У зв'язку з нещодавньою епідемією шифрувальника WannaCry, що експлуатує вразливість SMB v1, у мережі знову з'явилися поради щодо відключення цього протоколу. Більш того, Microsoft рекомендувала відключити першу версію SMB ще у вересні 2016 року. Але таке відключення може призвести до несподіваних наслідків, аж до курйозів: особисто стикався з компанією, де після боротьби з SMB перестали грати бездротові колонки Sonos.
Спеціально для мінімізації ймовірності пострілу в ногу я хочу нагадати про особливості SMB і докладно розглянути, чим загрожує непродумане відключення його старих версій.
SMB(Server Message Block) – мережевий протокол для віддаленого доступудо файлів та принтерів. Саме він використовується при підключенні ресурсів через \servername\sharename. Протокол спочатку працював поверх NetBIOS, використовуючи порти UDP 137, 138 та TCP 137, 139. З виходом Windows 2000 почав працювати безпосередньо, використовуючи порт TCP 445. SMB використовується також для входу в домен Active Directory та роботи в ньому.
Крім віддаленого доступу до ресурсів протокол використовується ще й міжпроцесорного взаємодії через «іменовані потоки» – named pipes . Звернення до процесу здійснюється шляхом \.\pipe\name.
Перша версія протоколу, також відома як CIFS (Common Internet File System), була створена ще в 1980-х роках, а ось друга версія з'явилася тільки з Windows Vista, в 2006. Третя версія протоколу вийшла з Windows 8. Паралельно з Microsoft протокол створювався і оновлювався у відкритій імплементації Samba .
У кожній нової версіїпротоколу додавалися різного роду покращення, спрямовані на збільшення швидкодії, безпеки та підтримки нових функцій. Але при цьому залишалася підтримка старих протоколів для сумісності. Зрозуміло, у старих версіях було і є достатньо вразливостей, однією з яких користується WannaCry.
Під спойлером ви знайдете зведену таблицю змін у версіях SMB.
| Версія | Операційна система | Додано, порівняно з попередньою версією |
| SMB 2.0 | Windows Vista/2008 | Змінилася кількість команд протоколу зі 100+ до 19 |
| Можливість «конвеєрної» роботи – надсилання додаткових запитів до отримання відповіді на попередній | ||
| Підтримка символьних посилань | ||
| Підпис повідомлень HMAC SHA256 замість MD5 | ||
| Збільшення кешу та блоків запису\читання | ||
| SMB 2.1 | Windows 7/2008R2 | Поліпшення продуктивності |
| Підтримка більшого значення MTU | ||
| Підтримка служби BranchCache – механізм, що кешує запити до глобальної мережі в локальній мережі | ||
| SMB 3.0 | Windows 8/2012 | Можливість побудови прозорого відмовостійкого кластера з розподілом навантаження |
| Підтримка прямого доступу до пам'яті (RDMA) | ||
| Керування за допомогою командлетів Powershell | ||
| Підтримка VSS | ||
| Підпис AES-CMAC | ||
| Шифрування AES-CCM | ||
| Можливість використання мережних папок для зберігання віртуальних машин HyperV | ||
| Можливість використання мережних папок для зберігання баз Microsoft SQL | ||
| SMB 3.02 | Windows 8.1/2012R2 | Поліпшення безпеки та швидкодії |
| Автоматичне балансування у кластері | ||
| SMB 3.1.1 | Windows 10/2016 | Підтримка шифрування AES-GCM |
| Перевірка цілісності до аутентифікації з використанням хешу SHA512 | ||
| Обов'язкові безпечні переговори при роботі з клієнтами SMB 2.x і вище |
Вважаємо умовно постраждалих
Подивитися версію протоколу, що використовується в даний момент, досить просто, використовуємо для цього командлет Get-SmbConnection:
Виведення командлета при відкритих мережевих ресурсах на серверах різною версією Windows.
