Windows 10 не видит smb. Не отображаются общие папки, сетевые компьютеры, флешки, диски на вкладке «Сеть» проводника Windows. Настройка локальной сети для других ОС
SMB или Server Message Block это протокол обмена по сети, предназначенный для совместного использования файлов, принтеров и других различных устройств. Существует три версии SMB – SMBv1, SMBv2 и SMBv3. Из соображений безопасности Microsoft рекомендует отключить SMB версии 1, так как он устарел и использует технологию, которой почти 30 лет. Чтобы избежать заражения вирусами-вымогателями типа WannaCrypt нужно отключить SMB1 и установить обновления для операционной системы. Этот протокол используется Windows 2000, Windows XP, Windows Server 2003 и Windows Server 2003 R2 – поэтому сетевой файловый доступ к данным версиям ОС будет не доступен. Тоже самое относится к некоторым сетевым хранилищам, сканерам и т.п.
Отключение SMB1 из Панели управления
Пуск -> Панель управления -> Программы и компоненты -> Включение и отключение компонентов Windows
Отключаем ‘Поддержка общего доступа к файлам SMB 1.0/CIFS’
Отключение SMB1 через Powershell
Откройте консоль Powershell с правами администратора и введите следующую команду:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Отключить SMB1 с помощью реестра Windows
Также можно отключить SMBv1 запустив regedit.exe и перейдя к следующему разделу:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersСоздайте в этом разделе DWORD SMB1 со значением 0 .
Значения для включения и отключения SMB1:
- 0 = Выключено
- 1 = Включено
После этого необходимо установить обновление MS17-010. Обновление вышло подо все версии Windows, включая не поддерживаемые больше Windows XP и Windows Server 2003.
И в заключении хочется сказать, что, не смотря на установленный антивирус и регулярные обновления операционной системы, если Вам дороги ваши данные, необходимо в первую очередь думать о резервном копировании.
Почему и как необходимо отключить SMB1 в Windows 10/8/7
В этой статье описано как настроить общий доступ, к файлам и папкам, без пароля на Windows 10.
В этой инструкции будет рассмотрен наиболее простой случай настройки общего доступа к папкам Windows 10. Когда нужно предоставить доступ к общим ресурсам Windows 10 без пароля. Это самая распространенная ситуация в домашних сетях и в сети небольшого офиса. Такая настройка предполагает что доступ по сети будет без пароля, без ограничений.
Примечание . Если у вас Windows 10 2017 или 2018 года и вы столкнулись с проблемой "Windows 10 не видит другие компьютеры в локальной сети ", тогда, прочитайте еще одну статью - . В ней описано решение проблемы с подключением Windows 10 к старым версиям Windows. Эта статья может быть актуальна и для подключения Windows 10 к старым версиям Linux.
Но в начале немого теории.
Локальные и глобальные сети
Глобальная компьютерная сеть, на сегодняшний день, существует только одна, это Интернет. Локальные компьютерные сети отличаются от глобальной следующими факторами:
- Количеством объединенных в этой сети компьютеров.
- Количеством и качеством разделяемых (доступных) в этой сети ресурсов.
В глобальной сети Интернет объединены сотни миллионов (возможно и более миллиарда) компьютеров. Эти компьютеры предоставляют большое количество разных по своему типу ресурсов. Самые распространенные из которых это текстовая и графическая информация. Кроме самой информации в Интернет возможна и обработка этой информации - существуют сервисы для работы с изображениями и документами. Также в Интернет доступны услуги не имеющие отношения к компьютерной тематике, например продажа товаров и услуг (например продажа билетов на различный транспорт).
В локальные компьютерной сети чаще всего объединяется от двух до нескольких компьютеров. Гораздо реже количество компьютеров в локальной сети может быть несколько десятков или сотен (в крупных коммерческих или государственных организациях). Как правило в локальных сетях распределяется всего несколько ресурсов - файлы, принтеры, сканеры и доступ к Интернет.
Физически компьютеры объединяются в сеть или при помощи кабеля или через радиосигнал (WiFi). Но в любом случае настройка локальной сети выполняется одинаково.
