V zvezi z nedavnim izbruhom ransomware WannaCry, ki izkorišča ranljivost SMB v1, so se v omrežju znova pojavili nasveti za onemogočanje tega protokola. Poleg tega je Microsoft močno priporočal, da onemogočite prvo različico SMB septembra 2016. Toda takšna zaustavitev lahko povzroči nepričakovane posledice, vse do zanimivosti: osebno sem naletel na podjetje, kjer so po boju proti SMB prenehali igrati brezžični zvočniki Sonos.

Še posebej, da bi zmanjšali verjetnost "ustrela v nogo", vas želim spomniti na značilnosti SMB in podrobno razmisliti, kaj ogroža slabo zasnovano onemogočanje njegovih starejših različic.

SMB(Blok sporočil strežnika) - omrežni protokol za oddaljeni dostop do datotek in tiskalnikov. Prav on se uporablja pri povezovanju virov prek \ servername \ sharename. Protokol je sprva deloval na vrhu NetBIOS-a z uporabo vrat UDP 137, 138 in TCP 137, 139. Z izdajo sistema Windows 2000 je začel delovati neposredno z uporabo vrat TCP 445. SMB se uporablja tudi za prijavo in delo v imeniku Active Directory. domena.

Poleg oddaljenega dostopa do virov se protokol uporablja tudi za medprocesorsko komunikacijo prek poimenovanih cevi. Proces je naslovljen vzdolž poti \. \ Pipe \ ime.

Prva različica protokola, znana tudi kot CIFS (Common Internet File System), je bila ustvarjena že v osemdesetih letih prejšnjega stoletja, druga različica pa se je pojavila šele z operacijskim sistemom Windows Vista, leta 2006. Tretja različica protokola je izšla z operacijskim sistemom Windows 8. Vzporedno z Microsoftom je bil ustvarjen in posodobljen protokol v njegovi odprtokodni implementaciji Samba.

V vsakem nova različica Protokolu so bile dodane različne vrste izboljšav, katerih cilj je povečanje zmogljivosti, varnosti in podpore novim funkcijam. Toda hkrati je podpora za stare protokole ostala za združljivost. Seveda so starejše različice imele in imajo še vedno dovolj ranljivosti, eno od njih uporablja WannaCry.

Pod spojlerjem boste našli zbirno tabelo sprememb v različicah SMB.

Različica	operacijski sistem	Dodano v primerjavi s prejšnjo različico
SMB 2.0	Windows Vista/2008	Spremenjeno število ukazov protokola iz 100+ na 19
		Možnost "cevovodnega" dela - pošiljanje dodatnih zahtev pred prejemom odgovora na prejšnje
		Podpora za simbolične povezave
		Podpis sporočila HMAC SHA256 namesto MD5
		Povečajte predpomnilnik in bloke za pisanje/branje
SMB 2.1	Windows 7/2008R2	Izboljšanje učinkovitosti
		Višja podpora MTU
		BranchCache Service Support, mehanizem, ki predpomni zahteve WAN lokalno omrežje
SMB 3.0	Windows 8/2012	Sposobnost izdelave pregledne preklopne gruče z uravnoteženjem obremenitve
		Podpora neposredni dostop v pomnilnik (RDMA)
		Upravljanje cmdletov Powershell
		VSS podpora
		AES – CMAC podpis
		AES-CCM šifriranje
		Možnost uporabe omrežnih map za shranjevanje virtualni stroji HyperV
		Možnost uporabe omrežnih map za shranjevanje Microsoftove baze SQL
SMB 3.02	Windows 8.1/2012R2	Izboljšave varnosti in zmogljivosti
		Samodejno uravnoteženje v grozdu
SMB 3.1.1	Windows 10/2016	Podpora za šifriranje AES-GCM
		Preverjanje celovitosti pred preverjanjem pristnosti z uporabo razpršitve SHA512
		Obvezna varna "pogajanja" pri delu s strankami SMB 2.x in novejšimi

Štejemo za pogojno poškodovane

Ogled trenutno uporabljene različice protokola je precej preprost, za to uporabljamo cmdlet Get – SmbConnection:

Izhod ukaza Cmdlet, ko je odprt omrežnih virov na strežnikih z drugačna različica Windows.

Iz izhoda je razvidno, da odjemalec, ki podpira vse različice protokola, za povezavo uporablja največjo možno različico, ki jo podpira strežnik. Seveda, če stranka samo podpira stara različica protokola, na strežniku pa bo onemogočen - povezava ne bo vzpostavljena. Omogočite ali onemogočite podporo za starejše v modernem sistemi Windows z uporabo cmdleta Set – SmbServerConfiguration, in poglej na stanje takole:

Get – SmbServerConfiguration | Izberite EnableSMB1Protocol, EnableSMB2Protocol

Izklopite SMBv1 na strežniku z operacijskim sistemom Windows 2012 R2.