З висновку видно, що клієнт, який підтримує всі версії протоколу, використовує максимально для підключення можливу версіюіз підтримуваних сервером. Зрозуміло, якщо клієнт підтримує лише стару версіюпротоколу, а на сервері її буде відключено – з'єднання встановлено не буде. Включити або вимкнути підтримку старих версій у сучасних системах Windowsможна за допомогою командлета Set-SmbServerConfiguration, а подивитися стан так:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
Вимикаємо SMBv1 на сервері з Windows 2012 R2.
Результат при підключенні до Windows 2003.
Таким чином, при відключенні старого, вразливого протоколу можна втратити працездатність мережі зі старими клієнтами. При цьому, крім Windows XP і 2003, SMB v1 використовується і в ряді програмних і апаратних рішень (наприклад NAS на GNU\Linux, що використовує стару версію samba).
Під спойлером наведу список виробників та продуктів, які повністю або частково перестануть працювати при відключенні SMB v1.
| Виробник | Продукт | Коментар |
| Barracuda | SSL VPN | |
| Web Security Gateway backups | ||
| Canon | Сканування на мережевий ресурс | |
| Cisco | WSA/WSAv | |
| WAAS | Версії 5.0 та старші | |
| F5 | RDP client gateway | |
| Microsoft Exchange Proxy | ||
| Forcepoint (Raytheon) | «Деякі продукти» | |
| HPE | ArcSight Legacy Unified Connector | Старі версії |
| IBM | NetServer | Версія V7R2 і старша |
| QRadar Vulnerability Manager | Версії 7.2.x та старші | |
| Lexmark | Прошивки Firmware eSF 2.x та eSF 3.x | |
| Linux Kernel | Клієнт CIFS | З 2.5.42 до 3.5.x |
| McAfee | Web Gateway | |
| Microsoft | Windows | XP/2003 та старше |
| MYOB | Accountants | |
| NetApp | ONTAP | Версії до 9.1 |
| NetGear | ReadyNAS | |
| Oracle | Solaris | 11.3 та старше |
| Pulse Secure | PCS | 8.1R9/8.2R4 та старше |
| PPS | 5.1R9/5.3R4 та старше | |
| QNAP | Усі пристрої зберігання | Прошивка старша 4.1 |
| RedHat | RHEL | Версії до 7.2 |
| Ricoh | БФП, сканування на мережевий ресурс | Крім низки моделей |
| RSA | Authentication Manager Server | |
| Samba | Samba | Старше 3.5 |
| Sonos | Бездротові колонки | |
| Sophos | Sophos UTM | |
| Sophos XG firewall | ||
| Sophos Web Appliance | ||
| SUSE | SLES | 11 і старше |
| Synology | Diskstation Manager | Тільки управління |
| Thomson Reuters | CS Professional Suite | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Старше 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | БФП, сканування на мережевий ресурс | Прошивки без ConnectKey Firmware |
Список взятий із сайту Microsoft, де він регулярно поповнюється.
Перелік продуктів, які використовують стару версію протоколу, досить великий – перед вимкненням SMB v1 обов'язково потрібно подумати про наслідки.
Все-таки відключаємо
Якщо програм та пристроїв, які використовують SMB v1 в мережі немає, то, звичайно, старий протокол краще відключити. Якщо вимкнення на SMB сервері Windows 8/2012 здійснюється за допомогою командлета Powershell, то для Windows 7/2008 знадобиться правка реєстру. Це можна зробити теж за допомоги Powershell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Або будь-яким іншим зручним способом. При цьому для застосування змін знадобиться перезавантаження.
Для відключення підтримки SMB v1 на клієнті достатньо зупинити службу, що відповідає за його роботу, і поправити залежності служби lanmanworkstation. Це можна зробити такими командами:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start=disabled
Для зручності відключення протоколу по всій мережі зручно використовувати групові політики, зокрема Group Policy Preferences. За допомогою них можна зручно працювати із реєстром.
