğümüne sağ tıklayın, Yeni'ye tıklayın ve Kayıt Defteri Öğesi'ni seçin.
İletişim kutusunda Yeni Kayıt Defteri Özellikleri aşağıdakileri seçin:
- Eylem: Güncelleme
- Bush: HKEY_LOCAL_MACHINE
- Bölüm yolu: SYSTEM\CurrentControlSet\services\mrxsmb 10
- Parametre adı: Başlat
- Değer türü: REG_DWORD.
- Veri değeri: 4
Ardından MRxSMB10'da devre dışı bırakılan bağımlılığı kaldırın
İletişim kutusunda Yeni Kayıt Defteri Özellikleri aşağıdakileri seçin:
- Eylem: Değiştir
- Bush: HKEY_LOCAL_MACHINE
- Bölüm yolu: SYSTEM\CurrentControlSet\Services\Lanman Workstation
- Parametre adı: DependOnService
- Parametre türü REG_MULTI_SZ
- Veri değeri:
- Okçu
- MRxSmb20
Not. Bu üç satırda işaretler bulunmayacak (aşağıya bakın)
Varsayılan değerler, Windows'un çok sayıda sürümünde MRxSMB10 içerir, bu nedenle bunların çok değerli bir dizeyle değiştirilmesi, LanmanServer bağımlılığı olarak MRxSMB10'u kaldıracak ve dört varsayılan değerden yalnızca açıklanan üç değere geçecektir. üstünde.
Not. Grup İlkesi Yönetim Konsolu'nu kullanırken tırnak işareti veya virgül kullanmanıza gerek yoktur. Her girişi yukarıdaki gibi ayrı bir satıra girmeniz yeterlidir.
Yeniden başlatma gerekli:
Politika uygulanıp kayıt defteri ayarları girildikten sonra sistem yeniden başlatıldığında SMB sürüm 1 devre dışı bırakılacaktır.
Dipnot
Tüm ayarlar aynı Grup İlkesi Nesnesinde (GPO) ise, Grup İlkesi Yönetimi aşağıdaki ayarları görüntüler.
Test ve doğrulama
Yapılandırıldıktan sonra politikaya çoğaltma ve güncelleme yapma izni verin. Bu, test için gerekli olduğundan, CMD.EXE satırından gpupdate /force komutunu çalıştırın ve ardından kayıt defteri ayarlarının doğru şekilde uygulandığından emin olmak için hedef makinelere göz atın. Ortamdaki tüm sistemler için SMB sürüm 2 ve SMB sürüm 3'ün çalıştığından emin olun.
Dikkat! Hedef sistemleri yeniden başlatmayı unutmayın.
Windows 10 kullanıyorsanız ve diğer ağ cihazlarındaki (NAS, Samba) ağ klasörlerini açamıyorsanız Linux sunucuları) veya Windows'un daha eski sürümlerine (Windows 7/ XP / 2003) sahip bilgisayarlarda, sorun büyük olasılıkla yeni Windows 10 sürümünüzün SMB protokolünün (Windows'ta kullanılan) eski ve güvenli olmayan sürümleri için desteği devre dışı bırakmasından kaynaklanmaktadır. Paylaşılan ağ klasörlerine ve dosyalarına erişmek için). Dolayısıyla, Windows 10 1709'dan başlayarak, SMBv1 protokolü ve SMBv2 protokolünü kullanan ağ klasörlerine anonim (konuk) erişim devre dışı bırakıldı.
Microsoft, son dönemdeki tüm sürümlerde SMB protokolünün eski ve güvenli olmayan sürümlerini sistematik olarak devre dışı bırakıyor. Windows sürümleri. Windows 10 1709'dan beri ve Windows Sunucusu 2019 (hem Datacenter'da hem de Standard'da) işletim sistemi varsayılan olarak (SMBv1'deki bir delik aracılığıyla tam olarak uygulanan saldırıyı hatırlayın).