Rezultat pri povezovanju iz sistema Windows 2003.

Tako lahko, če onemogočite stari, ranljivi protokol, izgubite funkcionalnost omrežja s starimi odjemalci. Hkrati se poleg Windows XP in 2003 SMB v1 uporablja tudi v številnih programskih in strojnih rešitvah (na primer NAS na GNU \ Linux, z uporabo stare različice sambe).

Pod spojlerjem bom dal seznam proizvajalcev in izdelkov, ki bodo popolnoma ali delno prenehali delovati, ko onemogočite SMB v1.

Proizvajalec	Izdelek	Komentar
Barakuda	SSL VPN
	Varnostne kopije spletnega varnostnega prehoda
Canon	Skeniraj v skupno rabo omrežja
Cisco	WSA / WSAv
	WAAS	Različice 5.0 in starejše
F5	Odjemalski prehod RDP
	Proxy Microsoft Exchange
Forcepoint (Raytheon)	"Nekateri izdelki"
HPE	ArcSight Legacy Unified Connector	Starejše različice
IBM	NetServer	Različica V7R2 in starejše
	QRadar Upravitelj ranljivosti	Različice 7.2.x in starejše
Lexmark		Vdelana programska oprema eSF 2.x in eSF 3.x
Jedro Linuxa	Odjemalec CIFS	Od 2.5.42 do 3.5.x
McAfee	Spletni prehod
Microsoft	Windows	XP / 2003 in starejši
MYOB	Računovodje
NetApp	ONTAP	Različice pred 9.1
NetGear	Pripravljen NAS
Oracle	Solaris	11.3 in starejši
Pulse Secure	PCS	8.1R9 / 8.2R4 in starejši
	PPS	5.1R9 / 5.3R4 in starejši
QNAP	Vse naprave za shranjevanje	Vdelana programska oprema, starejša od 4.1
Rdeč klobuk	RHEL	Različice pred 7.2
Ricoh	MFP, skeniranje v omrežni vir	Poleg številnih modelov
RSA	Strežnik Authentication Manager
Samba	Samba	Starejši od 3,5
Sonos	Brezžični zvočniki
Sophos	Sophos UTM
	Požarni zid Sophos XG
	Spletna naprava Sophos
SUSE	SLES	11 in več
Synology	Upravitelj diskovnih postaj	Samo nadzor
Thomson Reuters	CS Professional Suite
Tintri	Tintri OS, Tintri Global Center
VMware	Vcenter
	ESXi	Starejši od 6.0
Worldox	GX3 DMS
Xerox	MFP, skeniranje v omrežni vir	Vdelana programska oprema brez vdelane programske opreme ConnectKey

Seznam je vzet z Microsoftove spletne strani, kjer se redno posodablja.

Seznam izdelkov, ki uporabljajo staro različico protokola, je precej velik - preden onemogočite SMB v1, morate vsekakor razmisliti o posledicah.

Onemogoči

Če v omrežju ni programov in naprav, ki uporabljajo SMB v1, je seveda bolje onemogočiti stari protokol. V tem primeru, če zaustavite SMB Windows strežnik 8/2012 se izvede s pomočjo cmdleta Powershell, nato pa boste morali za Windows 7/2008 urediti register. To lahko storite tudi s programom Powershell:

Nabor – Lastnost elementa – Pot "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 – Vrsta DWORD – Vrednost 0 – Force

Ali na drug primeren način. Vendar pa je za uveljavitev sprememb potreben ponovni zagon.

Če želite onemogočiti podporo SMB v1 na odjemalcu, preprosto ustavite storitev, ki je odgovorna za njeno delovanje, in popravite odvisnosti storitve lanmanworkstation. To lahko storite z naslednjimi ukazi:

sc.exe konfiguracija lanmanworkstation odvisna = bowser / mrxsmb20 / nsi sc.exe konfiguracija mrxsmb10 start = onemogočeno

Za udobje onemogočanja protokola v celotnem omrežju je priročno uporabljati pravilnike skupine, zlasti nastavitve pravilnika skupine. Z njihovo pomočjo lahko priročno delate z registrom.

Ustvarjanje vnosa v registru s pravilniki skupine.

Če želite onemogočiti protokol na strežniku, ustvarite naslednji parameter:

pot: HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters;

nov parameter: REG_DWORD z imenom SMB1;

• vrednost: 0.

Ustvarite registrski ključ, da onemogočite SMB v1 na strežniku prek pravilnika skupine.