Итак, что, и в какой последовательности, необходимо сделать для того чтобы выполнить настройку сети Windows 10?
Общий доступ Windows 10 без пароля
В этой инструкции будет описано как настроить сеть Windows 10 таким образом чтобы общий доступ к папкам (файлам) и принтерам предоставлялся без запроса пароля. Это вариант доверенной сети. Такая организация локальной компьютерной сети наиболее удобна в использовании (не нужно запоминать пароли для каждого компьютера). А кроме того такую сеть легче создать и обслуживать.
Начать настройку локальной сети лучше всего с проверки необходимых условий.
Проверка подключения по локальной сети
Вначале нужно проверить наличие на компьютере подключения по локальной сети. Для этого нужно открыть апплет имеющихся сетевых адаптеров и сетевых подключений. Проще всего открыть этот апплет через диалоговое окно "Выполнить Windows + R ncpa.cpl и нажмите кнопку "ОК ":
Примечание : есть более длинный путь - открыть "" и там клкнуть на ссылке "Изменение параметров адаптера ".
Вот так выглядит апплет сетевых подключений:
На этом примере видно, что физический сетевой адаптер на компьютере есть и сетевое подключение к локальной сети тоже есть. В этом примере используется кабельное подключение к локальной сети (Ethernet). В случае подключения через WiFi адаптер будет называться "Беспроводное подключение 802-11".
Возможные ошибки, которые можно обнаружить в апплете "Сетевые подключения":
- В этом апплете может вообще не быть адаптеров - в этом случае нужно проверять список оборудования (Диспетчер устройств). Возможно сетевой адаптер отключен или не установлены драйвера.
- Адаптер может быть перечеркнут красным крестом . Это означает что нет физического подключения к локальной сети. Нужно проверять кабели. В случае WiFi это означает что компьютер не подключен к точке доступа (роутеру) WiFi.
- Адаптер может иметь надпись "Неопознанная сеть ". Это означает, что физическое подключение к локальной сети есть, но компьютер не смог получить настройки этой сети. Чаще всего это бывает, если в локальной сети нет роутера и нужно вручную указывать параметры локальной сети.
По умолчанию Windows настроена на автоматическое получение настроек сети от сетевого роутера. Если в локальной сети есть роутер, тогда вам достаточно воткнуть сетевой кабель или подключиться к точке доступа WiFi. Если в локальной сети нет роутера, а такое иногда бывает при использовании небольших кабельных сетей, тогда вам нужно будет вручную указать сетевые настройки в свойствах сетевого адаптера. Подробнее о ручной настройке параметров локальной сети написано в статье "Настройка сети между Linux и Windows ". Там описана настройка для Windows XP, но для Windows 10 будет точно так же.
Следующий шаг это проверка имени компьютера и рабочей группы. Для этого нужно открыть апплет "Свойства системы ". Проще всего открыть этот апплет через диалоговое окно "Выполнить ". Оно доступно через меню Пуск или при нажатии клавиш Windows + R на клавиатуре. В этом окне напишите sysdm.cpl и нажмите кнопку "ОК ":
Вот так выглядит апплет "Свойства системы " (нужно открыть вкладку "Имя компьютера "):
Здесь нужно проверить:
- Полное имя - оно не должно быть написано кириллицей и не должно иметь пробелов.
- Рабочая группа - оно не должно быть написано кириллицей и не должно иметь пробелов. Кроме того, имя рабочей группы должно совпадать с таким же именем на других компьютерах локальной сети. То есть имя рабочей группы должно быть одинаково на всех компьютерах локальной сети.
Если вам нужно изменить имя компьютера или рабочей группы, нажмите кнопку "Изменить". После такого изменения нужно будет сделать перезагрузку Windows.
Теперь можно переходить к настройке сети Windows 10.
Настройка сети Windows 10
Откройте "Проводник Windows" и в нем найдите и откройте пункт "Сеть ". По умолчанию, на Windows 10 общий доступ отключен и когда вы откроете "Сеть", вверху будет предупреждающая надпись:
Нужно кликнуть на этой надписи и затем выбрать пункт "Включить сетевое обнаружение и общий доступ к файлам ":
Примечание : другой путь включения сетевого обнаружения и общего доступа к файлам через "Центр управления сетями и общим доступом " и там клкнуть на ссылке "Дополнительные параметры общего доступа " и затем открыть нужный профиль.