Gerçekleştirilmesi gereken belirli eylemler, Windows 10'da paylaşılan bir klasöre erişirken görüntülenen hataya ve paylaşılan klasörlerin depolandığı uzak SMB sunucusunun ayarlarına bağlıdır.
Kimlik doğrulama olmadan paylaşılan bir klasöre konuk olarak erişemezsiniz
Windows 10 sürüm 1709 (Fall Creators Güncellemesi) Enterprise ve Education'dan başlayarak kullanıcılar, komşu bir bilgisayarda bir ağ klasörünü açmaya çalıştıklarında bir hatanın görünmeye başladığından şikayet etmeye başladılar:
Kuruluşunuzun güvenlik politikaları, kimliği doğrulanmamış konuk erişimini engellediğinden bu paylaşılan klasöre erişemezsiniz. Bu politikalar, bilgisayarınızın ağınızdaki güvenli olmayan veya kötü amaçlı cihazlardan korunmasına yardımcı olur. Y: \\nas1\share'e yeniden bağlanırken bir hata oluştu Microsoft Windows
Ağ: Kuruluşunuzun güvenlik politikaları, kimliği doğrulanmamış konuk erişimini engellediği için bu paylaşılan klasöre erişemezsiniz. Bu politikalar, bilgisayarınızın ağdaki güvenli olmayan veya kötü amaçlı cihazlardan korunmasına yardımcı olur. Ayrıca, Windows 8.1/7'nin daha eski sürümlerine sahip diğer bilgisayarlarda veya 1709'dan önceki yapıya sahip Windows 10'da da aynı durum söz konusudur. ağ dizinleri normal olarak aç. Bu sorun, Windows 10'un modern sürümlerinde (1709'dan başlayarak), varsayılan olarak, bir konuk hesabı altındaki ağ klasörlerine SMBv2 protokolü (ve daha düşük) aracılığıyla ağ erişiminin yasak olmasından kaynaklanmaktadır. Konuk (anonim) erişimi, aşağıdakilere erişim anlamına gelir: ağ klasörü
kimlik doğrulaması olmadan. SMBv1/v2 protokolü üzerinden misafir hesabı altında erişim sağlandığında SMB imzalama gibi trafik koruma yöntemleri uygulanmaz, bu da oturumunuzu MiTM (ortadaki adam) saldırılarına karşı savunmasız hale getirir.
Kaynak: Microsoft-Windows-SMBClient Olay Kimliği: 31017 Güvenli olmayan bir konuk oturum açma işlemi reddedildi.
Çoğu durumda, NAS'ın eski sürümlerini kullanırken (kurulum kolaylığı için genellikle konuk erişimini içerirler) veya Windows 7/2008 R2 veya Windows XP/2003'ün eski sürümlerinde yapılandırılmış (konuk) ağ klasörlerine erişirken bu sorunla karşılaşılabilir. erişim (bkz. farklı versiyonlar Windows).
Bu durumda Microsoft, ayarları şu şekilde değiştirmenizi önerir: uzak bilgisayar veya ağ klasörlerini dağıtan bir NAS cihazı. Ağ kaynağının SMBv3 moduna geçirilmesi önerilir. Yalnızca SMBv2 protokolü destekleniyorsa, kimlik doğrulamayla erişimi yapılandırın. Bu en doğru ve güvenli yol sorunu düzeltin.
Ağ klasörlerinin depolandığı cihaza bağlı olarak, bunlara konuk erişimini devre dışı bırakmanız gerekir.
Başka bir yol daha var - SMB istemcinizin ayarlarını değiştirin ve ondan bir misafir hesabı altındaki ağ klasörlerine erişime izin verin.
