Включение или отключение протоколов smbv1, smbv2 и smbv3 в windows

Вы не можете получить гостевой доступ к общей папке без проверки подлинности

Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

An error occurred while reconnecting Y: to \nas1share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

При это на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Эта проблем связана с тем, что в современных версиях Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.

При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:

Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.

В большинстве случае с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).

В этом случае Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.

В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.

• NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
• Samba сервер на Linux — если вы раздаете SMB каталог с Linux, в конфигурационном файле smb.conf в секции нужно добавить строку:А в секции с описанием сетевой папки запретить анонимный доступ:
• В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control PanelAll Control Panel ItemsNetwork and Sharing CenterAdvanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) имените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для подключения к общим папкам на этом компьютере.

Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.

Этот способ нужно использовать только как временный (!!!), т.к. доступ к папкам без проверки подлинности существенно снижает уровень безопасности ваших данных.

Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).

В Windows 10 Home, в которой нет редактора локальной GPO, вы можете внести аналогичное изменение через редактор реестра вручную:

HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters “AllowInsecureGuestAuth”=dword:1

Или такой командой:

Поддержка SMB 1.0 в windows Server 2012 R2

В windows Server 2012 R2 была представлена новая версия протокола SMB 3 (технически это SMB 3.02, т.к. версия SMB 3.0 появлялась еще в windows Server 2012), а драйвер устаревшего протокола SMB 1.0 теперь по-умолчанию отключен и его компоненты не загружаются. Вследствие отсутствия поддержки SMB 1.0 устаревшие (windows XP, Server 2003 и ) и совместимые клиенты (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, старые версии Linux) не смогут получить доступ к файлам, расположенным файловом сервере  под управлением windows 2012 R2.

Различные версии протокола SMB появлялись в следующих версиях windows:

• CIFS — windows NT 4.0
• SMB 1.0 — windows 2000
• SMB 2.0 — windows Server 2008 и WIndows Vista SP1
• SMB 2.1 — windows Server 2008 R2 и windows 7
• SMB 3.0 — windows Server 2012 и windows 8
• SMB 3.02 — windows Server 2012 R2 и windows 8.1

При сетевом взаимодействии по SMB между клиентом и сервером используется максимальная версия протокола, поддерживаемая одновременно клиентом и сервером.

Сводная таблица о совместимости версии SMB на стороне клиента и сервера выглядит так:

Операционная система	windows 8.1, Server 2012 R2	windows 8, Server 2012	windows 7, Server 2008 R2	windows Vista, Server 2008	windows XP, Server 2003 и ниже
windows 8.1 , Server 2012 R2	SMB 3.02	SMB 3.0	SMB 2.1	SMB 2.0	SMB 1.0
windows 8 , Server 2012	SMB 3.0	SMB 3.0	SMB 2.1	SMB 2.0	SMB 1.0
windows 7, Server 2008 R2	SMB 2.1	SMB 2.1	SMB 2.1	SMB 2.0	SMB 1.0
windows Vista, Server 2008	SMB 2.0	SMB 2.0	SMB 2.0	SMB 2.0	SMB 1.0
windows XP, 2003 и ниже	SMB 1.0	SMB 1.0	SMB 1.0	SMB 1.0	SMB 1.0

Так, например, при подключении клиентского компьютера с windows 7 к файловому серверу с windows Server 2012 будет использоваться протокол SMB 2.1

Согласно таблице windows XP, windows Server 2003 для доступа к общим файлам и папкам могут использовать только SMB 1.0, который по-умолчанию в windows Server 2012 R2 отключен.  Таким образом, если в вашей инфраструктуре одновременно оказались машины с windows XP (снятой с поддержки), windows Server 2003 / R2 и сервера с windows Server 2012 R2 нужно понимать, что устаревшие клиенты не смогут получить доступ к файлам и папкам на файловом сервере с новой ОС. А в том случае, если в windows 2012 R2 используется в качестве контроллера домена, то это означает, что клиенты на windows XP / Server 2003 не смогут выполнить логон скрипты (NETLOGON) и некоторые групповые политики, хранящиеся в сетевых папках на контроллерах домена (например, при использовании централизованного хранилища adm-шаблонов). На клиентах при попытке подключится к ресурсу на файловом сервере появляется ошибка

Если посмотреть набор установленных по-умолчанию фич windows Server 2012 R2, среди них можно заметить установленную функцию с именем SMB 1.0/CIFS File Sharing Support. При установке данной роли в системе появляется служба Обозревателя компьютеров (Computer Browser), но сам драйвер SMB 1.0 не активен.

