V souvislosti s nedávným propuknutím ransomwaru WannaCry zneužívajícího zranitelnost SMB v1 se v síti opět objevily tipy na deaktivaci tohoto protokolu. Společnost Microsoft navíc důrazně doporučila deaktivovat první verzi SMB již v září 2016. Takové odstavení ale může vést k nečekaným důsledkům až kuriozitám: osobně jsem narazil na firmu, kde po boji s SMB přestali hrát bezdrátové reproduktory Sonos.

Zejména v zájmu minimalizace pravděpodobnosti „výstřelu do nohy“ vám chci připomenout vlastnosti SMB a podrobně zvážit, co hrozí nedomyšleným vyřazením jeho starších verzí.

SMB(blok zpráv serveru) - síťový protokol pro vzdálený přístup k souborům a tiskárnám. Je to on, kdo se používá při připojování zdrojů přes \ servername \ sharename. Protokol původně fungoval nad NetBIOS pomocí portů UDP 137, 138 a TCP 137, 139. S vydáním Windows 2000 začal pracovat přímo pomocí TCP portu 445. SMB se také používá k přihlášení a práci v Active Directory doména.

Kromě vzdáleného přístupu ke zdrojům se protokol používá také pro meziprocesorovou komunikaci prostřednictvím pojmenovaných kanálů. Proces je adresován podél cesty \. \ Pipe \ název.

První verze protokolu, známá také jako CIFS (Common Internet File System), byla vytvořena již v 80. letech, ale druhá verze se objevila až s Windows Vista, v roce 2006. Třetí verze protokolu vyšla s Windows 8. Paralelně s Microsoftem byl protokol vytvořen a aktualizován v jeho open source implementaci Samba.

V každém nová verze do protokolu byly přidány různé druhy vylepšení s cílem zvýšit výkon, bezpečnost a podporu nových funkcí. Ale zároveň zůstala podpora starých protokolů kvůli kompatibilitě. Starší verze samozřejmě měly a mají dostatek zranitelností, z nichž jednu používá WannaCry.

Pod spoilerem najdete souhrnnou tabulku změn ve verzích pro SMB.

Verze	Operační systém	Přidáno oproti předchozí verzi
SMB 2.0	Windows Vista / 2008	Změněn počet příkazů protokolu ze 100+ na 19
		Možnost "pipeline" práce - odeslání dalších požadavků před obdržením odpovědi na předchozí
		Podpora symbolických odkazů
		Podpis zprávy HMAC SHA256 namísto MD5
		Zvyšte mezipaměť a bloky zápisu/čtení
SMB 2.1	Windows 7 / 2008 R2	Zlepšení výkonu
		Vyšší podpora MTU
		Podpora služby BranchCache, mechanismus, který ukládá požadavky WAN do mezipaměti lokální síť
SMB 3.0	Windows 8/2012	Schopnost vytvořit transparentní cluster s podporou převzetí služeb při selhání s vyrovnáváním zátěže
		Podpěra, podpora přímý přístup do paměti (RDMA)
		Správa rutin Powershell
		podpora VSS
		AES – podpis CMAC
		AES-CCM šifrování
		Schopnost používat síťové složky pro ukládání virtuální stroje HyperV
		Schopnost používat síťové složky pro ukládání základny Microsoftu SQL
SMB 3.02	Windows 8.1 / 2012 R2	Vylepšení zabezpečení a výkonu
		Automatické vyvažování v clusteru
SMB 3.1.1	Windows 10/2016	Podpora šifrování AES-GCM
		Kontrola integrity před autentizací pomocí hash SHA512
		Povinné bezpečné "vyjednávání" při práci s klienty SMB 2.xa vyšší

Považujeme za podmíněně zraněné

Zobrazení aktuálně používané verze protokolu je celkem jednoduché, používáme k tomu cmdlet Získejte – SmbConnection:

Výstup rutiny při otevření síťové zdroje na serverech s jiná verze Okna.