Bilgisayarınızdan konukların erişimine izin vermek için düzenleyiciyi açın grup politikaları(gpedit.msc) ve şuraya gidin: Bilgisayar Yapılandırması -> Yönetim Şablonları -> Ağ -> Lanman İş İstasyonu ( Bilgisayar Yapılandırması ->Yönetim şablonları -> Ağ -> Lanman İş İstasyonu). Politikayı Etkinleştir Güvenli olmayan konuk oturum açma işlemlerini etkinleştir.
Onlar. Hata mesajı, ağ klasörünün yalnızca SMBv1 erişim protokolünü desteklediğini açıkça gösterir. Bu durumda uzak SMB cihazını en azından SMBv2'yi (doğru ve güvenli yol) destekleyecek şekilde yeniden yapılandırmayı denemelisiniz.
Ağ klasörleri Linux'ta Samba tarafından dağıtılıyorsa, desteklenen minimum SMB sürümünü smb.conf dosyasında şu şekilde belirtebilirsiniz:
Sunucu minimum protokolü = SMB2_10 istemci maksimum protokolü = SMB3 istemci minimum protokolü = SMB2_10 şifreleri şifreleme = gerçek anonim kısıtlama = 2
Windows 7/Windows Server 2008 R2'de SMBv1'i devre dışı bırakabilir ve SMBv2'yi şu şekilde etkinleştirebilirsiniz:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -DWORD Türü -Değer 0 –Force
Devre Dışı Bırak-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true
Ağ cihazınız (NAS, Windows XP, Windows Server 2003) yalnızca SMB1 protokolünü destekliyorsa, Windows 10'da ayrı SMB1Protocol-Client bileşenini etkinleştirebilirsiniz. Ancak bu önerilmez!!!
PowerShell konsolunu başlatın ve SMB1Protocol-Client'ın devre dışı olup olmadığını kontrol edin (Durum: Devre Dışı):
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
SMBv1 protokol desteğini etkinleştirin (yeniden başlatma gerekir):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Ayrıca ekleri etkinleştirebilir/devre dışı bırakabilirsiniz. Windows bileşenleriİsteğe bağlı özellikler.exe menüsünden 10 (SMBv1 dahil) -> SMB 1.0/CIFS Dosya Paylaşımı Desteği
Windows 10 1709 ve üzeri sürümlerde, SMBv1 istemcisi 15 günden uzun süre kullanılmamışsa otomatik olarak kaldırılır (bundan SMB 1.0/CIFS Otomatik Kaldırma bileşeni sorumludur).
Bu örnekte yalnızca SMBv1 istemcisini etkinleştirdim. Bilgisayarınız eski istemciler tarafından ortak klasör sunucusu olarak kullanılmıyorsa, SMB1Protocol-Server özelliğini etkinleştirmeyin.
SMBv1 istemcisini yükledikten sonra, bir ağ klasörüne veya yazıcıya sorunsuz bir şekilde bağlanabilmeniz gerekir. Ancak bu geçici çözümü kullanmanın önerilmediğini anlamalısınız çünkü... sisteminizi riske sokar.
Bu makalede Windows 10'da parola olmadan dosya ve klasör paylaşımının nasıl kurulacağı açıklanmaktadır.
Bu talimat, Windows 10 klasörlerine paylaşılan erişimi ayarlamanın en basit durumunu ele alacaktır. Windows 10 paylaşılan kaynaklarına parola olmadan erişim sağlamanız gerektiğinde. Bu, ev ağlarında ve küçük ofis ağlarında en sık karşılaşılan durumdur. Bu ayar, ağ erişiminin kısıtlama olmaksızın şifresiz olacağını varsayar.
Not. Windows 10 2017 veya 2018 kullanıyorsanız ve " Windows 10 yerel ağdaki diğer bilgisayarları görmüyor", ardından başka bir makale okuyun -. Windows 10'u Windows'un eski sürümlerine bağlama sorununun çözümünü açıklar. Bu makale aynı zamanda aşağıdakilerle de alakalı olabilir: Windows bağlantıları 10'dan eski Linux sürümlerine.
Ama sessiz bir teorinin başlangıcında.
