Ако не можете да отворите мрежови папки на други мрежови устройства (NAS, Samba Linux сървъри) или на компютри с по-стари версии на Windows (Windows 7 / XP / 2003) от Windows 10, най-вероятно проблемът е, че новата ви версия на Windows 10 деактивирана поддръжка за остарели и несигурни версии на SMB протокола (използва се в Windows за достъп до споделени мрежови папки и файлове). Така че, като се започне с Windows 10 1709, протоколът SMBv1 и анонимен (гост) достъп до мрежовите папки чрез протокола SMBv2 бяха деактивирани.
Microsoft системно деактивира стари и опасни версии на SMB протокола във всички по-нови версии на Windows. Започвайки с Windows 10 1709 и Windows Server 2019 (както в Datacenter, така и в стандартни издания) протоколът SMBv1 е деактивиран по подразбиране в операционната система (не забравяйте атаката за извличане на WannaCry, която беше реализирана през дупка в SMBv1).Конкретните действия, които трябва да се предприемат, зависят от грешката, която се появява в Windows 10 при достъп до споделената папка и от настройките на отдалечения SMB сървър, на който се съхраняват споделените папки.
Съдържание:
- Не можете да получите достъп до папката за гости без удостоверяване
- Вашата система трябва да използва SMB2 или по-нова версия.
Не можете да получите достъп до папката за гости без удостоверяване
Започвайки с Windows 10 версия 1709 (Fall Creators Update) Enterprise and Education, потребителите започнаха да се оплакват, че когато се опитват да отворят мрежова папка на близкия компютър, се появи грешка:
Не можете да получите достъп до тази споделена папка, защото политиките за сигурност на вашата организация блокират достъпа на гостите без удостоверяване. Тези правила помагат да защитите компютъра си от несигурни или злонамерени устройства в мрежата..
Възникна грешка при повторно свързване на Y: до \\ nas1 \ share Microsoft Windows Network: Не можете да получите достъп до тази споделена папка, защото политиките за сигурност на вашата организация блокират неоторизиран достъп на гостите. Тези правила помагат да защитите компютъра си от опасни или злонамерени устройства в мрежата.
Освен това, на други компютри със стари версии на Windows 8.1 / 7 или на Windows 10 с надстройки до 1709, същите тези мрежови директории се отварят нормално. Този проблем се дължи на факта, че в съвременните версии на Windows 10 (започвайки от 1709 г.) мрежовият достъп до мрежови папки под акаунт за гости чрез протокол SMBv2 (и по-долу) е забранен по подразбиране. Гост (анонимен) достъп означава достъп до мрежова папка без удостоверяване. При достъп до акаунт за гости чрез протокола SMBv1 / v2 не се прилагат методи за защита на трафика, като SMB подписване и криптиране, което прави сесията ви уязвима за MiTM (човек в средата) атаки.
Когато се опитвате да отворите мрежова папка под гост, използвайки протокола SMB2, в дневника на SMB клиента (Microsoft-Windows-SMBClient) се записва грешка:
Източник: Идентификационен номер на събитието Microsoft-Windows-SMBClient: 31017 Отхвърлен несигурен гост за влизане.
В повечето случаи този проблем може да се срещне, когато се използват по-стари версии на NAS (обикновено за по-лесно конфигуриране, те включват достъп за гости) или при достъп до мрежови папки в по-стари версии на Windows 7/2008 R2 или Windows XP / 2003 с конфигуриран анонимен (гост) достъп (вижте таблицата на поддържаните SMB версии в различни версии на Windows).
В този случай Microsoft препоръчва промяна на настройките на отдалечен компютър или NAS устройство, което разпространява мрежови папки. Препоръчително е да превключите мрежовия ресурс в режим SMBv3. И ако се поддържа само протоколът SMBv2, конфигурирайте достъпа с удостоверяване. Това е най-добрият и безопасен начин за отстраняване на проблема..
В зависимост от устройството, на което се съхраняват мрежовите папки, трябва да деактивирате достъпа на гостите до тях.
- NAS устройство - забранете достъпа на гостите в настройките на вашето NAS устройство (в зависимост от модела);
- Samba сървър на Linux - ако разпространявате SMB директория с Linux, трябва да добавите реда в [глобалния] раздел на конфигурационния файл smb.conf:
карта на гост = никога
И в секцията с описание на мрежовата папка забранете анонимен достъп:гост ок = не - В прозорци Можете да активирате споделяне на мрежови папки и принтери със защита на паролата в раздела Контролен панел \ Всички елементи на контролния панел \ Център за мрежи и споделяне \ Разширени настройки за споделяне. За всички мрежи в секцията „Защита с парола споделяне“ променете стойността на „Активиране на споделянето на парола”(Включете споделянето, защитено с парола). В този случай анонимният (гост) достъп до папки ще бъде деактивиран и ще трябва да създадете местни потребители, да им предоставите достъп до мрежови папки и принтери и да използвате тези акаунти за свързване към споделени папки на този компютър.