Створення елемента реєстру через групові політики.
Щоб вимкнути протокол на сервері, достатньо створити наступний параметр:
- Значення: 0.
шлях: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
новий параметр: REG_DWORD з ім'ям SMB1;
Створення параметра реєстру для вимкнення SMB v1 на сервері через групові політики.
Для відключення підтримки SMB v1 на клієнтах потрібно змінити значення двох параметрів.
Спочатку відключимо службу протоколу SMB v1:
- значення: 4.
шлях: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
параметр: REG_DWORD з іменем Start;
Оновлюємо один із параметрів.
Потім виправимо залежність роботи LanmanWorkstation, щоб вона не залежала від SMB v1:
- значення: три рядки – Bowser, MRxSmb20 та NSI.
шлях: HKLM: SYSTEM CurrentControlSet Services LanmanWorkstation;
параметр: REG_MULTI_SZ з ім'ям DependOnService;
І замінюємо інший.
Після застосування групової політики необхідно перезавантажити комп'ютери організації. Після перезавантаження SMB v1 перестане використовуватись.
Працює – не чіпай
Як не дивно, ця стара заповідь не завжди корисна - в інфраструктурі, що рідко оновлюється, можуть завестися шифрувальники і трояни. Тим не менш, неакуратне відключення та оновлення служб можуть паралізувати роботу організації не гірше за віруси.
Розкажіть, а ви вже відключили у себе першу версію SMB? Чи багато було жертв?
У цій статті описано як налаштувати спільний доступ до файлів і папок без пароля на Windows 10.
У цій інструкції буде розглянуто найпростіший випадок налаштування загального доступудо папок Windows 10. Коли потрібно надати доступ до спільних ресурсів Windows 10 без пароля. Це найпоширеніша ситуація в домашніх мережах та в мережі невеликого офісу. Таке налаштування передбачає, що доступ по мережі буде без пароля, без обмежень.
Примітка. Якщо у вас Windows 10 2017 або 2018 і ви зіткнулися з проблемою " Windows 10 не бачить інших комп'ютерів у локальній мережі", тоді, прочитайте ще одну статтю -. У ній описано вирішення проблеми з підключенням Windows 10 до старих версій Windows. Ця стаття може бути актуальна і для підключення Windows 10 до старих версій Linux.
Але на початку німої теорії.
Локальні та глобальні мережі
Глобальна комп'ютерна мережа, на сьогоднішній день, існує лише одна, це Інтернет. Локальні комп'ютерні мережі відрізняються від глобальної такими факторами:
- Кількість об'єднаних у цій мережі комп'ютерів.
- Кількість і якість ресурсів, що розділяються (доступні) в цій мережі.
У глобальної мережіІнтернет об'єднано сотні мільйонів (можливо і понад мільярд) комп'ютерів. Ці комп'ютери надають велику кількість різних типів ресурсів. Найпоширеніші з яких це текстова та графічна інформація. Крім самої інформації в Інтернеті можлива і обробка цієї інформації - існують сервіси для роботи із зображеннями та документами. Також в Інтернет доступні послуги, що не мають відношення до комп'ютерної тематики, наприклад, продаж товарів і послуг (наприклад продаж квитків на різний транспорт).
У локальні комп'ютерної мережінайчастіше поєднується від двох до декількох комп'ютерів. Набагато рідше кількість комп'ютерів у локальній мережі може бути кілька десятків чи сотень (у великих комерційних чи державних організаціях). Як правило в локальних мережах розподіляється лише кілька ресурсів - файли, принтери, сканери та доступ до Інтернету.
Фізично комп'ютери об'єднуються в мережу або через кабель або через радіосигнал (WiFi). Але в будь-якому випадку налаштування локальної мережі виконується однаково.
Отже, що і в якій послідовності необхідно зробити для того, щоб виконати налаштування мережі Windows 10?