Yerel ve küresel ağlar
Bugün tek bir küresel bilgisayar ağı var: İnternet. Yerel bilgisayar ağları küresel ağlardan aşağıdaki faktörlerle farklılık gösterir:
- Bu ağa bağlı bilgisayarların sayısı.
- Bu ağda paylaşılan (kullanılabilir) kaynakların miktarı ve kalitesi.
İÇİNDE küresel ağİnternet, yüz milyonlarca (muhtemelen bir milyardan fazla) bilgisayarla birbirine bağlıdır. Bu bilgisayarlar sağlar büyük sayı farklı türde kaynaklar. Bunlardan en yaygın olanları metin ve grafik bilgisi. İnternetteki bilgilerin yanı sıra, bu bilgilerin işlenmesi de mümkündür - resimler ve belgelerle çalışmak için hizmetler vardır. İnternette ayrıca bilgisayar konularıyla ilgili olmayan hizmetler de mevcuttur, örneğin mal ve hizmetlerin satışı (örneğin, çeşitli ulaşım biletlerinin satışı).
Yerele bilgisayar ağıÇoğu zaman iki veya daha fazla bilgisayar birleştirilir. Çok daha az sıklıkla, yerel bir ağdaki bilgisayarların sayısı onlarca veya yüzlerce olabilir (büyük ticari veya devlet kuruluşlarında). Kural olarak, yerel ağlarda yalnızca birkaç kaynak dağıtılır - dosyalar, yazıcılar, tarayıcılar ve İnternet erişimi.
Bilgisayarlar fiziksel olarak bir ağa kablo kullanarak veya radyo sinyali (WiFi) aracılığıyla bağlanır. Ancak her durumda, yerel bir ağ kurmak da aynı şekilde yapılır.
Peki Windows 10 ağını yapılandırmak için neyin ve hangi sırayla yapılması gerekiyor?
Windows 10'da şifresiz paylaşım
Bu talimat, klasörlere (dosyalara) ve yazıcılara şifre gerektirmeden paylaşımlı erişim sağlanacak şekilde bir Windows 10 ağının nasıl kurulacağını açıklayacaktır. Bu güvenilir bir ağ seçeneğidir. Yerel bir bilgisayar ağının bu tür organizasyonunun kullanımı en uygun olanıdır (her bilgisayar için şifreleri hatırlamaya gerek yoktur).
Üstelik böyle bir ağın oluşturulması ve bakımı daha kolaydır.
Gerekli koşulları kontrol ederek yerel ağ kurmaya başlamak en iyisidir.
Yerel ağ bağlantısı kontrol ediliyor Öncelikle bilgisayarınızın yerel ağ bağlantısı olup olmadığını kontrol etmeniz gerekir. Bunu yapmak için mevcut ağ bağdaştırıcılarını ve ağ bağlantılarını içeren uygulamayı açmanız gerekir. Bu uygulamayı açmanın en kolay yolu " Uygulamak Windows + R ncpa.cpl ve "":
Not TAMAM : daha uzun bir yol var - "" dosyasını açın ve oradaki bağlantıya tıklayın "".
Bağdaştırıcı ayarlarını değiştirme
Ağ bağlantıları uygulaması şöyle görünür: Bu örnek, bilgisayarda fiziksel bir ağ bağdaştırıcısının bulunduğunu ve ayrıca yerel ağa bir ağ bağlantısının bulunduğunu gösterir. Bu örnek şunu kullanır: kablo bağlantısı yerel ağa (Ethernet) bağlayın. Eğer üzerinden bağlanıldıysa Wi-Fi adaptörü 802-11".
" denilecek Kablosuz bağlantı":
- Uygulamada bulunabilecek olası hatalar "
- Ağ bağlantıları Bu uygulama hiçbir şekilde adaptör içermeyebilir - bu durumda ekipman listesini (Aygıt Yöneticisi) kontrol etmeniz gerekir..