Z výstupu je vidět, že klient, který podporuje všechny verze protokolu, používá k připojení největší možnou verzi podporovanou serverem. Samozřejmě pokud klient pouze podporuje stará verze protokolu a na serveru bude deaktivován - spojení nebude navázáno. Povolit nebo zakázat podporu starších verzí v moderní verzi Systémy Windows pomocí rutiny Set – SmbServerConfiguration a podívejte se na stav takto:

Get – SmbServerConfiguration | Vyberte EnableSMB1Protocol, EnableSMB2Protocol

Vypněte SMBv1 na serveru se systémem Windows 2012 R2.

Výsledek při připojení z Windows 2003.

Pokud tedy deaktivujete starý zranitelný protokol, můžete ztratit funkčnost sítě se starými klienty. SMB v1 se přitom kromě Windows XP a 2003 používá i v řadě softwarových a hardwarových řešení (například NAS na GNU \ Linuxu, využívající starou verzi samby).

Pod spoilerem uvedu seznam výrobců a produktů, které úplně nebo částečně přestanou fungovat, když zakážete SMB v1.

Výrobce	Produkt	Komentář
Barracuda	SSL VPN
	Zálohy Web Security Gateway
Kánon	Skenování do síťového sdílení
Cisco	WSA / WSAv
	WAAS	Verze 5.0 a starší
F5	Brána klienta RDP
	Microsoft Exchange Proxy
Forcepoint (Raytheon)	"Některé produkty"
HPE	ArcSight Legacy Unified Connector	Starší verze
IBM	NetServer	Verze V7R2 a starší
	Správce zranitelnosti QRadar	Verze 7.2.xa starší
Lexmark		Firmware eSF 2.xa eSF 3.x
Linuxové jádro	Klient CIFS	Od 2.5.42 do 3.5.x
McAfee	Webová brána
Microsoft	Okna	XP / 2003 a starší
MYOB	účetní
NetApp	ONTAP	Verze před 9.1
NetGear	ReadyNAS
Věštec	Solaris	11.3 a starší
Pulse Secure	PCS	8.1R9 / 8.2R4 a starší
	PPS	5.1R9 / 5.3R4 a starší
QNAP	Všechna úložná zařízení	Firmware starší než 4.1
Červená čepice	RHEL	Verze starší než 7.2
Ricoh	MFP, skenování do síťového zdroje	Kromě řady modelů
RSA	Server správce autentizace
Samba	Samba	Starší než 3,5
Sonos	Bezdrátové reproduktory
Sophos	Sophos UTM
	Firewall Sophos XG
	Webové zařízení Sophos
SUSE	SLES	11 a starší
Synology	Správce diskové stanice	Pouze ovládání
Thomson Reuters	CS Professional Suite
Tintri	Tintri OS, Tintri Global Center
VMware	Vcenter
	ESXi	Starší než 6.0
Worldox	GX3 DMS
xerox	MFP, skenování do síťového zdroje	Firmware bez firmwaru ConnectKey

Seznam je převzat z webu Microsoftu, kde je pravidelně aktualizován.

Seznam produktů využívajících starou verzi protokolu je poměrně velký – před deaktivací SMB v1 byste se rozhodně měli zamyslet nad důsledky.

Zakázat

Pokud v síti nejsou žádné programy a zařízení využívající SMB v1, pak je samozřejmě lepší starý protokol deaktivovat. V tomto případě, pokud se vypne na SMB Windows server 8/2012 se provádí pomocí rutiny Powershell, pak pro Windows 7/2008 budete muset upravit registr. To lze také provést pomocí Powershell:

Set – ItemProperty –Path „HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters“ SMB1 – Typ DWORD – Hodnota 0 – Force

Nebo jakýmkoli jiným pohodlným způsobem. K použití změn je však vyžadován restart.

Chcete-li zakázat podporu SMB v1 na klientovi, zastavte službu odpovědnou za její provoz a opravte závislosti služby lanmanworkstation. To lze provést pomocí následujících příkazů:

Konfigurace sc.exe lanmanworkstation závisí = bowser / mrxsmb20 / nsi sc.exe konfigurace mrxsmb10 start = zakázáno

Pro pohodlí deaktivace protokolu v celé síti je vhodné použít zásady skupiny, zejména Předvolby zásad skupiny. S jejich pomocí můžete pohodlně pracovat s registrem.

Vytvoření položky registru prostřednictvím zásad skupiny.

Chcete-li protokol na serveru zakázat, stačí vytvořit následující parametr:

cesta: HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parametry;

nový parametr: REG_DWORD s názvem SMB1;

• hodnota: 0.