Загальний доступ до Windows 10 без пароля
У цій інструкції буде описано, як налаштувати мережу Windows 10 таким чином, щоб спільний доступ до папок (файлів) та принтерів надавалися без запиту пароля. Це варіант довіреної мережі. Така організація локальної комп'ютерної мережі є найбільш зручною у використанні (не потрібно запам'ятовувати паролі для кожного комп'ютера). Крім того, таку мережу легше створити і обслуговувати.
Почати налаштування локальної мережі краще з перевірки необхідних умов.
Перевірка підключення по локальній мережі
Спочатку потрібно перевірити наявність на комп'ютері підключення по локальній мережі. Для цього потрібно відкрити аплет наявних мережевих адаптерів та мережевих підключень. Найпростіше відкрити цей аплет через діалогове вікно. Виконати Windows + R ncpa.cplта натисніть кнопку " ОК":
Примітка: є більш довгий шлях - відкрити "" і там клацнути на засланні " Зміна параметрів адаптера".
Ось так виглядає аплет мережевих підключень:
На цьому прикладі видно, що фізичний мережевий адаптер на комп'ютері є і підключення до локальної мережі теж є. У цьому прикладі використовується кабельне підключеннядо локальної мережі (Ethernet). У разі підключення через WiFi адаптербуде називатися " Бездротове підключення 802-11".
Можливі помилки, які можна знайти в аплеті " Мережеві підключення":
- У цьому аплеті може взагалі не бути адаптерів – у цьому випадку потрібно перевіряти список обладнання (диспетчер пристроїв). Можливо, мережний адаптер вимкнено або не встановлено драйвера.
- Адаптер може бути перекреслено червоним хрестом. Це означає, що немає фізичного підключення до локальної мережі. Потрібно перевіряти кабелі. У разі WiFi це означає, що комп'ютер не підключений до точки доступу (роутера) WiFi.
- Адаптер може мати напис " Невідома мережаЦе означає, що фізичне підключення до локальної мережі є, але комп'ютер не зміг отримати налаштування цієї мережі. Найчастіше це буває, якщо в локальній мережі немає роутера і потрібно вручну вказувати параметри локальної мережі.
за замовчуванням Windowsнастроєно на автоматичне отримання налаштувань мережі від мережного роутера. Якщо в локальній мережі є роутер, тоді вам достатньо встромити мережевий кабельабо підключитися до точки доступу WiFi. Якщо в локальній мережі немає роутера, а таке іноді буває при використанні невеликих кабельних мереж, тоді вам потрібно буде вручну вказати мережеві налаштуванняу властивостях мережевого адаптера. Докладніше про ручне налаштуванняпараметрів локальної мережі написано у статті "Налаштування мережі між Linux та Windows". Там описано налаштування для Windows XP, але для Windows 10 буде так само.
Наступний крокце перевірка імені комп'ютера та робочої групи. Для цього потрібно відкрити аплет Властивості системи". Найпростіше відкрити цей аплет через діалогове вікно" Виконати". Воно доступне через меню Пуск або при натисканні клавіш Windows + Rна клавіатурі. У цьому вікні напишіть sysdm.cplта натисніть кнопку " ОК":
Ось так виглядає аплет Властивості системи" (Потрібно відкрити вкладку " Ім'я комп'ютера"):
Тут потрібно перевірити:
- Повне ім'я- воно не повинно бути написане кирилицею і не повинно мати прогалин.
- Робоча група- воно не повинно бути написане кирилицею і не повинно мати прогалин. Крім того, ім'я робочої групи має співпадати з таким же ім'ям на інших комп'ютерах локальної мережі. Тобто ім'я робочої групи має бути однаково усім комп'ютерах локальної мережі.
Якщо потрібно змінити ім'я комп'ютера або робочої групи, натисніть кнопку "Змінити". Після такої зміни потрібно буде перезавантажити Windows.