- Bu, yerel ağla fiziksel bir bağlantı olmadığı anlamına gelir. Kabloları kontrol etmeniz gerekiyor. WiFi durumunda bu, bilgisayarın bir WiFi erişim noktasına (yönlendiriciye) bağlı olmadığı anlamına gelir. Adaptörde " yazısı bulunabilir Tanımlanamayan ağ
". Bu, yerel ağa fiziksel bir bağlantı olduğu, ancak bilgisayarın bu ağın ayarlarını alamadığı anlamına gelir. Çoğu zaman bu, yerel ağda yönlendirici yoksa ve yerel ağı manuel olarak belirtmeniz gerekiyorsa olur. parametreler. İle Windows varsayılanı ağ yönlendiricisinden ağ ayarlarını otomatik olarak alacak şekilde yapılandırılmıştır. Yerel ağda bir yönlendirici varsa, takmanız yeterlidir ağ kablosu veya noktaya bağlanın Wi-Fi erişimi . Yerel ağda yönlendirici yoksa ve bu bazen küçük kablolu ağlar kullanıldığında meydana gelirse, manuel olarak belirtmeniz gerekecektir. ağ ayarları mülklerde ağ bağdaştırıcısı . Hakkında daha fazlasını okuyun manuel ayar
Yerel ağ ayarları "Linux ve Windows arasında ağ kurma" makalesinde yazılmıştır. Kurulum burada Windows XP için anlatılmıştır, ancak Windows 10 için tamamen aynı olacaktır. Sonraki adım Bu, bilgisayar adının ve çalışma grubunun kontrolüdür. Öncelikle bilgisayarınızın yerel ağ bağlantısı olup olmadığını kontrol etmeniz gerekir. Bunu yapmak için mevcut ağ bağdaştırıcılarını ve ağ bağlantılarını içeren uygulamayı açmanız gerekir. Bu uygulamayı açmanın en kolay yolu " Bunu yapmak için uygulamayı açmanız gerekir " Uygulamak Sistem Özellikleri "Bu uygulamayı açmanın en kolay yolu iletişim kutusunu kullanmaktır" ncpa.cpl ve "":
". Başlat menüsünden veya tuşlara basılarak erişilebilir Sonraki adım klavyede. Bu pencerede şunu yazın sysdm.cpl"):
Uygulamanın neye benzediği budur"
- " (sekmeyi açmanız gerekir " Bilgisayar adı
- Burada şunları kontrol etmeniz gerekir: Ad Soyad
- Kiril alfabesiyle yazılmamalı ve boşluk olmamalıdır.
Bilgisayar veya çalışma grubu adını değiştirmeniz gerekiyorsa Değiştir düğmesine tıklayın. Böyle bir değişiklikten sonra Windows'u yeniden başlatmanız gerekecektir.
Açık Artık konfigürasyona geçebilirsiniz Windows ağı Windows 10 ağı kurma"Windows Gezgini"
ve içinde öğeyi bulup açın " Açık":
Not". Windows 10'da paylaşım varsayılan olarak devre dışıdır ve Ağı açtığınızda üstte bir uyarı mesajı görünecektir: Bu yazıya tıklamanız ve ardından "öğesini seçmeniz gerekiyor" Ağ keşfini ve dosya paylaşımını etkinleştirin : " aracılığıyla ağ keşfini ve dosya paylaşımını etkinleştirmenin başka bir yolu" ve ardından istediğiniz profili açın.
daha sonrasında Artık konfigürasyona geçebilirsiniz sizden ilk seçeneği seçmeniz gereken bir ağ türü seçmenizi isteyecektir:
Not: daha sonra ağ türünü değiştirmeniz gerekirse - "Windows 10 ağ türünü değiştirme" makalesindeki talimatlar.
daha sonrasında "Windows Gezgini" yerel ağdaki bilgisayarların bir listesini gösterecektir:
Artık bu bilgisayarlardaki paylaşılan klasörlere erişebilirsiniz.