Vytvořte klíč registru pro zakázání protokolu SMB v1 na serveru prostřednictvím zásad skupiny.

Chcete-li zakázat podporu SMB v1 na klientech, musíte změnit hodnotu dvou parametrů.

Nejprve deaktivujte službu protokolu SMB v1:

cesta: HKLM: \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10;

parametr: REG_DWORD s názvem Start;

• hodnota: 4.

Aktualizujeme jeden z parametrů.

Poté opravíme závislost služby LanmanWorkstation tak, aby nezávisela na SMB v1:

cesta: HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation;

parametr: REG_MULTI_SZ s názvem DependOnService;

• význam: tři řádky - Bowser, MRxSmb20 a NSI.

A nahradit jiným.

Po použití zásad skupiny musíte restartovat počítače ve vaší organizaci. Po restartu již nebude SMB v1 používán.

Funguje - nedotýkejte se

Kupodivu toto staré přikázání není vždy užitečné – ransomware a trojské koně mohou běžet ve zřídka aktualizované infrastruktuře. Nepřesné vypínání a aktualizace služeb však může organizaci paralyzovat stejně jako viry.

Řekněte nám, už jste deaktivovali SMB první verze? Bylo mnoho obětí?

SMB nebo Blok zpráv serveru je síťový komunikační protokol pro sdílení souborů, tiskáren a dalších různá zařízení... Existují tři verze SMB – SMBv1, SMBv2 a SMBv3. Microsoft z bezpečnostních důvodů doporučuje zakázat SMB verzi 1, protože je zastaralá a používá technologii starou téměř 30 let. Abyste se vyhnuli infekci ransomwarovými viry, jako je WannaCrypt, musíte deaktivovat SMB1 a nainstalovat aktualizace operačního systému. Tento protokol používají Windows 2000, Windows XP, Windows Server 2003 a Windows Server 2003 R2 - proto nebude k těmto verzím OS dostupný síťový přístup k souborům. Totéž platí pro některá zařízení NAS, skenery atd.

Zakázat SMB1 v Ovládacích panelech

Start -> Ovládací panely -> Programy a funkce -> Zapnout nebo vypnout funkce systému Windows

Zakázat „SMB 1.0 / CIFS File Sharing Support“

Zakázat SMB1 přes Powershell

Otevřete konzolu Powershell s oprávněními správce a zadejte následující příkaz:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Typ DWORD -Hodnota 0 -Vynutit

Zakažte SMB1 pomocí registru Windows

SMBv1 můžete také zakázat spuštěním regedit.exe a přejděte k další části:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

V této části vytvořte DWORD SMB1 s významem 0 .

Hodnoty pro povolení a zakázání SMB1:

• 0 = Zakázáno
• 1 = Povoleno

Poté je třeba nainstalovat aktualizaci MS17-010. Aktualizace byla vydána pro všechny verze Windows, včetně již nepodporovaných Windows XP a Windows Server 2003.

A závěrem bych rád řekl, že navzdory nainstalovaný antivirus a pravidelné aktualizace operačního systému, pokud jsou vám vaše data drahá, musíte v první řadě myslet na zálohování.

Proč a jak zakázat SMB1 ve Windows 10/8/7

anotace

Tento článek popisuje postupy pro povolení a zakázání Server Message Block (SMB) verze 1, SMB verze 2 (SMBv2) a SMB verze 3 (SMBv3) v součástech klienta a serveru SMB.

Varování. Nedoporučuje se zakazovat SMB v2 nebo 3. Zakázat SMB v2 nebo 3 pouze jako dočasné opatření pro odstraňování problémů. Nenechávejte SMB verze 2 nebo 3 deaktivované.

V systémech Windows 7 a Windows Server 2008 R2 deaktivace SMB verze 2 deaktivuje následující funkčnost.

• Kombinace požadavků umožňující odeslání více požadavků SMB 2 jako jeden síťový požadavek.


• Vysoké objemy čtení a zápisu pro optimalizaci rychlých sítí.


• Ukládání vlastností souborů a složek do mezipaměti, do kterých klienti ukládají místní kopie souborů a složek.