Совет. Если в сети не требуется поддерживать старую версию SMB для компьютеров с windows XP или windows Server 2003, этот функционал с целью уменьшения нагрузки на систему и  повышений безопасности можно отключить командой

В windows Server 2012  по-умолчанию загружаются драйверы как SMB 1, так и SMB 2. Чтобы удостоверится в этом, откроем свойства системной службы Server (LanmanServer) и на вкладке Dependencies убедимся, что на сервере одновременно работают драйвера Server SMB 1.xxx Driver и  SMB 2.xxx Driver.

Если открыть свойства этой же службы на windows 2012 R2 мы увидим, что драйвер, обеспечивающий поддержку SMB 1.0, отсутствует и исключен из зависимостей.

Чтобы восстановить доступ клиентов XP / 2003 по SMB к файловым серверам / контроллерам домена на windows Server 2012 R2 можно активировать поддержку SMB 1 через реестр.

Чтобы включить поддержку SMB 1.0 на windows Server 2012 R2 откройте редактор реестра,  перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer и измените значение параметра DependOnService с SamSS Srv2 на SamSS Srv.

После этого сервер нужно перезагрузить и убедится, что драйвер SMB 1.0 вновь работает.

Эту операцию нужно выполнить на всех файловых серверах и контроллерах домена, к которым подключаются старые версии ОС.

Включение и отключение SMBv1, SMBv2 и SMBv3 в Windows

Рассмотрим способы включения, отключения различных версий SMB в Windows. Мы рассматриваем отдельно включение клиента и сервера SMB (это разные компоненты).

Windows 10, 8.1, Windows Server 2019/2016/2012R2:

Отключить клиент и сервер SMBv1: Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Отключить только SMBv1 сервер: Set-SmbServerConfiguration -EnableSMB1Protocol $false

Включить клиент и сервер SMBv1: Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Включить только SMBv1 сервер: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Отключить сервер SMBv2 и SMBv3: Set-SmbServerConfiguration -EnableSMB2Protocol $false

Включить сервер SMBv2 и SMBv3: Set-SmbServerConfiguration -EnableSMB2Protocol $true

Windows 7, Vista, Windows Server 2008 R2/2008:

Отключить SMBv1 сервер:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 –Force

Включить SMBv1 сервер: Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 1 –Force

Отключить SMBv1 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsisc.exe config mrxsmb10 start= disabled

Включить SMBv1 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsisc.exe config mrxsmb10 start= auto

Отключить SMBv2 сервер:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 0 -Force

Включить SMBv2 сервер

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 1 –Force

Отключить SMBv2 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsisc.exe config mrxsmb20 start= disabled

Включить SMBv2 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsisc.exe config mrxsmb20 start= auto

Для отключения SMBv2 нужно в этой же ветке установить параметр SMB2=0.

Для отключения SMBv1 клиента нужно распространить такой параметр реестра:

• Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
• Name: Start
• Type: REG_DWORD
• Value: 4

При отключении SMB 1.0/CIFS File Sharing Support в Windows вы можете столкнуться с ошибкой “0x80070035, не найден сетевой путь”, ошибкой при доступе к общим папкам, и проблемами обнаружения компьютеров в сетевом окружении. В этом случае вместо служба обозревателя компьютеров (Computer Browser) нужно использовать службы обнаружения (линк).