Тепер можна переходити до налаштування мережі Windows 10.
Налаштування мережі Windows 10
Відкрийте "Провідник Windows" і в ньому знайдіть та відкрийте пункт " МережаЗа промовчанням, на Windows 10 загальний доступ вимкнено і коли ви відкриєте "Мережу", вгорі буде попереджувальний напис:
Потрібно натиснути на цей напис і потім вибрати пункт " Увімкнути мережне виявлення та загальний доступ до файлів":
Примітка: інший шлях увімкнення мережного виявлення та загального доступу до файлів через " Центр управління мережами та спільним доступом" і там клацнути на засланні " Додаткові параметри спільного доступуі потім відкрити потрібний профіль.
Після цього "Провідник Windows"видасть запит на вибір типу мережі, там потрібно вибрати перший варіант:
Примітка: якщо вам пізніше потрібно буде змінити тип мережі - інструкція у статті "Змінити тип мережі Windows 10".
Після цього "Провідник Windowsпокаже список комп'ютерів у локальній мережі:
Тепер ви можете увійти до тих папок на цих комп'ютерах, які мають спільний доступ.
Вхід через локальну мережуна комп'ютер з ім'ям "Home":
Наступний крок – потрібно налаштувати спільний доступ до папок Windows 10.
Як настроїти спільний доступ до папки Windows 10
У "Провідник Windows" знайдіть папку, для якої ви хочете надати спільний доступ. Натисніть на цій папці праву кнопку миші та в меню виберіть пункт " Властивості(на цій ілюстрації папка називається lan):
Примітка: ім'я папки має бути латиницею та без пробілів.
У вікні властивостей папки потрібно відкрити вкладку " Доступ" і там натиснути кнопку " Загальний доступ":
У наступному вікні потрібно відкрити список локальних користувачів (облікові записи на цьому комп'ютері) і в цьому списку вибрати "Всі":
Після цього натиснути кнопку "Додати":
Після цього потрібно для групи "Все" вказати права доступу на читання та запис:
Після цього потрібно натиснути кнопку "Готово":
Після цього знову буде відкрито вікно. Властивості папки". У ньому можна перевірити вкладку" Безпека", там має бути повний доступ для групи" Усі" (Windows автоматично змінює права файлової системи NTFS):
Все, на цьому налаштування доступу до конкретної папки закінчено. Якщо ви хочете розшарити якусь папку, ці дії потрібно повторити для кожної.
Примітка: розшарувати окремі файлине потрібно. Усі файли, які є в розшарованій папці, будуть доступні через мережу. Також будуть доступні по мережі та всі вкладеніпапки.
Залишилося остання дія.
Потрібно відкрити Центр управління мережами та спільним доступом" і в лівій частині клікнути на " Змінити додаткові параметри спільного доступу":
У наступному вікні потрібно відкрити профіль Усі мережі":
І там вимкнути параметр " спільний доступ із парольним захистом" і, звичайно, натиснути кнопку "Зберегти зміни":
На цьому налаштування доступу до мережі без пароля для Windows 10 завершено. Тепер можна буде входити через локальну мережу на цей комп'ютер і Windows не вимагатиме введення пароля.
Для перевірки зайдемо на комп'ютер Windows 10 з комп'ютера Windows XP:
Розшарована папка "lan" відкривається і в ній можна, через локальну мережу, редагувати та створювати файли.
Але якщо, тим не менш, Windows вимагає мережевий пароль
Незважаючи на те, що налаштування, які описані вище, зроблено при вході на цей комп'ютер, інший комп'ютер може запитувати мережевий пароль. Це можливо у двох випадках.
Локальні користувачі з однаковим ім'ям (логіном)
На обох комп'ютерах є локальні користувачі з однаковим ім'ям, але з паролями.
приклад. Є Comp1 та Comp2. На кожному з них є користувач з назвою User. Але на Comp1 у користувача пароль 123, а на Comp2 у нього пароль 456. При спробі входу в систему система буде запитувати пароль.