После этого "Проводник Windows" выдаст запрос на выбор типа сети, там нужно выбрать первый вариант:
Примечание : если вам позднее нужно будет изменить тип сети - инструкция в статье "Изменить тип сети Windows 10 ".
После этого "Проводник Windows " покажет список компьютеров в локальной сети:
Теперь вы можете войти в те папки на этих компьютерах, для которых дан общий доступ.
Вход через локальную сеть на компьютер с именем "Home":
Следующий шаг - нужно настроить общий доступ к папкам Windows 10.
Как настроить общий доступ к папке Windows 10
В "Проводник Windows " найдите папку, для которой вы хотите предоставить общий доступ. Нажмите на этой папке правую кнопку мыши и в меню выберите пункт "Свойства " (на этой иллюстрации папка называется lan):
Примечание : имя папки должно быть латиницей и без пробелов.
В окне свойств папки, нужно открыть вкладку "Доступ " и там нажать кнопку "Общий доступ ":
В следующем окне нужно открыть список локальных пользователей (учетные записи на этом компьютере) и в этом списке выбрать "Все":
После этого нажать кнопку "Добавить":
После этого нужно, для группы "Все", указать права доступа на чтение и запись:
После этого нужно нажать кнопку "Готово":
После этого снова будет открыто окно "Свойства папки ". В нем можно проверить вкладку "Безопасность ", там должен быть полный доступ для группы "Все " (Windows автоматически изменяет права файловой системы NTFS):
Все, на этом настройка доступа к конкретной папке закончена. Если вы хотите расшарить еще какую-то папку, эти действия нужно повторить для каждой.
Примечание : расшаривать отдельные файлы не нужно. Все файлы, которые есть в расшаренной папке, будут доступны по сети. Также будут доступны по сети и все вложенные папки.
Осталось последнее действие..
Нужно открыть "Центр управления сетями и общим доступом " и в левой части кликнуть на "Изменить дополнительные параметры общего доступа ":
В следующем окне нужно открыть профиль "Все сети ":
И там отключить параметр "общий доступ с парольной защитой " и конечно нажать кнопку "Сохранить изменения":
На этом настройка доступа по сети без пароля для Windows 10 завершена. Теперь можно будет заходить через локальную сеть на этот компьютер и Windows не будет требовать ввода пароля.
Для проверки зайдем на компьютер Windows 10 с компьютера Windows XP:
Расшаренная папка "lan" открывается и в ней можно, через локальную сеть, редактировать и создавать файлы.
Но если, тем не менее, Windows требует сетевой пароль
Не смотря на то, что настройки, которые описаны выше, сделаны, при входе на этот компьютер, другой компьютер может запрашивать сетевой пароль. Это возможно в двух случаях.
Локальные пользователи с одинаковым именем (логином)
На обоих компьютерах есть локальные пользователи с одинаковым именем, но с разными паролями.
Пример . Есть Comp1 и Comp2. На каждом из них есть пользователь с именем User. Но на Comp1 у пользователя пароль 123, а на Comp2 у него пароль 456. При попытке сетевого входа система будет запрашивать пароль.
Решение . Или убрать совпадающие логины пользователей. Или для пользователей с одинаковым логином указать одинаковый пароль. Пустой пароль тоже считается одинаковым.
На Windows 10 нет ни одного локального пользователя
На Windows 10 возможен вход и работа с учетной записью Microsoft, при наличии Интернет. При этом возможна такая ситуация, когда при установке Windows 10 вообще не создавался локальный пользователь (вход был через учетную запись Microsoft). В этом случае Windows тоже будет требовать пароль при входе по локальной сети.
Решение . Создать локального пользователя на компьютере Windows 10.
Если в вашей локальной сети есть старые компьютеры
Если в вашей локальной сети есть компьютеры под управлением старых версий Windows или Linux, тогда вы можете столкнуться с проблемой, когда Windows 10 "не видит" такие компьютеры.