Источник

Принудительное установление соединения к сетевой папке со стороны STB

ручная настройка

• Во Встроенном портале открыть Главное окно
  ⇒
  Home
  Media
  ⇒
  Сетевое окружение
  
• Вызвать окно Operations
  (Операции
  ) — кнопка Меню
  на ПДУ.
• Нажать Подключить NFS/SMB (Connect NFS/SMB
  )
  .
• В окне Подключение сетевой папки
  (Connect network folder
  ) ввести параметры соединения:
  • Адрес сервера
    (Server Address
    ) – IP-адрес ПК (файлового сервера), на котором размещена требуемая сетевая папка;
  • Папка на сервере
    (Server folder
    ) – имя папки (каталога) на ПК, для которой установлен общий доступ;
  • Локальная папка
    (Local folder
    ) – имя папки на STB (по умолчанию, совпадает с именем папки на сервере);
  • Тип подключения
    (Connection type
    ) – SMB
    .
  • Логин
    (Login
    ) – логин доступа — вводится, если для папки используется доступ по паролю. Вводимое значение совпадает с именем пользователя ПК
    ;

  • Пароль
    (Password
    ) – пароль доступа к папке — вводится, если для папки используется доступ с паролем.Примечание
    . Если для папки используется беспарольный доступ, поля Логин
    и Пароль
    должны быть пустыми!

Как определить состояние, включить и отключить протоколы SMB на сервере SMB

Для Windows 8 и Windows Server 2012

В Windows 8 и Windows Server 2012 появился новый командлет Windows PowerShell Set-смбсерверконфигуратион . Командлет позволяет включать или отключать протоколы SMBv1, SMB и SMBv3 на серверном компоненте.

Примечание

При включении или отключении протоколов SMB в Windows 8 или Windows Server 2012 также включается или отключается SMBv3. Это происходит из-за того, что эти протоколы используют один и тот же стек.

После запуска командлета Set-смбсерверконфигуратион перезагружать компьютер не требуется.

SMBv1 на SMB Server

• Автоматическое

  Get-SmbServerConfiguration | Select EnableSMB1Protocol

• Включен

  Set-SmbServerConfiguration -EnableSMB1Protocol $false

• Включите параметр

  Set-SmbServerConfiguration -EnableSMB1Protocol $true

Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.

SMB V2/V3 на SMB-сервере

• Автоматическое

  Get-SmbServerConfiguration | Select EnableSMB2Protocol

• Включен

  Set-SmbServerConfiguration -EnableSMB2Protocol $false

• Включите параметр

  Set-SmbServerConfiguration -EnableSMB2Protocol $true

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы включить или отключить протоколы SMB на сервере SMB под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Методы PowerShell

Примечание

Для этого метода требуется PowerShell 2,0 или более поздней версии PowerShell.

SMBv1 на SMB Server

Автоматическое

Get-Item HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters | ForEach-Object {Get-ItemProperty $_.pspath}

Конфигурация по умолчанию — включено (раздел реестра не создается), поэтому значение SMB1 не будет возвращено.

Включен

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Type DWORD -Value 0 -Force

Включите параметр

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Type DWORD -Value 1 -Force

Примечание . После внесения этих изменений необходимо перезагрузить компьютер.Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.

2.0/V3 на SMB-сервере

Автоматическое

Get-ItemProperty HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters | ForEach-Object {Get-ItemProperty $_.pspath}

Включен

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB2 -Type DWORD -Value 0 -Force

Включите параметр

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB2 -Type DWORD -Value 1 -Force

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

Редактор реестра

Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

Registry entry: SMB1REG_DWORD: 0 = DisabledREG_DWORD: 1 = EnabledDefault: 1 = Enabled (No registry key is created)

Чтобы включить или отключить протокол SMB 2.0 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

Registry entry: SMB2REG_DWORD: 0 = DisabledREG_DWORD: 1 = EnabledDefault: 1 = Enabled (No registry key is created)

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

SMB Windows 10: настройка и как включить SMB1 и SMB2

Всем привет! Сегодня столкнулся с такой проблемой. При построении локальной сети с двумя компьютерами первый (Windows 10) наотрез отказывается видеть другой комп (Windows 7). Все настройки я произвел правильно и открыл общий доступ. Но как потом оказалось, вся проблема в специальном сетевом протоколе SMB 1. Дело в том, что это старый протокол, который работает на олдскульных ОС. И он есть в десятке, но на последних обновлениях операционной системы Microsoft решила его отключить (во имя безопасности).