Рішення. Або прибрати збігаються логіни користувачів. Або для користувачів із однаковим логіном вказати однаковий пароль. Порожній пароль також вважається однаковим.
На Windows 10 немає жодного локального користувача
На Windows 10 можливий вхід та робота з обліковим записом Microsoft, за наявності Інтернету. При цьому можлива така ситуація, коли при встановленні Windows 10 взагалі не створювався локальний користувач (вхід був через обліковий запис Microsoft). У цьому випадку Windows також вимагатиме пароль при вході по локальній мережі.
Рішення. Створення локального користувача на комп'ютері Windows 10.
Якщо у вашій локальній мережі є старі комп'ютери
Якщо у вашій локальній мережі є комп'ютери під керуванням старих версій Windows або Linux, тоді ви можете зіткнутися з проблемою, коли Windows 10 не бачить такі комп'ютери.
Причина може бути в тому, що в останніх версіях Windows 10 відключили підтримку протоколу SMB версії 1. Як увімкнути підтримку SMB версії 1, написано у статті локальна мережа між Windows 10 та Windows XP.
Скасувати спільний доступ до папки Windows 10
На Windows 10 скасування загального доступу зроблено зовсім не очевидним (на відміну від Windows XP). На вкладці " Доступ" (Властивості папки) немає опції, як це було у Windows XP. Кнопку "Загальний доступ" натискати марно, там не можна скасувати спільний доступ.
Тепер, щоб скасувати спільний доступ, потрібно на вкладці " Доступ"натискати кнопку" Розширене налаштування":
І там відключати доступ (прибрати пташку на опції "Відкрити спільний доступ до цієї папки"):
Як то кажуть "вгадай із трьох разів".
Загальний доступ до папки Windows 10 через командний рядок
Все можна зробити набагато швидше, якщо використати командний рядок(Консоль, cmd.exe). Усього дві команди:
net share lan=c:\lan
net share lan /delete
Перша команда відкриває спільний доступ до папки c:\lanі ставить їй мережне ім'я lan.
Друга команда видаляє мережну (загальнодоступну) папку lan.Реальна папка c:\lanзвичайно, залишається на місці.
Загальний доступ до файлів Windows 10 через оснастку "Загальні папки"
У комплекті інструментів управління Windows 10 є спеціальна програма(оснащення) для керування спільними ресурсами на комп'ютері. Називається вона "Спільні папки" і запустити її можна командою fsmgmt.msc(В консолі або через Win + R):
Інакше це оснащення можна відкрити через меню Пуск: "Панель управління - Адміністрація - Керування комп'ютером - Загальні папки".
Загальний доступ до принтерів Windows 10
Загальний доступ до принтерів налаштовується так само, як і для папки. Потрібно відкрити аплет "Пристрої та принтери", знайти там потрібний принтер, відкрити його властивості та на вкладці "Доступ" визначити параметри доступу до мережі.
Налаштування локальної мережі для інших операційних систем
Якщо ви живете в м. Краснодар і вам необхідно налаштувати локальну мережу Windows
Іван Сухов, 2017, 2019 р .
Якщо вам виявилася корисною або просто сподобалася ця стаття, тоді не соромтеся - підтримайте матеріально автора. Це легко зробити закинувши грошики на Яндекс Гаманець № 410011416229354. Або на телефон +7 918-16-26-331 .
Навіть невелика сума може допомогти написанню нових статей:)
SMBабо Server Message Blockце протокол обміну по мережі, призначений для спільного використанняфайлів, принтерів та інших різних пристроїв. Існує три версії SMB – SMBv1, SMBv2 та SMBv3. З міркувань безпеки Microsoft рекомендує відключити SMB версії 1, оскільки він застарів і використовує технологію, якій майже 30 років. Щоб уникнути зараження вірусами-здирниками типу WannaCrypt, потрібно вимкнути SMB1 і встановити оновлення для операційної системи. Цей протокол використовується Windows 2000, Windows XP, Windows Server 2003 і Windows Server 2003 R2 – тому мережевий файловий доступ до даних версій ОС буде недоступним. Те саме стосується деяких мережевим сховищам, сканерам і т.п.