• Dlouhodobé deskriptory, které umožňují transparentní opětovné připojení k serveru v případě dočasného odpojení.


• Vylepšené podpisy zpráv, kde hašovací algoritmus HMAC SHA-256 nahrazuje MD5.


• Vylepšené škálování pro sdílení souborů (výrazně se zvýšil počet uživatelů, sdílení a otevřít soubory na server).


• Podpora pro symbolické odkazy.


• Model pronájmu klienta, který omezuje množství dat přenášených mezi klientem a serverem, což zlepšuje výkon sítí s vysokou latencí a zlepšuje škálovatelnost serveru SMB.


• Velká podpora MTU pro plné využití 10gigabitového Ethernetu.


• Snížená spotřeba energie – Klienti se soubory otevřenými na serveru mohou být v režimu spánku.

V systému Windows 8, Windows 8.1, Windows 10, Windows Server 2012a Windows Server 2016, deaktivace SMB verze 3 deaktivuje následující funkce (stejně jako funkce SMB verze 2 popsané v předchozím seznamu).

• Transparentní převzetí služeb při selhání, při kterém klienti bez přerušení přejdou na uzly clusteru během údržby nebo výpadku.


• Škálování – se zajištěním souběžného přístupu ke sdíleným datům na všech uzlech clusteru.


• Multichannel poskytuje agregaci šířky pásma síťového propojení a odolnost sítě napříč různými dostupnými linkami mezi klientem a serverem.


• SMB Direct – Poskytuje podporu pro sítě RDMA pro velmi vysoký výkon, nízkou latenci a nízké využití CPU.


• Šifrování – Poskytuje komplexní šifrování dat a chrání je před odposloucháváním nedůvěryhodných sítí.


• Pronájem adresářů snižuje dobu odezvy aplikací v pobočkách prostřednictvím ukládání do mezipaměti.


• Optimalizuje výkon malých náhodných operací čtení a zápisu.

dodatečné informace

Jak povolit a zakázat protokoly SMB na serveru SMB

Windows 8 a Windows Server 2012

Nová rutina představená ve Windows 8 a Windows Server 2012 Windows PowerShell Set-SMBServerConfiguration. Umožňuje povolit nebo zakázat SMB verze 1, 2 a 3 na serveru.
Poznámky. Povolení nebo zakázání SMB verze 2 v systému Windows 8 nebo Windows Server 2012 také povolí nebo zakáže SMB verze 3. Je to kvůli společnému zásobníku používanému pro tyto protokoly.
Po spuštění rutiny

• Chcete-li získat aktuální stav konfigurace protokolu serveru SMB, spusťte následující rutinu:

  Get-SmbServerConfiguration | Vyberte EnableSMB1Protocol, EnableSMB2Protocol

• Set-SmbServerConfiguration -EnableSMB1Protocol $ false

• Set-SmbServerConfiguration -EnableSMB2Protocol $ false

• Set-SmbServerConfiguration -EnableSMB1Protocol $ true

• Set-SmbServerConfiguration -EnableSMB2Protocol $ true

Windows 7, Windows Server 2008 R2, Windows Vista a Windows Server 2008

Chcete-li povolit nebo zakázat protokoly SMB na serveru SMB se systémem Windows 7, Windows Server 2008 R2, Windows Vista nebo Windows Server 2008, použijte prostředí Windows PowerShell nebo Editor registru.

Windows PowerShell 2.0 nebo novější PowerShell

• Chcete-li zakázat protokol SMB verze 1 na serveru SMB, spusťte následující rutinu:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ices \ LanmanServer \ Parameters" SMB1 -Typ DWORD -Hodnota 0 -Force

• Chcete-li zakázat SMB verze 2 a 3 na serveru SMB, spusťte následující rutinu:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ices \ LanmanServer \ Parameters" SMB2 -Typ DWORD -Hodnota 0 -Force

• Chcete-li povolit protokol SMB verze 1 na serveru SMB, spusťte následující rutinu:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ices \ LanmanServer \ Parameters" SMB1 -Typ DWORD -Value 1 -Force

• Chcete-li povolit SMB verze 2 a 3 na serveru SMB, spusťte následující rutinu:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ices \ LanmanServer \ Parameters" SMB2 -Typ DWORD -Value 1 -Force

Poznámka. Po provedení těchto změn je nutné počítač restartovat.