Симптомы достаточно простые. Вы выполнили все нужные настройки, заходите в раздел сети, а там ничего кроме вашего маршрутизатора не отображается. Бывает такое, что компьютер вы видите, и даже можете на него зайти, но вот при попытке открыть расшаренную папку можно лицезреть вот такое вот сообщение:

«Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который не безопасен и может подвергнуть вашу систему риску атаки.»

Может быть еще вот такой текст ошибки: «Не удалось выполнить сопоставление сетевого диска из-за следующей ошибки». Ну и дальше все в том же духе.

Кстати, некоторые старые роутеры, также исползают устаревший SMB1 протокол – поэтому если у вас еще наблюдается проблема с доступом к жесткому диску или флешке, которые подключены к роутеру, то дальнейшие инструкции вам также будут полезны. Что мы будем делать? – нам нужно просто включить протокол SMBv1, и проблема будет решена. Поехали!

Включения SMB1 на Windows 10

Открываем меню «Пуск» и в поисковой строке вводим «Включение и отключение компонентов Windows». Можете просто ввести не полное слово «компонент». Вы также можете зайти туда через «Панель управления» (нажимаем кнопки «Win» и «R» – вводим команду: control). Далее заходим в «Программы и компоненты» и слева выбираем тот же самый пункт с отключением и включением компонентов.

Находим раздел с упоминанием нашего любимого протокола и включаем в папке все галочки. В самом конце нажимаем «ОК», чтобы изменения были приняты.

После этого SMB-1 в Windows 10 будет включено, и проблемы с сетью возникнуть не должны. Я бы на всякий случай перезагрузил компьютер. Но если вы все равно не видите какой-то компьютер в сети, или есть проблемы с доступом, смотрим следующую главу.

Проверка настроек

Нам нужно посмотреть настройки общего доступа и есть ли они у вас вообще.

1. В «Пуске» нажмите по шестеренке.

1. Заходим в раздел «Сеть и Интернет».

1. Тут же на первой странице (вкладка «Состояние») откройте «Свойства» того подключения, которое вы используете для коннекта с роутером. Если вы подключены по кабелю, то выбираем «Ethernet», если вы подключены по «Wi-Fi», то выбираема второе подключение. На старых версиях нужно открыть ссылку «Изменить свойства подключения».

1. Убедитесь, чтобы тип сетевого профиля был как «Частный». Вернитесь обратно, нажав по стрелки влево.

1. Пролистните чуть ниже и откройте «Центр управления сетями…». Этот раздел может также называться как «Параметры общего доступа». Поэтому можете ориентироваться по значку или найти раздел со словами «Общий доступ».

1. Слева выбираем третий пункт для изменения параметров.

1. Так как мы уже изменили текущий профиль на частный, то открываем его.

1. Теперь открываем раздел «Все сети» и включаем сетевое обнаружение для папок. Шифрование должно стоять в нужной позиции, но если это не так, то включите 128-и битное шифрование. Обязательно отключите параметр, который будет запрашивать у вас пароль при заходе в общую папку или при запросе к этому компьютеру.

1. В самом конце сохраняем изменения.

Включение SMB2

Сначала давайте проверим статус SMBv2. Для это откройте «PowerShell» с правами админа, нажав ПКМ по кнопке «Пуск».

Если вы видите значение «True», то значит протокол работает. Если стоит значение «False», то включить параметр можно также с помощью команды:

Далее кликаем по «Y» и на «Enter», чтобы подтвердить свои действия. Если же вы хотите отключить SMB2, то вместо «true» ставим «false». В конце не забываем перезагрузить систему.

Ничего не помогло, папку или компьютер не видно, ничего не работает

Если проблема остается, то есть несколько вариантов – от неправильных сетевых настроек до проблем с некоторыми службами в самой операционной системе. Все решения я уже описал в отдельной статье, и с ней вы можете ознакомиться по этой ссылке. То, что описано там, должно помочь.

Как проверить можно ли заразить ваш компьютер

Как я и писал выше, жертвами становятся те компьютеры у кого работает протокол smb v1, который требует отключения. Ниже я вам предоставлю утилиту, с помощью которой вы сможете проверить удовлетворяет ли ваш или другой компьютер в сети, требованиям по безопасности.