Če želite onemogočiti podporo SMB v1 na odjemalcih, morate spremeniti vrednost dveh parametrov.

Najprej onemogočite storitev protokola SMB v1:

pot: HKLM: \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10;

parameter: REG_DWORD z imenom Start;

• vrednost: 4.

Posodobimo enega od parametrov.

Nato bomo popravili odvisnost storitve LanmanWorkstation, tako da ne bo odvisna od SMB v1:

pot: HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation;

parameter: REG_MULTI_SZ z imenom DependOnService;

• pomeni: tri vrstice - Bowser, MRxSmb20 in NSI.

In zamenjajte z drugim.

Ko uporabite pravilnik skupine, morate znova zagnati računalnike v svoji organizaciji. Po ponovnem zagonu SMB v1 ne bo več uporabljen.

Deluje - ne dotikajte se

Nenavadno je, da ta stara zapoved ni vedno uporabna – izsiljevalska programska oprema in trojanci se lahko izvajajo v redko posodobljeni infrastrukturi. Vendar pa lahko nenatančno zaustavitev in posodabljanje storitev ohromi organizacijo, tako kot virusi.

Povejte nam, ali ste že onemogočili SMB prve različice? Je bilo veliko žrtev?

SMB oz Blok sporočil strežnika je omrežni komunikacijski protokol za skupno rabo datotek, tiskalnikov in drugega različne naprave... Obstajajo tri različice SMB - SMBv1, SMBv2 in SMBv3. Iz varnostnih razlogov Microsoft priporoča, da onemogočite SMB različico 1, saj je zastarela in uporablja tehnologijo, staro skoraj 30 let. Da se izognete okužbi z virusi izsiljevalske programske opreme, kot je WannaCrypt, morate onemogočiti SMB1 in namestiti posodobitve za operacijski sistem. Ta protokol uporabljajo Windows 2000, Windows XP, Windows Server 2003 in Windows Server 2003 R2 - zato dostop do omrežnih datotek do teh različic OS ne bo na voljo. Enako velja za nekatere naprave NAS, skenerje itd.

Onemogočite SMB1 na nadzorni plošči

Start -> Nadzorna plošča -> Programi in funkcije -> Vklop ali izklop funkcij sistema Windows

Onemogoči »Podporo za skupno rabo datotek SMB 1.0 / CIFS«

Onemogočite SMB1 prek Powershell-a

Odprite ukazno mizo Powershell s skrbniškimi pravicami in vnesite naslednji ukaz:

Set-ItemProperty -Pot "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Vrsta DWORD -Vrednost 0 -Force

Onemogočite SMB1 z uporabo registra Windows

SMBv1 lahko tudi onemogočite tako, da zaženete regedit.exe in gremo na naslednji razdelek:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

V tem razdelku ustvarite DWORD SMB1 s pomenom 0 .

Vrednosti za omogočanje in onemogočanje SMB1:

• 0 = Onemogočeno
• 1 = omogočeno

Po tem morate namestiti posodobitev MS17-010. Posodobitev je bila izdana za vse različice sistema Windows, vključno z nepodprtimi Windows XP in Windows Server 2003.

In na koncu bi rad povedal, da kljub nameščen protivirusni program in redne posodobitve operacijskega sistema, če so vam vaši podatki dragi, morate najprej pomisliti na varnostno kopiranje.

Zakaj in kako onemogočiti SMB1 v sistemu Windows 10/8/7

opomba

Ta članek opisuje postopke za omogočanje in onemogočanje strežniškega bloka sporočil (SMB) različice 1, različice SMB 2 (SMBv2) in različice SMB 3 (SMBv3) v komponentah odjemalca in strežnika SMB.

Opozorilo. Ni priporočljivo, da onemogočite SMB v2 ali 3. Onemogočite SMB v2 ali 3 le kot začasen ukrep za odpravljanje težav. Ne pustite onemogočene različice SMB 2 ali 3.

V operacijskih sistemih Windows 7 in Windows Server 2008 R2 bo onemogočanje SMB različice 2 onemogočilo naslednje funkcionalnost.

• Združevanje zahtev, ki omogoča pošiljanje več zahtev SMB 2 kot ene omrežne zahteve.


• Velika količina branja in pisanja za optimizacijo hitrih omrežij.


• Predpomnjenje lastnosti datotek in map, v katere odjemalci shranjujejo lokalne kopije datotek in map.


• Dolgoročni deskriptorji, ki vam omogočajo pregledno ponovno povezavo s strežnikom v primeru začasne prekinitve povezave.