Editor registru

Pozornost ! Tento článek obsahuje informace o úpravě registru. Před provedením jakýchkoli změn se doporučuje zálohovat registr. a zjistěte, jak jej obnovit v případě problému. Více informací o tvorbě záloha, jak opravit a upravit registr, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base.Chcete-li povolit nebo zakázat protokol SMB verze 1 na serveru SMB, nakonfigurujte následující klíč registru:

Podklíč registru: Položka registru: SMB1
REG_DWORD: 0 = zakázáno
REG_DWORD: 1 = povoleno
Výchozí: 1 = Povoleno

Chcete-li povolit nebo zakázat SMB verze 2 na serveru SMB, nakonfigurujte následující klíč registru:

Podklíč registru: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl Set \ Services \ LanmanServer \ Parameters Záznam registru: SMB2
REG_DWORD: 0 = zakázáno
REG_DWORD: 1 = povoleno
Výchozí: 1 = Povoleno

Konfigurace sc.exe lanmanworkstation závisí = bowser / mrxsmb20 / nsi

Konfigurace sc.exe mrxsmb10 start = zakázáno

• Chcete-li povolit protokol SMB verze 1 na klientovi SMB, spusťte následující příkazy:

  
  Konfigurace sc.exe mrxsmb10 start = auto

• Chcete-li zakázat SMB verze 2 a 3 na klientovi SMB, spusťte následující příkazy:

  Konfigurace sc.exe lanmanworkstation závisí = bowser / mrxsmb10 / nsi
  Konfigurace sc.exe mrxsmb20 start = zakázáno

• Chcete-li povolit protokoly SMB verze 2 a 3 na klientovi SMB, spusťte následující příkazy:

  Konfigurace sc.exe lanmanworkstation závisí = bowser / mrxsmb10 / mrxsmb20 / nsi
  Konfigurace sc.exe mrxsmb20 start = auto

Poznámky.

• Tyto příkazy by měly být zadány příkazový řádek se zvýšenými výsadami.


• Po provedení těchto změn je nutné počítač restartovat.

Ahoj! Pro ty, kteří nejsou v předmětu, začnu zpovzdálí. Na počítačích a noteboocích s nainstalovaný Windows v průzkumníku je samostatná záložka "Síť". Tato karta zobrazuje zařízení ze služby Okolní počítače. To znamená, že otevřením záložky "Síť" můžeme sledovat počítače, síťová úložiště (NAS), multimediální zařízení (DLNA), flash disky a externí disky které jsou připojeny k routeru a nakonfigurovány pro sdílení. Jednoduše řečeno, ta zařízení, která jsou připojena přes jeden router (jsou ve stejné síti) a na kterém je povolena funkce zjišťování sítě (zařízení, která lze nalézt v místní síti)... Tam lze zobrazit i náš router. (část "Síťová infrastruktura") a další zařízení.

Nyní vysvětlím co a jak a proč jsem se vůbec rozhodl tento článek napsat. Mám router ASUS, ke kterému jsem se připojil USB klíčenka a nastavte obecný přístup k tomuto flash disku pro všechna zařízení v síti. A co myslíte, v sekci "Síť" se na všech počítačích objevil tento síťový disk (objevuje se tam jako "Počítač") a na mém počítači se to nezobrazilo. To znamená, že můj počítač neviděl USB flash disk připojený k routeru nebo jiným počítačům v této síti. Ale DLNA server byl zobrazen běžící na stejném routeru. Ale to nic nemění, protože potřebuji obyčejný přístup k síti k pohonu.

Také jsem nemohl získat přístup k flash disku, když jsem zadal jeho adresu //192.168.1.1 v průzkumníku. Tato adresa byla okamžitě otevřena prostřednictvím prohlížeče. A tento disk se mi nepodařilo připojit jako síťový disk... Prostě to nebylo na seznamu dostupných zařízení v síťové prostředí.