Причина может быть в том, что в последних версиях Windows 10 отключили поддержку протокола SMB версии 1. Как включить поддержку SMB версии 1, написано в статье локальная сеть между Windows 10 и Windows XP .
Отменить общий доступ к папке Windows 10
На Windows 10 отмена общего доступа сделана совсем не очевидной (в отличии от Windows XP). На вкладке "Доступ " (свойства папки) нет опции, как это было в Windows XP. Кнопку "Общий доступ" нажимать бесполезно, там нельзя отменить общий доступ.
Теперь, для отмены общего доступа, нужно на вкладке "Доступ " нажимать кнопку "Расширенная настройка ":
И там отключать доступ (убрать птичку на опции "Открыть общий доступ к этой папке"):
Как говорится "угадай с трех раз".
Общий доступ к папке Windows 10 через командную строку
Все можно сделать гораздо быстрее, если использовать командную строку (консоль, cmd.exe). Всего две команды:
net share lan=c:\lan
net share lan /delete
Первая команда открывает общий доступ к папке c:\lan и задает для нее сетевое имя lan.
Вторая команда удаляет сетевую (общедоступную) папку lan. Реальная папка c:\lan конечно остается на месте.
Общий доступ к файлам Windows 10 через оснастку "Общие папки"
В комплекте инструментов управления Windows 10 есть специальная программа (оснастка) для управления общими ресурсами на компьютере. Называется она "Общие папки" и запустить ее можно командой fsmgmt.msc (в консоли или через Win + R):
По другому эту оснастку можно открыть через меню Пуск: "Панель управления - Администрирование - Управление компьютером - Общие папки".
Общий доступ к принтерам Windows 10
Общий доступ к принтерам настраивается точно так же как и для папки. Нужно открыть апплет "Устройства и принтеры", найти там нужный принтер, открыть его свойства и на вкладке "Доступ" определить параметры сетевого доступа.
Настройка локальной сети для других ОС
Если вы живете в г. Краснодар и вам необходимо настроить локальную сеть в Windows
Иван Сухов, 2017, 2019 г .
Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354 . Или на телефон +7 918-16-26-331 .
Даже небольшая сумма может помочь написанию новых статей:)
Последние масштабные вирусные атаки распространялись с использованием дыр и недостатков старого протокола SMB1. По одной из несущественных причин, операционная система Windows по-прежнему разрешает его работу по умолчанию. Эта старая версия протокола служит для совместного использования файлов в локальной сети. Его более новые версии 2 и 3 стали более защищенными и их стоит оставить включенными. Так, как вы используете новую операционную систему под номером 10 или предыдущую – 8 или даже уже устаревшую – 7, вы должны отключить этот протокол на вашем ПК.
Он включен только потому, что ещё некоторыми пользователями используются старые приложения, которые не были вовремя обновлены для работы с SMB2 или SMB3. Корпорация Майкрософт составила их список. Его, при необходимости, найдите и просмотрите в Интернете.
Если вы поддерживаете все свои программы, установленные на компьютере, в надлежащем состоянии (вовремя обновляете), вам вероятнее всего необходимо отключить этот протокол. Этим на один шаг увеличите защищенность своей операционной системы и конфиденциальных данных. Кстати, даже специалисты самой корпорации рекомендуют его отключать, в случае необходимости.
Вы готовы к внесению изменений? Тогда давайте продолжим.
SMB1
Откройте Панель управления, где перейдите в раздел “Программы” и выберите подраздел “Включение / отключение компонентов Windows”.
В списке найдите опцию “Поддержка общего доступа к файлам SMB 1.0/CIFS”, снимите с него отметку и нажмите кнопку “ОК”.
Перезагрузите операционную систему, предварительно сохранив все свои редактируемые перед этим файлы, такие как документы и т.п.
ДЛЯ WINDOWS 7
Здесь вам поможет редактирование системного реестра. Он является мощным инструментом системы и в случае внесения в него неправильных данных, может привести к нестабильной работе ОС. Используйте его с осторожностью, перед этим обязательно создайте резервную копию для отката.