KB обновления защищающие от wannacrypt  и Petya

Вот подробный список KB для разных операционных систем Windows:

Windows XP

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Windows Vista и Windows Server 2008

• KB4012598 — 32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598
• KB4012598 — 64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598

Windows 7

• KB4012212 — 32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
• KB4012215 — 32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215
• KB4012212 — 64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
• KB4012215 — 64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows Server 2008 R2

• KB4012212 — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
• KB4012215 — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows 8.1

• KB4012213 — 32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
• KB4012216 — 32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216
• KB4012213 — 64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
• KB4012216 — 64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows Server 2012 R2

• KB4012214 — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
• KB4012217 — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012217
• KB4012213 — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
• KB4012216 — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows 10

• KB4012606 -32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
• KB4012606 -64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
• Windows 10 1511 — KB4013198 — 32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
• Windows 10 1511 — KB4013198 — 64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
• Windows 10 1607 — KB4013429 — 32 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429
• Windows 10 1607 — KB4013429 — 64 бита — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Windows Server 2016

KB4013429 — http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Теперь зная нужные KB мы легко можем проверить, где не хватает обновлений и включен протокол smb v1. Ниже я вам предоставлю два метода поиска бреши.

• Утилита SecurityChecker.v2
• Power shell

Утилита SecurityChecker.v2

Данная утилита может показать, где включен smb v1 и 2.0, а так же проверить компьютер или компьютеры локальной сети на наличие нужного обновления.

Скачать SecurityChecker.v2

В открывшейся программе, вам необходимо нажать кнопку «Add» и добавить компьютер или компьютеры, требующие проверки. Через кнопку KB вы можете подгрузить файл находящийся в корне утилиты с нужными KB для проверки, после чего нажимаете «Check». По результату проверки, вы увидите, стоит ли вам выполнить отключение smb v1 или же нет. На моем примере, вы видите, что и первая и вторая версии включены.

Проверить протокол smb v1 можно и через powershell. Открываем его от имени администратора и вводим такую команду:

get-hotfix -ComputerName имя вашего компьютера -Id нужная kb

Если у вас есть UNC соединения к вашему компьютеру, то вы можете посмотреть их версии командой

Get-SmbConnection

5. Активируйте протокол SMB2 с помощью Windows PowerShell Windows 10.

Теперь мы снова будем использовать консоль PowerShell для управления протоколом SMB2 в Windows 10.

Обнаружение протокола SMB2 с помощью PowerShell

Для выполнения этого действия мы выполним следующий командлет. Мы видим, что результат действителен.

 Get-SmbServerConfiguration | Выберите EnableSMB2Protocol 

Включить SMB2 с помощью PowerShell

Чтобы включить протокол SMB2 в Windows 10, мы выполним следующее:

 Set-SmbServerConfiguration –EnableSMB2Protocol $ true 

Там мы вводим букву S и нажимаем Enter, чтобы завершить действие.

Отключить SMB2 с помощью PowerShell

Если по какой-то причине мы хотим отключить этот протокол SMB2, просто запустите следующий командлет:

 Set-SmbServerConfiguration –EnableSMB2Protocol $ false 

Мы также вводим букву S для подтверждения и нажимаем Enter. Мы видим, что SMB состоит из двух элементов: «Клиент» и «Сервер». В этом руководстве мы основываемся на клиенте, который идеально подходит для передачи файлов, но Solvetic в своей идее предоставления наилучшей информации объяснит некоторые способы управления SMB. на уровне сервера, который используется в Windows 10 и Windows Server.