Takový problém, kdy Windows 7, Windows 8 nebo Windows 10 nevidí síťová zařízení, není neobvyklý. Nemusí to být USB klíčenka, popř externí HDD který jste připojili k routeru jako v mém případě. Nejčastěji konfigurují sdílený přístup mezi počítači v místní síti. A stejně tak čelí problému, když jsou počítače připojeny ke stejné síti. (do jednoho routeru), nastavení sdílení je správné, ale karta "Síť" je prázdná. Nebo se zobrazí pouze router a váš počítač.

Protože důvodů, a tedy i řešení, může být mnoho, začnu pravděpodobně tím nejjednodušším (což mi nepomohlo) a na konci tohoto článku se podělím o řešení, které pomohlo v mém případě. V důsledku toho můj notebook stále viděl všechna zařízení v síti. Včetně síťového úložného zařízení a dalšího počítače, který je také připojen k této síti.

To ale neznamená, že máte stejný případ. Proto vám doporučuji zkontrolovat všechna nastavení v pořádku.

Kontrola nastavení sdílení

Budeme zvažovat dva případy:

1. Když se počítače v místní síti navzájem nevidí.
2. Sdílení NAS. Můžeme mít flash disk, popř HDD který je připojen k routeru, nebo samostatnému disku (alias NAS).

První případ

Aby se počítače navzájem viděly a zobrazily se v průzkumníku v sekci „Síť“, musí být připojeny přes stejný router. Nebo přímo připojené (kabelem nebo přes Wi-Fi)... Jednoduše řečeno, musí být ve stejné lokální síti.

Dále na všech počítačích (nevím kolik jich tam máš), je žádoucí přiřadit stav sítě "Domácí" (soukromá). Jak to udělat ve Windows 10, jsem napsal v článku. Ve Windows 7 stačí přejít do „Centra sítí a sdílení“ a tam změnit stav aktuálního připojení.

Pokud potom počítač stále nedetekuje další počítače (nebo naopak), zkontrolujte nastavení sdílení.

Chcete-li to provést, klikněte v okně „Centrum sítí a sdílení“ (pokud nevíte, jak jej otevřít ve Windows 10, přečtěte si článek) na položku „Změnit pokročilé nastavení sdílení“.

A pro aktuální profil (obvykle „Soukromý“) nastavte parametry jako na obrázku níže.

Udělej to na všech počítačích na místní síti.

Články na toto téma:

Tyto tipy zpravidla řeší všechny problémy s detekcí počítačů v místní síti.

Druhý případ

Když máte problémy s přístupem k NAS. Jako v mém případě. Windows 10 neviděl USB disk, který byl připojen k routeru ASUS. Mnoho routerů má nyní USB port pro připojení disků a dalších zařízení, takže téma je relevantní.

Musíte se ujistit, že tento disk je definován v nastavení routeru a je povolen sdílený přístup k němu. Je jasné, že se to na různých routerech dělá jinak. Na routerech ASUS to například vypadá takto:

Související články:

Nezaměňujte nastavení sdílení s nastavením FTP. V tomto případě s tím nemá nastavení FTP serveru na routeru nic společného.

No, pokud jiná zařízení vidí síťový disk a mají k němu přístup, ale na konkrétním počítači k němu není přístup, pak problém není na straně routeru. Projděte si nastavení "problémového" PC v tomto článku.

Antivirus nebo firewall mohou blokovat síťová zařízení

Pokud se vašemu antiviru nebo firewallu (firewallu) nainstalovanému na vašem počítači něco nelíbí, může to snadno udělat tak, že ani vy nevidíte ostatní zařízení v síťovém prostředí, ani vás nikdo neodhalí.

Pravda, po deaktivaci vestavěného firewallu v antiviru se problém nevyřešil (což znamená, že problém s největší pravděpodobností není v něm), ale vše mi přesně připadá, že v mém případě to nebylo bez účasti antiviru.

Zkuste proto antivirus na čas úplně zastavit, nebo alespoň vypněte vestavěný firewall (firewall) ... NOD 32 to dělá takto:

Chcete-li to zkontrolovat, musíte to udělat na všech počítačích který se bude účastnit místní sítě.

Je možné, že jste nainstalovali nějaké další programy, které mohou monitorovat síť a spravovat ji síťová připojení.

Pokud se ukáže, že problém je v antiviru, musíte svou síť přidat k výjimkám. Zabraňte firewallu v blokování samotné sítě nebo síťových zařízení.