• Izboljšani podpisi sporočil, kjer algoritem zgoščevanja HMAC SHA-256 nadomešča MD5.


• Izboljšano skaliranje za skupno rabo datotek (znatno se je povečalo število uporabnikov, skupnih rab in odprite datoteke na strežnik).


• Podpora za simbolične povezave.


• Model zakupa odjemalca, ki omejuje količino podatkov, ki se prenašajo med odjemalcem in strežnikom, kar izboljša zmogljivost omrežij z visoko zamudo in izboljša razširljivost strežnika SMB.


• Velika podpora MTU za polno uporabo 10 Gigabit Ethernet.


• Zmanjšana poraba energije - Odjemalci z datotekami, odprtimi za strežnik, so lahko v stanju mirovanja.

V operacijskih sistemih Windows 8, Windows 8.1, Windows 10, Windows Server 2012in Windows Server 2016, bo onemogočanje SMB različice 3 onemogočilo naslednjo funkcionalnost (kot tudi funkcionalnost različice 2 SMB, opisano na prejšnjem seznamu).

• Transparentni preklop, pri katerem odjemalci med vzdrževanjem ali izpadom brez motenj preklopijo na vozlišča gruče.


• Skaliranje - z zagotavljanjem hkratnega dostopa do skupnih podatkov na vseh vozliščih gruče.


• Večkanalni zagotavlja združevanje pasovne širine omrežne povezave in odpornost omrežja prek različnih povezav, ki so na voljo med odjemalcem in strežnikom.


• SMB Direct – Zagotavlja podporo za omrežja RDMA za zelo visoko zmogljivost, nizko zamudo in nizko izkoriščenost CPE.


• Šifriranje – zagotavlja šifriranje podatkov od konca do konca in jih ščiti pred prisluškovanjem v nezaupljivih omrežjih.


• Zakup imenika s predpomnjenjem skrajša odzivne čase aplikacij v podružnicah.


• Optimizira delovanje majhnih naključnih operacij branja in pisanja.

Dodatne informacije

Kako omogočiti in onemogočiti protokole SMB na strežniku SMB

Windows 8 in Windows Server 2012

Nov cmdlet, predstavljen v operacijskih sistemih Windows 8 in Windows Server 2012 Windows PowerShell Set-SMBServerConfiguration. Omogoča vam, da omogočite ali onemogočite različice SMB 1, 2 in 3 na strežniku.
Opombe. Omogočanje ali onemogočanje SMB različice 2 v sistemu Windows 8 ali Windows Server 2012 prav tako omogoči ali onemogoči različico SMB 3. To je posledica skupnega sklada, ki se uporablja za te protokole.
Po zagonu cmdleta

• Če želite dobiti trenutno stanje konfiguracije protokola strežnika SMB, zaženite naslednji cmdlet:

  Get-SmbServerConfiguration | Izberite EnableSMB1Protocol, EnableSMB2Protocol

• Set-SmbServerConfiguration -EnableSMB1Protocol $ false

• Set-SmbServerConfiguration -EnableSMB2Protocol $ false

• Set-SmbServerConfiguration -EnableSMB1Protocol $ true

• Set-SmbServerConfiguration -EnableSMB2Protocol $ true

Windows 7, Windows Server 2008 R2, Windows Vista in Windows Server 2008

Če želite omogočiti ali onemogočiti protokole SMB na strežniku SMB z operacijskim sistemom Windows 7, Windows Server 2008 R2, Windows Vista ali Windows Server 2008, uporabite Windows PowerShell ali urejevalnik registra.

Windows PowerShell 2.0 ali novejši PowerShell

• Če želite onemogočiti protokol SMB različice 1 na strežniku SMB, zaženite naslednji cmdlet:

  Set-ItemProperty -Pot "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ice \ LanmanServer \ Parameters" SMB1 -Vrsta DWORD -Vrednost 0 -Force

• Če želite onemogočiti različici SMB 2 in 3 na strežniku SMB, zaženite naslednji cmdlet:

  Set-ItemProperty -Pot "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ice \ LanmanServer \ Parameters" SMB2 -Vrsta DWORD -Vrednost 0 -Force

• Če želite omogočiti protokol SMB različice 1 na strežniku SMB, zaženite naslednji cmdlet:

  Set-ItemProperty -Pot "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ice \ LanmanServer \ Parameters" SMB1 -Vrsta DWORD -Vrednost 1 -Force

• Če želite omogočiti različici SMB 2 in 3 na strežniku SMB, zaženite naslednji cmdlet:

  Set-ItemProperty -Pot "HKLM: \ SYSTEM \ CurrentControlSet \ Serv ice \ LanmanServer \ Parameters" SMB2 -Vrsta DWORD -Vrednost 1 -Force

Opomba. Po teh spremembah je treba računalnik znova zagnati.