Откройте редактор, для чего нажмите сочетание клавиш Win + R на клавиатуре и набрав “regedit” в поле для ввода. Далее пройдите по следующему пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
создайте новый 32-битный параметр DWORD и присвойте ему имя “SMB1” со значением “0”. Перезагрузите систему.
Внимание! Эти способы действуют для отключения протокола только на одном ПК, но не во всей сети. Обратитесь к официальной документации Microsoft за интересующей вас информацией.
В диалоговом окне Новые свойства реестра выберите следующее:
- Действие: Создать
- Куст : HKEY_LOCAL_MACHINE
- Путь к разделу: SYSTEM\CurrentControlSet\Services\Lanman Server\Parameters
- Имя параметра: SMB1
- Тип значения: REG_DWORD.
- Значение: 0
Это отключит серверные компоненты SMB версии 1. Эта групповая политика должна быть применена ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.
Примечание. Фильтры WMI могут быть также настроены для исключения не поддерживаемых операционных систем или выбранных исключений, таких как Windows XP.
Внимание! Будьте осторожны при внесении изменений на контроллерах, где для устаревших систем, таких как Windows XP или Linux более поздней версии, и сторонних систем (которые не поддерживают протоколы SMB версия 2 или SMB версии 3) требуется доступ к SYSVOL или другим общим папкам, в которых SMB версии 1 был отключен.
Отключение клиента SMB версия 1 с групповой политикой
Для отключения клиента SMB версии 1 ключ службы раздела реестра необходимо обновить для отключения запуска MRxSMB10 , и затем зависимость в MRxSMB10 должна быть удалена из записи для LanmanWorkstation , чтобы она могла быть запущена стандартным способом без запроса MRxSMB10 при первом запуске.
Это обновление заменяет значения по умолчанию в следующих двух элементах реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\services\mrxsmb10
Параметр: Пуск REG_DWORD: 4 = отключено
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanWorkstation
Параметр: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”
Примечание. По умолчанию содержит MRxSMB10, который в настоящее время исключен как зависимость
Для настройки с использованием групповой политики:
- Откройте Консоль управления групповыми политиками . Щелкните правой кнопкой мыши "Объект групповой политики (GPO)", который должен содержать новый предпочтительный элемент, затем нажмите Изменить .
- В дереве консоли в разделе Конфигурация компьютера разверните папку Настройки , затем разверните папку Параметры Windows .
- Щелкните правой кнопкой мыши узел Реестр , нажмите Новый и выберите Элемент реестра .
В диалоговом окне Новые свойства реестра выберите следующее:
- Действие: Обновление
- Куст : HKEY_LOCAL_MACHINE
- Путь к разделу: SYSTEM\CurrentControlSet\services\mrxsmb 10
- Имя параметра: Start
- Тип значения: REG_DWORD.
- Значение данных : 4
Затем удалите зависимость в MRxSMB10 , которая была отключена
В диалоговом окне Новые свойства реестра выберите следующее:
- Действие: Замените
- Куст : HKEY_LOCAL_MACHINE
- Путь к разделу: SYSTEM\CurrentControlSet\Services\Lanman Workstation
- Имя параметра: DependOnService
- Тип парамтера REG_MULTI_SZ
- Значение данных
:
- Bowser
- MRxSmb20
Примечание. У эти трех строк, не будет маркеров (см. ниже)
Значения по умолчанию содержат MRxSMB10 в большом количестве версий Windows, поэтому замена их многозначной строкой приведет к удалению MRxSMB10 как зависимости для LanmanServer и переходу от четырех значений по умолчанию к только трем значениям, описанным выше.
Примечание. При использовании Консоли управления групповыми политиками не нужно использовать кавычки или запятые. Просто введите каждую запись отдельной строкой, как указано выше
Требуется перезагрузка:
После применения политики и ввода параметров реестра SMB версия 1 будет отключена после перезагрузки системы.
Аннотация
Если все параметры находятся в одном Объекте групповой политики (GPO), то Управление групповыми политиками отобразит параметры ниже.
Тестирование и проверка
После настройки дайте разрешение политике выполнить репликацию и обновление. Поскольку это необходимо для тестирования, запустите gpupdate /force из строки CMD.EXE и затем просмотрите целевые машины, чтобы параметры реестра были применены правильно. Убедитесь, что SMB версия 2 и SMB версия 3 работают для всех систем в среде.