Şununla giriş yap: yerel ağ"Ev" adlı bir bilgisayara:
Bir sonraki adım Windows 10 klasör paylaşımını yapılandırmaktır.
Windows 10'da klasör paylaşımı nasıl kurulur
İÇİNDE "Windows Gezgini" Paylaşmak istediğiniz klasörü bulun. Bu klasöre tıklayın sağ düğme fareyi seçin ve " Özellikler" (bu çizimde klasörün adı lan):
Not: Klasör adı Latince ve boşluksuz olmalıdır.
Klasör özellikleri penceresinde "sekmeyi" açmanız gerekir Erişim"ve ardından düğmeye basın" Paylaşma ":
Bir sonraki pencerede, yerel kullanıcıların listesini (bu bilgisayardaki hesaplar) açmanız ve bu listeden “Tümü” seçeneğini seçmeniz gerekir:
Bundan sonra "Ekle" düğmesini tıklayın:
Bundan sonra “Herkes” grubu için okuma ve yazma erişim haklarını belirtmeniz gerekir:
Bundan sonra “Son” düğmesine tıklamanız gerekir:
Bundan sonra pencere tekrar açılacaktır" Klasör özellikleri". İçinde sekmeyi kontrol edebilirsiniz " Emniyet"Grup için tam erişim olmalı" Tüm"(Windows dosya izinlerini otomatik olarak değiştirir NTFS sistemleri):
İşte bu, belirli bir klasöre erişimin ayarlanması tamamlandı. Başka bir klasörü paylaşmak istiyorsanız bu adımların her biri için tekrarlanması gerekir.
Not: paylaşmak ayrı dosyalar gerek yok. Paylaşılan klasördeki tüm dosyalara ağ üzerinden erişilebilir. Hepsi çevrimiçi olarak da mevcut olacak iç içe geçmiş klasörler.
Son bir adım kaldı...
Açılması gerekiyor" Bu yazıya tıklamanız ve ardından "öğesini seçmeniz gerekiyor"" ve sol taraftaki " seçeneğine tıklayın Gelişmiş paylaşım seçeneklerini değiştirin":
Bir sonraki pencerede profilinizi açmanız gerekiyor " Tüm ağlar":
Ve orada parametreyi devre dışı bırakın " şifre korumasıyla paylaşılan erişim" ve elbette "Değişiklikleri kaydet" düğmesini tıklayın:
Bu, Windows 10 için parola olmadan ağ erişiminin ayarlanmasını tamamlar. Artık bu bilgisayara yerel ağ üzerinden giriş yapabilirsiniz ve Windows şifre girmenizi gerektirmez.
Kontrol etmek için Windows XP bilgisayardan Windows 10 bilgisayara gidelim:
"lan" paylaşımlı klasörü açılır ve yerel ağ üzerinden buradaki dosyaları düzenleyebilir ve oluşturabilirsiniz.
Ancak yine de Windows bir ağ şifresi gerektiriyorsa
Yukarıda anlatılan ayarlar yapılmış olmasına rağmen bu bilgisayara giriş yaptığınızda başka bir bilgisayar ağ şifresi isteyebilir. Bu iki durumda mümkündür.
Aynı ada sahip yerel kullanıcılar (giriş)
Her iki bilgisayarın da aynı ada sahip ancak şifreleri farklı yerel kullanıcıları var.
Örnek. Comp1 ve Comp2 vardır. Her birinin Kullanıcı adında bir kullanıcısı vardır. Ancak Comp1'de kullanıcının şifresi 123, Comp2'de ise şifresi 456'dır. Ağda oturum açmaya çalışırken sistem bir şifre isteyecektir.
Çözüm. Veya eşleşen kullanıcı oturum açma bilgilerini kaldırın. Veya aynı oturum açma bilgilerine sahip kullanıcılar için aynı şifreyi belirtin. Boş bir şifre de aynı kabul edilir.