Urednik registra

Pozor! Ta članek vsebuje informacije o spreminjanju registra. Priporočljivo je, da pred kakršnimi koli spremembami varnostno kopirate register. in se naučite, kako ga obnoviti, če pride do težave. Več informacij o ustvarjanju rezerva, kako popraviti in spremeniti register, glejte naslednji članek v Microsoftovi zbirki znanja.Če želite omogočiti ali onemogočiti protokol SMB različice 1 na strežniku SMB, konfigurirajte naslednji registrski ključ:

Podključ registra: Vnos v registru: SMB1
REG_DWORD: 0 = onemogočeno
REG_DWORD: 1 = omogočeno
Privzeto: 1 = omogočeno

Če želite omogočiti ali onemogočiti različico SMB 2 na strežniku SMB, konfigurirajte naslednji registrski ključ:

Podključ registra: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl Set \ Services \ LanmanServer \ Parameters Vnos v register: SMB2
REG_DWORD: 0 = onemogočeno
REG_DWORD: 1 = omogočeno
Privzeto: 1 = omogočeno

sc.exe konfiguracija lanmanworkstation je odvisna od = bowser / mrxsmb20 / nsi

sc.exe konfiguracija mrxsmb10 start = onemogočeno

• Če želite omogočiti protokol SMB različice 1 na odjemalcu SMB, zaženite naslednje ukaze:

  
  sc.exe konfiguracija mrxsmb10 start = auto

• Če želite onemogočiti različici SMB 2 in 3 na odjemalcu SMB, zaženite naslednje ukaze:

  sc.exe konfiguracija lanmanworkstation je odvisna od = bowser / mrxsmb10 / nsi
  sc.exe konfiguracija mrxsmb20 start = onemogočeno

• Če želite omogočiti protokole SMB različice 2 in 3 na odjemalcu SMB, zaženite naslednje ukaze:

  sc.exe konfiguracija lanmanworkstation je odvisna od = bowser / mrxsmb10 / mrxsmb20 / nsi
  sc.exe konfiguracija mrxsmb20 start = auto

Opombe.

• Te ukaze je treba vnesti ukazna vrstica s povišanimi privilegiji.


• Po teh spremembah je treba računalnik znova zagnati.

Zdravo! Za tiste, ki niso v temi, bom začel od daleč. Na računalnikih in prenosnih računalnikih s nameščen Windows v raziskovalcu je ločen zavihek "Omrežje". Ta zavihek prikazuje naprave iz omrežja Network Neighborhood. To pomeni, da lahko z odpiranjem zavihka »Omrežje« opazujemo računalnike, omrežne pomnilnike (NAS), večpredstavnostne naprave (DLNA), bliskovne pogone in zunanji pogoni ki so povezani z usmerjevalnikom in konfigurirani za skupno rabo. Preprosto povedano, tiste naprave, ki so povezane prek enega usmerjevalnika (so v istem omrežju) in na katerem je omogočena funkcija odkrivanja omrežja (naprave, ki jih je mogoče odkriti v lokalnem omrežju)... Tam je lahko prikazan tudi naš usmerjevalnik. (razdelek "Omrežna infrastruktura") in druge naprave.

Zdaj bom razložil, kaj in kako ter zakaj sem se sploh odločil napisati ta članek. Imam usmerjevalnik ASUS, na katerega sem se povezal USB ključ, in nastavite splošni dostop do tega bliskovnega pogona za vse naprave v omrežju. In kaj mislite, v razdelku »Omrežje« na vseh računalnikih se je pojavil ta omrežni pogon (tam je prikazan kot "računalnik") in se ni prikazal na mojem računalniku. To pomeni, da moj računalnik ni videl bliskovnega pogona USB, povezanega z usmerjevalnikom, ali drugimi računalniki v tem omrežju. Toda strežnik DLNA je bil prikazan, da deluje na istem usmerjevalniku. Ampak to nič ne spremeni, saj potrebujem navadnega dostop do omrežja na pogon.

Prav tako nisem mogel dostopati do bliskovnega pogona, ko sem v raziskovalec vtipkal njegov naslov //192.168.1.1. Ta naslov je bil takoj odprt prek brskalnika. In tega pogona nisem mogel povezati kot omrežni pogon... Preprosto ni bil na seznamu razpoložljivih naprav omrežno okolje.