Внимание! Не забудьте перезагрузить целевые системы.
В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети снова появились советы по отключению этого протокола. Более того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где после борьбы с SMB перестали играть беспроводные колонки Sonos.
Специально для минимизации вероятности «выстрела в ногу» я хочу напомнить об особенностях SMB и подробно рассмотреть, чем грозит непродуманное отключение его старых версий.
SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через \servername\sharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.
Помимо удаленного доступа к ресурсам протокол используется еще и для межпроцессорного взаимодействия через «именованные потоки» – named pipes . Обращение к процессу производится по пути \.\pipe\name.
Первая версия протокола, также известная как CIFS (Common Internet File System), была создана еще в 1980-х годах, а вот вторая версия появилась только с Windows Vista, в 2006. Третья версия протокола вышла с Windows 8. Параллельно с Microsoft протокол создавался и обновлялся в его открытой имплементации Samba .
В каждой новой версии протокола добавлялись разного рода улучшения, направленные на увеличение быстродействия, безопасности и поддержки новых функций. Но при этом оставалась поддержка старых протоколов для совместимости. Разумеется, в старых версиях было и есть достаточно уязвимостей, одной из которых и пользуется WannaCry .
Под спойлером вы найдете сводную таблицу изменений в версиях SMB.
| Версия | Операционная система | Добавлено, по сравнению с предыдущей версией |
| SMB 2.0 | Windows Vista/2008 | Изменилось количество команд протокола со 100+ до 19 |
| Возможность «конвейерной» работы – отправки дополнительных запросов до получения ответа на предыдущий | ||
| Поддержка символьных ссылок | ||
| Подпись сообщений HMAC SHA256 вместо MD5 | ||
| Увеличение кэша и блоков записи\чтения | ||
| SMB 2.1 | Windows 7/2008R2 | Улучшение производительности |
| Поддержка большего значения MTU | ||
| Поддержка службы BranchCache – механизм, кэширующий запросы в глобальную сеть в локальной сети | ||
| SMB 3.0 | Windows 8/2012 | Возможность построения прозрачного отказоустойчивого кластера с распределением нагрузки |
| Поддержка прямого доступа к памяти (RDMA) | ||
| Управление посредством командлетов Powershell | ||
| Поддержка VSS | ||
| Подпись AES–CMAC | ||
| Шифрование AES–CCM | ||
| Возможность использовать сетевые папки для хранения виртуальных машин HyperV | ||
| Возможность использовать сетевые папки для хранения баз Microsoft SQL | ||
| SMB 3.02 | Windows 8.1/2012R2 | Улучшения безопасности и быстродействия |
| Автоматическая балансировка в кластере | ||
| SMB 3.1.1 | Windows 10/2016 | Поддержка шифрования AES–GCM |
| Проверка целостности до аутентификации с использованием хеша SHA512 | ||
| Обязательные безопасные «переговоры» при работе с клиентами SMB 2.x и выше |
Считаем условно пострадавших
Посмотреть используемую в текущий момент версию протокола довольно просто, используем для этого командлет Get–SmbConnection :
Вывод командлета при открытых сетевых ресурсах на серверах с разной версией Windows.
Из вывода видно, что клиент, поддерживающий все версии протокола, использует для подключения максимально возможную версию из поддерживаемых сервером. Разумеется, если клиент поддерживает только старую версию протокола, а на сервере она будет отключена – соединение установлено не будет. Включить или выключить поддержку старых версий в современных системах Windows можно при помощи командлета Set–SmbServerConfiguration , а посмотреть состояние так:
Get–SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
Выключаем SMBv1 на сервере с Windows 2012 R2.
Результат при подключении с Windows 2003.
Таким образом, при отключении старого, уязвимого протокола можно лишиться работоспособности сети со старыми клиентами. При этом помимо Windows XP и 2003 SMB v1 используется и в ряде программных и аппаратных решений (например NAS на GNU\Linux, использующий старую версию samba).