Има и друг начин - да промените настройките на вашия SMB клиент и да разрешите достъп от него до мрежови папки под акаунта на гостите.
Този метод трябва да се използва само като временен (!!!), защото достъпът до папки без удостоверяване значително намалява нивото на сигурност на вашите данни.За да разрешите на гостите достъп от вашия компютър, отворете редактора на групови политики (gpedit.msc) и отидете в секцията: Конфигурация на компютъра -> Административни шаблони -> Мрежа -> Lanman Workstation (Конфигурация на компютъра -> Административни шаблони -> Мрежа -> Работна станция на Lanman). Активиране на политиката Активиране на несигурни гостувания.
В Windows 10 Home, който няма локален GPO редактор, можете да направите подобна промяна чрез редактора на системния регистър ръчно:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Параметри „AllowInsecureGuestAuth“ = dword: 1
Или с тази команда:
reg добави HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Параметри / v AllowInsecureGuestAuth / t reg_dword / d 00000001 / f
Вашата система трябва да използва SMB2 или по-нова версия.
Друг възможен проблем при достъп до мрежова папка от Windows 10 е поддръжката само от страна на сървъра на SMBv1 протокол. защото Клиентът SMBv1 е деактивиран по подразбиране в Windows 10 1709, когато се опитате да отворите топката, може да получите грешка:
Не можете да се свържете със споделената папка, защото тя не е защитена. Тази споделена папка използва остарелия протокол SMB1, който е опасен и може да изложи системата ви на риск от атака. Вашата система трябва да използва SMB2 или по-нова версия..
Не можете да се свържете с споделянето на файлове, защото не е защитен. Този дял изисква остарял SMB1 протокол, който е опасен и може да изложи системата ви на атака. Вашата система изисква SMB2 или по-висока версия.
В този случай съседните SMB устройства може да не се показват в мрежова среда и при отваряне на път през UNC може да се появи грешка 0x80070035.
Т.е. съобщението за грешка ясно показва, че мрежовата папка поддържа само протокола за достъп SMBv1. В този случай трябва да опитате да конфигурирате отдалеченото SMB устройство, за да поддържа поне SMBv2 (правилния и безопасен начин).
Ако Samba разпространява мрежови папки в Linux, можете да посочите минималната поддържана версия на SMB във файла smb.conf като този:
[глобален] мин протокол за сървър = SMB2_10 клиент макс протокол = SMB3 клиент мин протокол = SMB2_10 пароли за криптиране = вярно ограничаване анонимен = 2
В Windows 7 / Windows Server 2008 R2 можете да деактивирате SMBv1 и да активирате SMBv2 така:Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force
В Windows 8.1 деактивирайте SMBv1, активирайте SMBv2 и SMBv3 и проверете дали се използва частен или домейн профил за вашата мрежова връзка:
Disable-WindowsOptionsFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Ако вашето мрежово устройство (NAS, Windows XP, Windows Server 2003) поддържа само протокола SMB1, в Windows 10 можете да активирате отделния компонент SMB1Protocol-Client. Но това не се препоръчва.!!!
Стартирайте конзолата PowerShell и проверете дали SMB1Protocol-Client е деактивиран (Състояние: инвалиди):
Вземете-WindowsOptionsFeature -Online -FeatureName SMB1Protocol-Client
Активирайте поддръжката на протокола SMBv1 (изисква се рестартиране):
Активиране-WindowsOptionsFeature -Online -FeatureName SMB1Protocol-Client
Можете също да активирате / деактивирате допълнителни компоненти на Windows 10 (включително SMBv1) от менюто optionalfeatures.exe-> SMB 1.0 / CIFS Поддръжка за споделяне на файлове
В Windows 10 1709 и по-нови версии клиентът SMBv1 се изтрива автоматично, ако не се използва повече от 15 дни (компонентът за автоматично премахване на SMB 1.0 / CIFS е отговорен за това).
В този пример активирах само SMBv1 клиента. Не активирайте SMB1Protocol-Server компонента, ако вашият компютър не се използва от наследени клиенти като сървър за съхранение на обществени папки.След като инсталирате клиента SMBv1, трябва да можете да се свържете с мрежовата папка или принтер без проблеми. Трябва обаче да разберете, че използването на това решение не се препоръчва, защото застрашава вашата система.
