Če ne morete odpreti omrežnih map v drugih omrežnih napravah (NAS, Samba Linux strežniki) ali v računalnikih s starejšimi različicami sistema Windows (Windows 7 / XP / 2003) iz sistema Windows 10, je najverjetneje težava vaša nova različica sistema Windows 10 onemogočena podpora za zastarele in nevarne različice protokola SMB (uporablja se v sistemu Windows za dostop do skupnih mrežnih map in datotek). Torej, od sistema Windows 10 1709 je bil protokol SMBv1 in anonimni (gost) dostop do mrežnih map prek protokola SMBv2 onemogočen.
Microsoft sistematično onemogoča stare in nevarne različice protokola SMB v vseh nedavnih različicah sistema Windows. Začenši z operacijskim sistemom Windows 10 1709 in Windows Server 2019 (tako v izdajah Datacenter kot Standard) je v operacijskem sistemu protokol SMBv1 privzeto onemogočen (spomnite se napada napada z WnsnaCry, ki je bil izveden skozi luknjo v SMBv1).Posebna dejanja, ki jih je treba izvesti, so odvisna od napake, ki se pojavi v sistemu Windows 10 pri dostopu do mape v skupni rabi in od nastavitev oddaljenega strežnika SMB, na katerem so shranjene mape v skupni rabi..
Vsebina:
- Do mape gostov ne morete dostopati brez preverjanja pristnosti
- Vaš sistem mora uporabljati SMB2 ali novejšo različico.
Do mape gostov ne morete dostopati brez preverjanja pristnosti
Začenši z Windows 10 različico 1709 (Fall Creators Update) Enterprise and Education, so se uporabniki začeli pritoževati, da se je med poskusom odpiranja omrežne mape na bližnjem računalniku pojavila napaka:
Do te mape v skupni rabi ne morete dostopati, ker varnostni pravilniki vaše organizacije blokirajo dostop gostov brez overjanja. Ti pravilniki pomagajo zaščititi vaš računalnik pred nevarnimi ali zlonamernimi napravami v omrežju..
Pri ponovnem povezovanju Y je prišlo do napake \ \ nas1 \ share Microsoft Windows Network: Do te mape v skupni rabi ne morete dostopati, ker varnostne politike vaše organizacije blokirajo nepooblaščen dostop gostov. Ta pravila pomagajo zaščititi vaš računalnik pred nevarnimi ali zlonamernimi napravami v omrežju.
Še več, v drugih računalnikih s starimi različicami sistema Windows 8.1 / 7 ali v sistemu Windows 10 z nadgradnjo do 1709 se ti isti omrežni imeniki normalno odprejo. Ta težava je posledica dejstva, da je v sodobnih različicah sistema Windows 10 (začenši z 1709) omrežni dostop do mrežnih map v računu gostov s protokolom SMBv2 (in spodaj) privzeto prepovedan. Gost (anonimni) dostop pomeni dostop do omrežne mape brez overjanja. Pri dostopu do gostujočega računa s protokolom SMBv1 / v2 se metode zaščite prometa, kot sta SMB podpisovanje in šifriranje, ne uporabljajo, zaradi česar je vaša seja ranljiva za napade MiTM (človek v sredini).
Ko poskušate odpreti omrežno mapo pri gostu s protokolom SMB2, se v dnevniku odjemalca SMB zabeleži napaka (Microsoft-Windows-SMBClient):
Vir: ID za dogodek Microsoft-Windows-SMBClient: 31017 Zavrnil je negotovo prijavo gosta.
V večini primerov je to težavo mogoče uporabiti pri uporabi starejših različic NAS (običajno za lažjo konfiguracijo, vključujejo dostop gostov) ali pri dostopu do mrežnih map v starejših različicah Windows 7/2008 R2 ali Windows XP / 2003 z konfiguriranim anonimnim (gostujočim) dostopom (glejte tabelo podprtih različic SMB v različnih različicah sistema Windows).
V tem primeru Microsoft priporoča spremembo nastavitev na oddaljenem računalniku ali napravi NAS, ki distribuira omrežne mape. Priporočljivo je, da omrežni vir preklopite v način SMBv3. In če je podprt samo protokol SMBv2, konfigurirajte dostop s preverjanjem pristnosti. To je najboljši in najvarnejši način za odpravo težave..
Glede na napravo, v kateri so shranjene omrežne mape, morate onemogočiti dostop gostov do njih.
- NAS naprava - onemogočite dostop gostov v nastavitvah naprave NAS (odvisno od modela);
- Samba strežnik v Linuxu - če distribuirate imenik SMB z Linuxom, morate dodati vrstico v [globalni] del konfiguracijske datoteke smb.conf:
zemljevid za gosta = nikoli
V razdelku z opisom omrežne mape prepovejte anonimni dostop:gost ok = ne - V oknih Delitev mrežnih map in tiskalnikov z zaščito gesla lahko omogočite v razdelku Nadzorna plošča \ Vsi elementi nadzorne plošče \ Center za omrežje in skupno rabo \ Napredne nastavitve skupne rabe. Za vsa omrežja v razdelku »Skupna zaščita z geslom« spremenite vrednost v »Omogoči skupno rabo gesla”(Vklopite skupno rabo z geslom). V tem primeru bo anonimni (gostujoči) dostop do map onemogočen in ustvariti boste morali lokalne uporabnike, jim omogočiti dostop do mrežnih map in tiskalnikov in uporabiti te račune za povezovanje v mape v skupni rabi v tem računalniku..