Pokud nemáte antivirus, můžete experimentovat s deaktivací / povolením vestavěného firewallu Windows.

Pracovní skupina

Pracovní skupina by měla být na všech zařízeních stejná. Zpravidla je. Ale je vhodné zkontrolovat. Chcete-li to provést, otevřete vlastnosti počítače "Systém" a přejděte na "Pokročilá nastavení systému".

Bude tam uvedena „Pracovní skupina“. Chcete-li jej změnit, musíte kliknout na tlačítko "Změnit".

Ještě jednou, název pracovní skupiny musí být stejný na všech počítačích.

Pokud máte problém s přístupem k NAS (na USB flash disk přes router), pak je to také uvedeno v nastavení sdílení na stejném routeru ASUS pracovní skupina... Na screenshot se můžete podívat výše v článku. Mělo by to být stejné jako na počítači.

Problém s přístupem ke sdílené síti přes SMB1 v systému Windows 10 (moje řešení)

Vraťme se konkrétně k mému problému. Vše, co jsem popsal výše, bylo zkontrolováno a znovu zkontrolováno již 10krát. Párkrát jsem to udělal, ale Windows 10 nikdy neviděl další počítače v síti a hlavně se v průzkumníku neobjevila sdílená složka v podobě flashky připojené k routeru. A na ostatních zařízeních v síti bylo vše zjištěno bez problémů. Včetně mého notebooku.

Někde jsem četl, že můžete zkusit otevřít sdílenou složku přes okno Spustit. Stiskl kombinaci kláves Win + R, zadal adresu síťové složky //192.168.1.1 (také znám jako adresa routeru).

Nezískal jsem přístup k jednotce, ale objevila se zajímavá chyba:

Ke sdílené složce se nemůžete připojit, protože je nezabezpečená. Tato sdílená složka používá starší protokol SMB1, který je nezabezpečený a mohl by váš systém vystavit riziku útoku.

Váš systém musí používat SMB2 nebo novější.

To už je zajímavé. Alespoň něco.

SMB (Server Message Block) je síťový protokol, který je zodpovědný za sdílení souborů, tiskáren a dalších síťová zařízení.

Začal jsem hledat. A ukázalo se, že Windows 10 upustil od protokolu SMB1. Kvůli bezpečnosti. A softwarový balíček Samba nainstalovaný na mém routeru funguje přes protokol SMB1. Proto to Windows 10 nevidí. Ale jiné počítače, které fungují také na Windows 10, se mi také nezobrazovaly na kartě "Síť".

Jelikož se mi v nastavení routeru nepodařilo aktualizovat protokol na SMB2, rozhodl jsem se, že potřebuji nějak povolit podporu SMB1 ve Windows 10. A jak se ukázalo, jde to bez problémů. Ve výsledku mi po připojení komponenty „Klient SMB 1.0 / CIFS“ vše fungovalo. Systém viděl sdílené složky na počítačích v síti a síťovou složku nakonfigurovanou na samotném routeru.

Jak povolit SMB1 ve Windows 10?

Vyhledejte a otevřete starý „Ovládací panel“.

Přepněte na Malé ikony a otevřete Programy a funkce.

Otevřete „Zapnout nebo vypnout funkce systému Windows“. Najdeme položku „Podpora sdílení souborů SMB 1.0 / CIFS“. Otevřete jej a zaškrtněte „SMB 1.0 / CIFS Client“. Klepněte na tlačítko OK.

Pokud je počítač vyzván k restartování, restartujte jej. Pokud není žádné okno s návrhem, restartujte ručně.

Po restartu na kartě "Síť" - "Počítač" vše dostupná zařízení ve vaší síti.

Byl bych rád, kdyby byl tento článek pro někoho užitečný a pomohl vyřešit problém. Nezapomeňte napsat do komentářů o výsledcích. Nebo se zeptejte, kam bez nich můžeme jít 🙂

V dialogovém okněNové vlastnosti registruvyberte následující:

• Akce:Vytvořit


• Keř: HKEY_LOCAL_MACHINE


• Cesta sekce:SYSTEM \ CurrentControlSet \ Services \ Lanman Server \ Parametry


• Název parametru:SMB1


• Typ hodnoty:REG_DWORD.