Takšna težava, ko Windows 7, Windows 8 ali Windows 10 ne vidi omrežnih naprav, ni redka. Ni nujno, da je USB ključ oz zunanji trdi disk ki ste ga povezali s svojim usmerjevalnikom kot v mojem primeru. Najpogosteje konfigurirajo skupni dostop med računalniki v lokalnem omrežju. In na enak način se soočajo s težavo, ko so računalniki povezani v isto omrežje. (na en usmerjevalnik), so nastavitve skupne rabe pravilne, vendar je zavihek »Omrežje« prazen. Ali pa sta prikazana samo usmerjevalnik in vaš računalnik.

Ker je razlogov in s tem tudi rešitev lahko veliko, bom verjetno začel z najpreprostejšim (kar mi ni pomagalo) in na koncu tega članka bom delil rešitev, ki je pomagala v mojem primeru. Zaradi tega je moj prenosnik še vedno videl vse naprave v omrežju. Vključno z omrežno pomnilniško napravo in drugim računalnikom, ki je prav tako povezan s tem omrežjem.

Vendar to ne pomeni, da imate isti primer. Zato vam svetujem, da preverite vse nastavitve po vrstnem redu.

Preverjanje nastavitev skupne rabe

Upoštevali bomo dva primera:

1. Ko se računalniki ne vidijo drug drugega v lokalnem omrežju.
2. Skupna raba NAS. Lahko imamo bliskovni pogon, oz trdi disk ki je povezan z usmerjevalnikom ali ločenim pogonom (aka NAS).

Prvi primer

Da bi se računalniki lahko videli in prikazali v raziskovalcu v razdelku »Omrežje«, morajo biti povezani prek istega usmerjevalnika. Ali pa neposredno povezana (po kablu ali prek Wi-Fi)... Preprosto povedano, morajo biti v istem lokalnem omrežju.

Nadalje, na vseh računalnikih (ne vem koliko jih imaš tam), je zaželeno, da dodelite status omrežja "Domov" (zasebno). Kako to storiti v sistemu Windows 10, sem napisal v članku. V sistemu Windows 7 preprosto pojdite na "Center za omrežje in skupno rabo" in tam spremenite stanje trenutne povezave.

Če po tem računalnik še vedno ne zazna drugih računalnikov (ali obratno), potem preverimo nastavitve skupne rabe.

Če želite to narediti, v oknu "Center za omrežje in skupno rabo" (če ne veste, kako ga odpreti v sistemu Windows 10, si oglejte članek) kliknite element "Spremeni napredne nastavitve skupne rabe".

In za trenutni profil (običajno "Zasebni") nastavite parametre, kot je prikazano na spodnjem posnetku zaslona.

Naredi na vseh računalnikih v lokalnem omrežju.

Članki na to temo:

Ti nasveti praviloma rešujejo vse težave z zaznavanjem računalnikov v lokalnem omrežju.

Drugi primer

Ko imate težave z dostopom do NAS. Kot v mojem primeru. Windows 10 ni videl pogona USB, ki je bil povezan z usmerjevalnikom ASUS. Številni usmerjevalniki imajo zdaj vrata USB za povezovanje pogonov in drugih naprav, zato je tema relevantna.

Prepričati se morate, da je ta pogon definiran v nastavitvah usmerjevalnika in omogočen skupni dostop do njega. Jasno je, da se to na različnih usmerjevalnikih izvaja različno. Na usmerjevalnikih ASUS je na primer videti tako:

Povezani članki:

Ne zamenjujte nastavitev skupne rabe z nastavitvami FTP. V tem primeru nastavitve strežnika FTP na usmerjevalniku nimajo nič s tem.

No, če druge naprave vidijo omrežni pogon in imajo dostop do njega, vendar na določenem računalniku ni dostopa do njega, potem težava ni na strani usmerjevalnika. Pojdite skozi nastavitve "problematskega" računalnika v tem članku.

Protivirusni program ali požarni zid lahko blokira omrežne naprave

Če vašemu protivirusnemu programu ali požarnemu zidu (požarnemu zidu), nameščenemu na vašem računalniku, nekaj ni všeč, potem lahko zlahka naredi tako, da ne vidite drugih naprav v omrežnem okolju, niti vas nihče ne najde.

Res je, po onemogočanju vgrajenega požarnega zidu v protivirusnem programu težava ni bila odpravljena (kar pomeni, da težava najverjetneje ni v njem), a vse se mi natančno zdi, da v mojem primeru ni šlo brez sodelovanja protivirusnega programa.

Zato poskusite za nekaj časa popolnoma ustaviti protivirusni program ali pa vsaj onemogočiti vgrajen požarni zid (požarni zid) ... NOD 32 naredi takole:

Če želite to preveriti, morate storiti na vseh računalnikih ki bo sodeloval v lokalnem omrežju.