Obstaja še en način - spremeniti nastavitve odjemalca SMB in mu omogočiti dostop do mrežnih map pod računom gostov.
To metodo je treba uporabljati le kot začasno (!!!), ker dostop do map brez preverjanja pristnosti znatno zmanjša raven varnosti vaših podatkov.Če želite gostu omogočiti dostop iz računalnika, odprite urejevalnik skupinskih pravilnikov (gpedit.msc) in pojdite na razdelek: Konfiguracija računalnika -> Upravne predloge -> Omrežje -> Lanman Workstation (Konfiguracija računalnika -> Administrativne predloge -> Omrežje -> Lanman Workstation) Omogoči pravilnik Omogoči nevarne prijave gostov.
V sistemu Windows 10 Home, ki nima lokalnega urejevalnika GPO, lahko podobno spremembo opravite prek urejevalnika registra ročno:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parametri “AllowInsecureGuestAuth” = dword: 1
Ali s tem ukazom:
reg dodaj HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parameters / v AllowInsecureGuestAuth / t reg_dword / d 00000001 / f
Vaš sistem mora uporabljati SMB2 ali novejšo različico.
Druga možna težava pri dostopu do omrežne mape iz sistema Windows 10 je podpora samo s protokolom SMBv1 na strani strežnika. Ker Odjemalec SMBv1 je privzeto onemogočen v sistemu Windows 10 1709, ko poskusite odpreti žogo, lahko pride do napake:
Ne morete se povezati z mapo v skupni rabi, ker ni varna. Ta mapa v skupni rabi uporablja zastareli protokol SMB1, ki ni varen in lahko vaš sistem ogrozi napad. Vaš sistem mora uporabljati SMB2 ali novejšo različico..
Ne morete se povezati s skupno rabo datoteke, ker ni varna. Za ta delež je potreben zastareli protokol SMB1, ki ni varen in bi lahko vaš sistem izpostavil napadom. Vaš sistem potrebuje SMB2 ali višje.
V tem primeru sosednje naprave SMB morda niso prikazane v omrežnem okolju in pri odpiranju poti skozi UNC se lahko pojavi napaka 0x80070035.
I.e. sporočilo o napaki jasno kaže, da omrežna mapa podpira samo dostopni protokol SMBv1. V tem primeru morate poskusiti znova konfigurirati oddaljeno napravo SMB tako, da podpira vsaj SMBv2 (pravilen in varen način).
Če Samba distribuira omrežne mape v Linuxu, lahko v datoteki smb.conf določite minimalno podprto različico SMB:
[globalni] min protokol strežnika = največ protokola stranke SMB2_10 = protokol min min SMP3 odjemalca = SMB2_10 šifriranje gesel = resnično omeji anonimno = 2
V sistemu Windows 7 / Windows Server 2008 R2 lahko onemogočite SMBv1 in omogočite SMBv2 takole:Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force
V sistemu Windows 8.1 onemogočite SMBv1, omogočite SMBv2 in SMBv3 in preverite, ali je za omrežno povezavo uporabljen zasebni ali domenski profil:
Onemogoči-WindowsOtionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Če vaša omrežna naprava (NAS, Windows XP, Windows Server 2003) podpira samo protokol SMB1, lahko v sistemu Windows 10 omogočite ločeno komponento SMB1Protocol-odjemalec. Vendar to ni priporočljivo.!!!
Zaženite konzolo PowerShell in preverite, ali je SMB1Protocol-odjemalec onemogočen (Stanje: onemogočeno):
Get-WindowsOtionalFeature -Online -FeatureName SMB1Protocol-odjemalec
Omogočite podporo protokolu SMBv1 (potreben je ponovni zagon):
Omogoči-WindowsOtionalFeature -Online -FeatureName SMB1Protocol-odjemalec
V meniju lahko tudi omogočite / onemogočite dodatne komponente sistema Windows 10 (vključno s SMBv1) neobveznofeatures.exe-> Podpora za skupno rabo datotek SMB 1.0 / CIFS
V operacijskem sistemu Windows 10 1709 ali novejši se odjemalec SMBv1 samodejno izbriše, če ga ne uporabljate več kot 15 dni (za to je odgovorna komponenta samodejnega odstranjevanja SMB 1.0 / CIFS).
V tem primeru sem omogočil samo odjemalca SMBv1. Ne omogočite komponente SMB1Protocol-Server, če starejših odjemalcev vaš računalnik ne uporablja za shranjevanje javnih map.Po namestitvi odjemalca SMBv1 bi se morali brez težav povezati z omrežno mapo ali tiskalnikom. Vendar morate razumeti, da uporaba tega rešitve ni priporočljiva, ker ogroža vaš sistem.