Обнаружение SMB1-сервера с помощью PowerShell

Чтобы обнаружить сервер SMB1 с помощью PowerShell, мы выполним следующее:

 Get-Item HKLM:  SYSTEM  CurrentControlSet  Services  LanmanServer  Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath} 

Чтобы включить сервер SMB1, мы выполним следующее:

 Set-ItemProperty -Path "HKLM:  SYSTEM  CurrentControlSet  Services  LanmanServer  Parameters" SMB1 -Тип DWORD -Значение 1 –Force 

Чтобы отключить сервер SMB1, мы запустим следующий командлет:

 Set-ItemProperty -Path "HKLM:  SYSTEM  CurrentControlSet  Services  LanmanServer  Parameters" SMB1 -Тип DWORD -Значение 0 - Принудительно 

Обнаружение сервера SMB2 или SMB3 с помощью PowerShell

Чтобы обнаружить SMB2 или SMB3 на сервере, мы выполним следующее:

 Get-ItemProperty HKLM:  SYSTEM  CurrentControlSet  Services  LanmanServer  Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath} 

Чтобы включить его, мы выполняем:

 Set-ItemProperty -Path "HKLM:  SYSTEM  CurrentControlSet  Services  LanmanServer  Parameters" SMB2 -Тип DWORD -Значение 1 –Force 

Чтобы отключить его мы выполним. Рекомендуется перезагрузить систему, чтобы изменения вступили в силу.

 Set-ItemProperty -Path "HKLM:  SYSTEM  CurrentControlSet  Services  LanmanServer  Parameters" SMB2 -Тип DWORD -Значение 0 - Принудительно 

Сценарии использования сетевой файловой системы

NFS поддерживает смешанную среду операционных систем на основе Windows и UNIX. Следующие сценарии развертывания являются примерами того, как можно развернуть постоянно доступный файловый сервер Windows Server 2012 с помощью NFS.

Предоставление файловых ресурсов в разнородных средах

Этот сценарий относится к организациям с разнородными средами, которые состоят из Windows и других операционных систем, таких как клиентские компьютеры под управлением UNIX или Linux. В этом сценарии вы можете предоставить доступ с несколькими протоколами к одной и той же общей папке по протоколам SMB и NFS. Как правило, при развертывании файлового сервера Windows в этом сценарии необходимо упростить совместную работу пользователей на компьютерах под управлением Windows и UNIX. Если общая папка настроена, она используется совместно с протоколами SMB и NFS, когда пользователи Windows обращаются к своим файлам по протоколу SMB, а пользователи на компьютерах UNIX обычно обращаются к своим файлам по протоколу NFS.

Для этого сценария необходимо иметь действительную конфигурацию источника сопоставления удостоверений. Windows Server 2012 поддерживает следующие хранилища сопоставления удостоверений.

• Файл сопоставления
• Доменные службы Active Directory (AD DS)
• Хранилища LDAP, соответствующие RFC 2307, такие как службы Active Directory облегченного доступа к каталогам (AD LDS)
• Сервер сопоставление имен пользователей (УНМ)

Предоставление файловых ресурсов в средах на базе UNIX

В этом сценарии файловые серверы Windows развертываются в среде с предварительной средой UNIX, чтобы предоставить доступ к общим файловым ресурсам NFS для клиентских компьютеров на базе UNIX. Изначально параметр несопоставленного доступа пользователей UNIX (УУУА) был первоначально реализован для общих папок NFS в Windows Server 2008 R2, поэтому серверы Windows можно использовать для хранения данных NFS без создания сопоставления учетных записей UNIX и Windows. УУУА позволяет администраторам быстро подготавливать и развертывать NFS без необходимости настраивать сопоставление учетных записей. Если параметр включен для NFS, УУУА создает пользовательские идентификаторы безопасности (SID) для представления несопоставленных пользователей. Сопоставленные учетные записи пользователей используют стандартные идентификаторы безопасности Windows (SID), а несопоставленные пользователи используют настраиваемые идентификаторы (SID) NFS.

Причина

Это изменение в поведении по умолчанию по умолчанию по проекту и рекомендуется Корпорацией Майкрософт для обеспечения безопасности.

Вредоносный компьютер, который выдает себя за законный файл-сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Рекомендуется не изменять этот параметр по умолчанию. Если удаленное устройство настроено на использование учетных данных гостей, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную проверку подлинности и авторизацию.

Windows и Windows Server не включили гостевой доступ и не разрешили удаленным пользователям подключаться в качестве гостей или анонимных пользователей с 2000 г. Windows 2000 г. Только сторонним удаленным устройствам может потребоваться гостевой доступ по умолчанию. Операционные системы, предоставляемые Корпорацией Майкрософт, не работают.