Možno je, da ste namestili nekatere druge programe, ki lahko spremljajo in upravljajo omrežje omrežne povezave.

Če se izkaže, da je težava v protivirusnem programu, morate svoje omrežje dodati izjemam. Preprečite, da bi požarni zid blokiral samo omrežje ali omrežne naprave.

Če nimate protivirusnega programa, lahko eksperimentirate z onemogočanjem / omogočanjem vgrajenega požarnega zidu Windows.

Delovna skupina

Delovna skupina mora biti enaka na vseh napravah. Praviloma je. Vendar je priporočljivo preveriti. Če želite to narediti, odprite lastnosti računalnika "Sistem" in pojdite na "Napredne sistemske nastavitve".

Tam bo navedena "delovna skupina". Če ga želite spremeniti, morate klikniti gumb "Spremeni".

Ponovno mora biti ime delovne skupine enako na vseh računalnikih.

Če imate težave z dostopom do svojega NAS (na bliskovni pogon USB prek usmerjevalnika), potem je v nastavitvah skupne rabe na istem usmerjevalniku ASUS tudi navedeno delovna skupina... Zgornji posnetek zaslona si lahko ogledate v članku. Moralo bi biti enako kot na računalniku.

Težava pri dostopu do skupne rabe omrežja prek SMB1 v sistemu Windows 10 (moja rešitev)

Vrnimo se konkretno k moji težavi. Vse, kar sem opisal zgoraj, je bilo že 10-krat preverjeno in ponovno preverjeno. Nekajkrat sem to storil, vendar Windows 10 še vedno ni videl drugih računalnikov v omrežju, in kar je najpomembneje, mapa v skupni rabi v obliki bliskavice, ki je povezana z usmerjevalnikom, ni bila prikazana v raziskovalcu. In na drugih napravah v omrežju je bilo vse določeno brez težav. Vključno z mojim prenosnikom.

Nekje sem prebral, da lahko poskusite odpreti mapo v skupni rabi skozi okno Run. Pritisnite kombinacijo tipk Win + R, vnesli naslov omrežne mape //192.168.1.1 (tudi naslov usmerjevalnika).

Nisem dobil dostopa do pogona, vendar se je pojavila zanimiva napaka:

Ne morete se povezati z mapo v skupni rabi, ker ni varna. Ta mapa v skupni rabi uporablja podedovani protokol SMB1, ki ni varen in bi lahko vaš sistem ogrozil.

Vaš sistem mora uporabljati SMB2 ali novejši.

To je že zanimivo. Vsaj nekaj.

SMB (Server Message Block) je omrežni protokol, ki je odgovoren za skupno rabo datotek, tiskalnikov in drugih omrežne naprave.

Začel sem iskati. In izkazalo se je, da je Windows 10 opustil protokol SMB1. Zaradi varnosti. Programski paket Samba, nameščen na mojem usmerjevalniku, deluje prek protokola SMB1. Zato ga Windows 10 ne vidi. Toda drugi računalniki, ki prav tako delujejo v sistemu Windows 10, mi tudi niso bili prikazani na zavihku »Omrežje«.

Ker v nastavitvah usmerjevalnika nisem mogel posodobiti protokola na SMB2, sem se odločil, da moram nekako omogočiti podporo SMB1 v sistemu Windows 10. In kot se je izkazalo, je to mogoče storiti brez težav. Kot rezultat, je po priključitvi komponente "Client SMB 1.0 / CIFS" vse delovalo zame. Sistem je videl mape v skupni rabi na računalnikih v omrežju in omrežno mapo, konfigurirano na samem usmerjevalniku.

Kako omogočiti SMB1 v sistemu Windows 10?

Poiščite in odprite staro "Nadzorno ploščo".

Preklopite na majhne ikone in odprite Programi in funkcije.

Odprite »Vklop ali izklop funkcij sistema Windows«. Najdemo postavko "Podpora za skupno rabo datotek SMB 1.0 / CIFS". Odprite ga in označite kljukico poleg "SMB 1.0 / CIFS Client". Kliknite V redu.

Če se računalnik pozove k ponovnemu zagonu, ga znova zaženite. Če ni okna s predlogom, ponovno zaženite ročno.

Po ponovnem zagonu na zavihku "Omrežje" - "Računalnik" vse razpoložljivih naprav v vašem omrežju.

Vesel bi bil, če bo ta članek komu koristen in bo pomagal rešiti težavo. Ne pozabite napisati v komentarjih o rezultatih. Ali pa postavite vprašanje, kam gremo brez njih 🙂

V pogovornem oknuNove lastnosti registraizberite naslednje:

• Ukrep:Ustvari


• Bush: HKEY_LOCAL_MACHINE


• Pot odseka:SYSTEM \ CurrentControlSet \ Services \ Lanman Server \ Parameters


• Ime parametra:SMB1


• Vrsta vrednosti:REG_DWORD.