• Význam: 0

Tím se zakážou součásti serveru SMB verze 1. Tyto zásady skupiny musí být aplikovány na všechny požadované pracovní stanice, servery a řadiče domény v doméně.

Poznámka. Filtry WMI lze také nakonfigurovat tak, aby vyloučil nepodporované operační systémy nebo vybrané výjimky, jako je Windows XP.

Pozornost!Buďte opatrní při provádění změn na řadičích se staršími systémy, jako je Windows XP nebo Linux novější a systémy třetích stran(který nepodporuje SMB verze 2 nebo SMB verze 3) vyžaduje přístup k SYSVOL nebo jiným sdíleným složkám, kde byl SMB verze 1 zakázán.

Zakažte klienta SMB verze 1 pomocí zásad skupiny

Chcete-li zakázat klienta SMB verze 1, je nutné aktualizovat servisní klíč klíče registru, aby se zakázalo spuštění MRxSMB10, a poté musí být ze záznamu odebrána závislost v MRxSMB10, aby bylo možné spustit LanmanWorkstation. standardním způsobem bez dotazu MRxSMB10 při prvním spuštění.

Tato aktualizace nahrazuje výchozí hodnoty v následujících dvou položkách registru

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl Set \ services \ mrxsmb10

Parametr: Start REG_DWORD: 4 = zakázáno

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl Set \ Services \ LanmanWorkstation

Parametr: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20", "NSI"

Poznámka. Ve výchozím nastavení obsahuje MRxSMB10, který je v současnosti jako závislost zastaralý

Konfigurace pomocí zásad skupiny:

1. Otevřít Konzole pro správu skupinové zásady ... Klikněte klikněte pravým tlačítkem myši klikněte myší na objekt zásad skupiny (GPO), který by měl obsahovat novou preferovanou položku, a poté klikněte na Upravit.


2. Ve stromu konzoly pod Konfigurace počítače rozbalte složku Nastavení a poté rozbalte složku Nastavení systému Windows.


3. Klepněte pravým tlačítkem myši na uzel registru, klepněte na tlačítko Nový a vyberte položku registru.

V dialogovém okně Nové vlastnosti registru vyberte následující:

• Akce: Aktualizace


• Bush: HKEY_LOCAL_MACHINE


• Cesta k oddílu: SYSTEM \ CurrentControlSet \ services \ mrxsmb 10


• Název parametru: Start


• Typ hodnoty: REG_DWORD.


• Hodnota dat: 4

Potom odeberte závislost v MRxSMB10, která byla zakázána

V dialogovém okně Nové vlastnosti registru vyberte následující:

• Akce: Vyměňte


• Bush: HKEY_LOCAL_MACHINE


• Cesta klíče: SYSTEM \ CurrentControlSet \ Services \ Lanman Workstation


• Název parametru: DependOnService


• Typ parametru REG_MULTI_SZ


• Hodnota dat:
  
  
  • Bowser
  
  
  • MRxSmb20
  
  
  

Poznámka. Tyto tři řádky nebudou mít značky (viz níže)

Výchozí hodnoty obsahují hodně MRxSMB10 Verze Windows takže jejich nahrazení řetězcem s více hodnotami odstraní MRxSMB10 jako závislost pro LanmanServer a přesune se ze čtyř výchozích hodnot pouze na tři výše popsané.

Poznámka. Při používání Konzoly pro správu zásad skupiny nemusíte používat uvozovky ani čárky. Stačí zadat každý záznam na samostatný řádek, jak je uvedeno výše

Je vyžadován restart:

Po použití zásad a zadání nastavení registru bude SMB verze 1 po restartu systému zakázán.

anotace

Pokud jsou všechna nastavení ve stejném objektu zásad skupiny (GPO), zobrazí správa zásad skupiny níže uvedená nastavení.

Testování a validace

Po nakonfigurování udělte zásadě oprávnění k replikaci a aktualizaci. Protože je to nutné pro testování, spusťte gpupdate / force z řádku CMD.EXE a poté sledujte cílové počítače, abyste se ujistili, že nastavení registru jsou správně aplikována. Ujistěte se, že SMB verze 2 a SMB verze 3 fungují pro všechny systémy ve vašem prostředí.

Pozornost! Nezapomeňte restartovat cílové systémy.