Вимкнення SMB1 з Панелі керування
Пуск -> Панель управління -> Програми та компоненти -> Увімкнення та вимкнення компонентів Windows
Вимикаємо 'Підтримка загального доступу до файлів SMB 1.0/CIFS'
Вимкнення SMB1 через Powershell
Відкрийте консоль Powershell з правами адміністратора та введіть наступну команду:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Вимкнути SMB1 за допомогою реєстру Windows
Також можна вимкнути SMBv1 запустивши regedit.exeі перейшовши до наступного розділу:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersСтворіть у цьому розділі DWORD SMB1зі значенням 0 .
Значення для увімкнення та вимкнення SMB1:
- 0 = Вимкнено
- 1 = Увімкнено
Після цього необхідно встановити оновлення MS17-010.Оновлення вийшло під всі версії Windows, включаючи Windows XP і Windows Server 2003, що не підтримуються більше.
І на закінчення хочеться сказати, що, не дивлячись на встановлений антивірусі регулярні оновлення операційної системи, якщо Вам дорогі ваші дані, необхідно в першу чергу думати про резервне копіювання.
Чому і як потрібно вимкнути SMB1 у Windows 10/8/7
Цієї осені Microsoft планує повністю відключити протокол SMBv1 у Windows 10 .
Мережевий протокол SMB першої версії було розроблено Microsoft вже кілька десятків років тому. Компанія чітко усвідомлює, що дні цієї технології вже давно вважаються.
Тим не менш, ця зміна торкнеться лише нових установки Windows 10. Якщо ви просто виконаєте оновлення до Windows 10 Fall Creators Update, протокол все ще залишиться в системі.
У тестовій збірці Windows 10 Insider Preview build 16226 SMBv1 вже повністю вимкнено. У версіях Домашня та Pro за замовчуванням видалено серверний компонент, але клієнт SMB1, як і раніше, залишається в системі. Це означає, що ви можете підключатися до пристроїв SMB1, але ніхто не зможе підключитися до вашої машини по ньому. У версіях Enterprise та Education SMB1 вимкнено повністю.
Нед Пайл (Ned Pyle) з Microsoft пояснив, що основною причиною для цього рішеннястало підвищення рівня безпеки:
“Це головна, але не єдина причина. Старий протокол був замінений на більш функціональний SMB2, який надає більш широкі можливості. Версія 2.02 поставляється з Windows Server 2008 та є мінімальною рекомендованою версією SMB. Щоб отримати максимальну безпеку та функціональність, варто використати версію SMB 3.1.1. SMB 1 давно морально застарів”.
Хоча SMBv1 все ще залишиться на пристроях, оновлених до Windows 10 Fall Creators Update, його можна вимкнути вручну.
Як вимкнути SMB1 у Windows 10
- Наберіть у пошуку мню Пуск Панель керуваннята перейдіть до "Програми та компоненти".
- У лівому меню виберіть “Увімкнення та вимкнення компонентів Windows”.
- Заберіть галочку біля об'єкта “ Підтримка спільного доступу до файлів SMB 1.0/CIFS”.
або за допомогою PowerShell:
- Клацніть правою кнопкоюмиші по меню Пуск, виберіть опцію Windows PowerShell(адміністратор)
- Виконайте команду Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
У діалоговому вікніНові властивості реєструвиберіть наступне:
- Дія:Створити
- Кущ: HKEY_LOCAL_MACHINE
- Шлях до розділу:SYSTEM\CurrentControlSet\Services\Lanman Server\Parameters
- Ім'я параметра:SMB1
- Тип значення:REG_DWORD.