Под спойлером приведу список производителей и продуктов, которые полностью или частично перестанут работать при отключении SMB v1.
| Производитель | Продукт | Комментарий |
| Barracuda | SSL VPN | |
| Web Security Gateway backups | ||
| Canon | Сканирование на сетевой ресурс | |
| Cisco | WSA/WSAv | |
| WAAS | Версии 5.0 и старше | |
| F5 | RDP client gateway | |
| Microsoft Exchange Proxy | ||
| Forcepoint (Raytheon) | «Некоторые продукты» | |
| HPE | ArcSight Legacy Unified Connector | Старые версии |
| IBM | NetServer | Версия V7R2 и старше |
| QRadar Vulnerability Manager | Версии 7.2.x и старше | |
| Lexmark | Прошивки Firmware eSF 2.x и eSF 3.x | |
| Linux Kernel | Клиент CIFS | С 2.5.42 до 3.5.x |
| McAfee | Web Gateway | |
| Microsoft | Windows | XP/2003 и старше |
| MYOB | Accountants | |
| NetApp | ONTAP | Версии до 9.1 |
| NetGear | ReadyNAS | |
| Oracle | Solaris | 11.3 и старше |
| Pulse Secure | PCS | 8.1R9/8.2R4 и старше |
| PPS | 5.1R9/5.3R4 и старше | |
| QNAP | Все устройства хранения | Прошивка старше 4.1 |
| RedHat | RHEL | Версии до 7.2 |
| Ricoh | МФУ, сканирование на сетевой ресурс | Кроме ряда моделей |
| RSA | Authentication Manager Server | |
| Samba | Samba | Старше 3.5 |
| Sonos | Беспроводные колонки | |
| Sophos | Sophos UTM | |
| Sophos XG firewall | ||
| Sophos Web Appliance | ||
| SUSE | SLES | 11 и старше |
| Synology | Diskstation Manager | Только управление |
| Thomson Reuters | CS Professional Suite | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Старше 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | МФУ, сканирование на сетевой ресурс | Прошивки без ConnectKey Firmware |
Список взят с сайта Microsoft , где он регулярно пополняется.
Перечень продуктов, использующих старую версию протокола, достаточно велик – перед отключением SMB v1 обязательно нужно подумать о последствиях.
Все-таки отключаем
Если программ и устройств, использующих SMB v1 в сети нет, то, конечно, старый протокол лучше отключить. При этом если выключение на SMB сервере Windows 8/2012 производится при помощи командлета Powershell, то для Windows 7/2008 понадобится правка реестра. Это можно сделать тоже при помощи Powershell:
Set–ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Type DWORD –Value 0 –Force
Или любым другим удобным способом. При этом для применения изменений понадобится перезагрузка.
Для отключения поддержки SMB v1 на клиенте достаточно остановить отвечающую за его работу службу и поправить зависимости службы lanmanworkstation. Это можно сделать следующими командами:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start=disabled
Для удобства отключения протокола по всей сети удобно использовать групповые политики, в частности Group Policy Preferences. С помощью них можно удобно работать с реестром.
Создание элемента реестра через групповые политики.
Чтобы отключить протокол на сервере, достаточно создать следующий параметр:
- значение: 0.
путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
новый параметр: REG_DWORD c именем SMB1;
Создание параметра реестра для отключения SMB v1 на сервере через групповые политики.
Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров.
Сначала отключим службу протокола SMB v1:
- значение: 4.
путь: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
параметр: REG_DWORD c именем Start;
Обновляем один из параметров.
Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:
- значение: три строки – Bowser, MRxSmb20 и NSI.
путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
параметр: REG_MULTI_SZ с именем DependOnService;
И заменяем другой.
После применения групповой политики необходимо перезагрузить компьютеры организации. После перезагрузки SMB v1 перестанет использоваться.
Работает – не трогай
Как ни странно, эта старая заповедь не всегда полезна – в редко обновляемой инфраструктуре могут завестись шифровальщики и трояны. Тем не менее, неаккуратное отключение и обновление служб могут парализовать работу организации не хуже вирусов.
Расскажите, а вы уже отключили у себя SMB первой версии? Много было жертв?