Windows 10'da yerel kullanıcı yok
Windows 10'da, İnternet erişiminiz varsa bir Microsoft hesabıyla oturum açabilir ve çalışabilirsiniz. Bu durumda şöyle bir durum mümkündür: Windows kurulumu 10, hiçbir yerel kullanıcı oluşturulmadı (oturum açma işlemi hesap Microsoft). Bu durumda Windows, yerel ağ üzerinden oturum açarken de bir parola gerektirecektir.
Çözüm. Windows 10 bilgisayarınızda yerel bir kullanıcı oluşturun.
Yerel ağınızda eski bilgisayarlar varsa
Yerel ağınızda Windows veya Linux'un eski sürümlerini çalıştıran bilgisayarlar varsa, Windows 10'un bu tür bilgisayarları "görmemesi" gibi bir sorunla karşılaşabilirsiniz.
Bunun nedeni şu olabilir en son sürümler Windows 10, SMB protokolü sürüm 1 desteğini devre dışı bıraktı. SMB sürüm 1 desteğinin nasıl etkinleştirileceği, Windows 10 ve Windows XP arasındaki yerel ağ makalesinde yazılmıştır.
Windows 10 klasörünün paylaşımını kaldırma
Windows 10'da paylaşımın iptal edilmesi hiç de açık değildir (Windows XP'den farklı olarak). "Sekme"de Erişim"(klasör özellikleri) Windows XP'de olduğu gibi bir seçenek yok. "Paylaşım" düğmesini tıklamanın faydası yok; orada paylaşımı iptal edemezsiniz.
Şimdi paylaşımı iptal etmek için " Erişim"düğmeye basın" Gelişmiş kurulum":
Ve oraya erişimi devre dışı bırakın (“Bu klasörü paylaş” seçeneğinin işaretini kaldırın):
Dedikleri gibi, "üç kez tahmin et."
Windows 10 klasörünü komut satırı aracılığıyla paylaşma
Kullanırsanız her şey çok daha hızlı yapılabilir komut satırı(konsol, cmd.exe). Sadece iki takım var:
net paylaşım lan=c:\lan
net paylaşım lan /sil
İlk komut klasörü paylaşır c:\lan ve bunun için bir ağ adı belirler Ian.
İkinci komut ağ (genel) klasörünü siler Ian. Gerçek klasör c:\lan Elbette yerinde kalır.
Paylaşılan Klasörler ek bileşenini kullanarak Windows 10 dosyalarını paylaşma
Araç kitine dahildir Windows yönetimi 10 evet özel program(ek bileşen) bilgisayardaki paylaşılan kaynakları yönetmek için. Buna "Paylaşılan Klasörler" denir ve bunu komutla çalıştırabilirsiniz. fsmgmt.msc(konsolda veya Win + R aracılığıyla):
Alternatif olarak, bu ek bileşen Başlat menüsünden açılabilir: "Denetim Masası - Yönetimsel Araçlar - Bilgisayar Yönetimi - Paylaşılan Klasörler."
Windows 10 Yazıcı Paylaşımı
Yazıcı paylaşımı, klasörle aynı şekilde yapılandırılır.
“Aygıtlar ve Yazıcılar” uygulamasını açmanız, istediğiniz yazıcıyı orada bulmanız, özelliklerini açmanız ve “Erişim” sekmesinde ağ erişim parametrelerini tanımlamanız gerekir.
Diğer işletim sistemleri için yerel ağ kurma Windows
Krasnodar'da yaşıyorsanız ve yerel bir ağ kurmanız gerekiyorsa .
Ivan Sukhov, 2017, 2019 Bu makaleyi yararlı bulduysanız veya beğendiyseniz, yazara maddi destek vermekten çekinmeyin. Para atarak bunu yapmak kolaydır Yandex Cüzdan No. 410011416229354 +7 918-16-26-331 .
. Veya telefonda