- Значення: 0
Це відключить серверні компоненти SMB версії 1. Ця групова політика має бути застосована до всіх необхідних робочих станцій, серверів та контролерів домену в домені.
Примітка. Фільтри WMIможуть бути також налаштовані для виключення не підтримуваних операційних системабо вибраних винятків, таких як Windows XP.
Увага!Будьте обережні при внесенні змін на контролерах, де для застарілих систем, таких як Windows XP або Linux пізнішої версії, та сторонніх систем(які не підтримують протоколи SMB версії 2 або SMB версії 3) потрібен доступ до SYSVOL або інших спільним папкам, в яких SMB версії 1 було вимкнено.
Вимкнення клієнта SMB версія 1 з груповою політикою
Для відключення клієнта SMB версії 1 ключ служби розділу реєстру необхідно оновити для відключення запуску MRxSMB10 і потім залежність у MRxSMB10 повинна бути видалена із запису для LanmanWorkstation , щоб вона могла бути запущена стандартним способом без запиту MRxSMB10 при першому запуску.
Це оновлення замінює значення за промовчанням у наступних двох елементах реєстру
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\services\mrxsmb10
Параметр: Пуск REG_DWORD: 4 = вимкнено
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanWorkstation
Параметр: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20", "NSI"
Примітка. За замовчуванням містить MRxSMB10, який зараз виключений як залежність
Для налаштування за допомогою групової політики:
- Відкрийте Консоль управління груповими політиками . Клацніть правою кнопкою миші об'єкт групової політики (GPO), який має містити новий елемент, а потім натисніть Редагувати .
- У дереві консолі у розділі Конфігурація комп'ютерарозгорніть папку Установки , а потім розгорніть папку Параметри Windows .
- Клацніть правою кнопкою миші вузол Реєстр, натисніть Новий і виберіть пункт Реєстр.
У діалоговому вікні Нові властивості реєструвиберіть наступне:
- Дія: Оновлення
- Кущ : HKEY_LOCAL_MACHINE
- Шлях до розділу: SYSTEM\CurrentControlSet\services\mrxsmb 10
- Ім'я параметра: Start
- Тип значення: REG_DWORD.
- Значення даних: 4
Потім видаліть залежність у MRxSMB10, яка була відключена
У діалоговому вікні Нові властивості реєструвиберіть наступне:
- Дія: Замініть
- Кущ : HKEY_LOCAL_MACHINE
- Шлях до розділу: SYSTEM\CurrentControlSet\Services\Lanman Workstation
- Ім'я параметра: DependOnService
- Тип параметра REG_MULTI_SZ
- Значення даних:
- Bowser
- MRxSmb20
Примітка. Ці три рядки, не буде маркерів (див. нижче)
Значення за замовчуванням містять MRxSMB10 велику кількість версій Windows, тому заміна їх багатозначним рядком призведе до видалення MRxSMB10 як залежності для LanmanServer і переходу від чотирьох значень за замовчуванням лише до трьох значень, описаних вище.
Примітка. При використанні Консолі управління груповими політиками не потрібно використовувати лапки або коми. Просто введіть кожен запис окремим рядком, як зазначено вище
Потрібно перезавантаження:
Після застосування політики та введення параметрів реєстру SMB версія 1 буде вимкнена після перезавантаження системи.
Анотація
Якщо всі параметри знаходяться в одному об'єкті групової політики (GPO), то Керування груповими політиками відображає параметри нижче.
Тестування та перевірка
Після налаштування дайте дозвіл політиці виконати реплікацію та оновлення. Оскільки це необхідно для тестування, запустіть gpupdate /force з рядка CMD.EXE, а потім перегляньте цільові машини, щоб параметри реєстру були застосовані правильно. Переконайтеся, що SMB версії 2 та SMB версії 3 працюють для всіх систем у середовищі.
Увага! Не забудьте перезавантажити цільові системи.