• pomen: 0

To bo onemogočilo strežniške komponente SMB različice 1. Ta pravilnik skupine je treba uporabiti za vse zahtevane delovne postaje, strežnike in krmilnike domene v domeni.

Opomba. Filtri WMI lahko tudi konfigurirate tako, da izključite nepodprte operacijski sistemi ali izbrane izjeme, kot je Windows XP.

Pozor!Bodite previdni pri spreminjanju krmilnikov, kjer so starejši sistemi, kot je Windows XP ali Linux, in sistemi tretjih oseb(ki ne podpirajo SMB različice 2 ali SMB različice 3) zahteva dostop do SYSVOL ali drugih map v skupni rabi, kjer je bila različica SMB 1 onemogočena.

Onemogočite odjemalca SMB različice 1 s pravilnikom skupine

Če želite onemogočiti odjemalca SMB različice 1, je treba posodobiti servisni ključ registrskega ključa, da onemogoči zagon MRxSMB10, nato pa je treba odvisnost v MRxSMB10 odstraniti iz vnosa, da se LanmanWorkstation lahko zažene na standarden način ne da bi ob prvem zagonu vprašal MRxSMB10.

Ta posodobitev nadomesti privzete vrednosti v naslednjih dveh vnosih v registru

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl Set \ services \ mrxsmb10

Parameter: Start REG_DWORD: 4 = onemogočeno

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControl Set \ Services \ LanmanWorkstation

Parameter: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20", "NSI"

Opomba. Privzeto vsebuje MRxSMB10, ki je trenutno opuščen kot odvisnost

Če želite konfigurirati s pravilnikom skupine:

1. Odpri Upravljalska konzola skupinske politike ... Kliknite desni klik z miško kliknite predmet pravilnika skupine (GPO), ki bi moral vsebovati nov prednostni element, nato kliknite Uredi.


2. V drevesu konzole pod Konfiguracija računalnika razširite mapo Nastavitve, nato razširite mapo z nastavitvami sistema Windows.


3. Z desno tipko miške kliknite vozlišče registra, kliknite Novo in izberite Element registra.

V pogovornem oknu Nove lastnosti registra izberite naslednje:

• Ukrep: Posodobite


• Bush: HKEY_LOCAL_MACHINE


• Pot particije: SYSTEM \ CurrentControlSet \ services \ mrxsmb 10


• Ime parametra: Start


• Vrsta vrednosti: REG_DWORD.


• Vrednost podatkov: 4

Nato odstranite odvisnost v MRxSMB10, ki je bila onemogočena

V pogovornem oknu Nove lastnosti registra izberite naslednje:

• Ukrep: Zamenjajte


• Bush: HKEY_LOCAL_MACHINE


• Ključna pot: SYSTEM \ CurrentControlSet \ Services \ Lanman Workstation


• Ime parametra: DependOnService


• Vrsta parametra REG_MULTI_SZ


• Vrednost podatkov:
  
  
  • Bowser
  
  
  • MRxSmb20
  
  
  

Opomba. Te tri vrstice ne bodo imele oznak (glej spodaj)

Privzete nastavitve vsebujejo veliko MRxSMB10 različice sistema Windowsče jih zamenjate z nizom z več vrednostmi, boste odstranili MRxSMB10 kot odvisnost za LanmanServer in premaknili s štirih privzetih na samo tri zgoraj opisane.

Opomba. Ko uporabljate konzolo za upravljanje pravilnikov skupine, vam ni treba uporabljati narekovajev ali vejic. Samo vnesite vsak zapis v ločeno vrstico, kot je navedeno zgoraj

Potreben je ponovni zagon:

Po uporabi pravilnika in vnosu nastavitev registra bo SMB različica 1 po ponovnem zagonu sistema onemogočena.

opomba

Če so vse nastavitve v istem predmetu pravilnika skupine (GPO), bo upravljanje pravilnika skupine prikazalo spodnje nastavitve.

Testiranje in validacija

Ko je konfiguriran, dajte pravilniku dovoljenje za podvajanje in posodabljanje. Ker je to potrebno za testiranje, zaženite gpupdate / force iz vrstice CMD.EXE in nato opazujte ciljne stroje, da zagotovite, da so nastavitve registra pravilno uporabljene. Prepričajte se, da različica SMB 2 in SMB različica 3 delujeta za vse sisteme v vašem okolju.

Pozor! Ne pozabite znova zagnati ciljnih sistemov.