Маленький блог скромного айтишника.
Скорее всего дело в том, что в рамках постепенного отключения старых небезопасных версий протокола SMB помимо полного отключения SMB1, по умолчанию стала блокировать также доступ под гостевой учетной записью на удаленный сервер по протоколу SMBv2.
При попытке такого подключения как раз и появляется такая ошибка. А в журнале клиента SMB (Microsoft-Windows-SMBClient) при этом фиксируется: Rejected an insecure guest logon.
Именно по этому при доступе к SMBv2 сетевым папкам под гостевой учетной (в большинстве случаев на NAS включают именно гостевой доступ) или к шарам на старых версия ОС (согласно опубликованной ранее таблице поддерживаемых версий SMB в различных версиях Windows, SMB 2.0 используется в Windows Server 2008 и Windows Vista SP1, а SMB 2.1 в Windows Server 2008 R2 и Windows 7).
Чтобы включить доступ под гостевой учетной записью, нужно с помощью редактора групповых политик (gpedit.msc) в разделе:
Конфигурация компьютера ->Административные шаблоны -> Сеть->Рабочая станция Lanman включить политику Включить
небезопасные гостевые входы.
Либо создать следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters “AllowInsecureGuestAuth”=dword:1
Если данное решение не помогло, возможно ваш NAS (или другое удаленное устройство, которое предоставляет доступ к сетевым папкам по SMB), поддерживают только SMBv1. Попробуйте включить этот протокол на клиенте (Windows Features -> SMB 1.0/CIFS File Sharing Support -> SMB 1.0/CIFS Client).
Однако, вы должны понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает вашу систему опасности.
Не открываются общие сетевые SMB папки в Windows 10 : 1 комментарий
Спасибо! Помогли настройки политик безопасности.
Не открываются общие сетевые SMB папки в Windows 10
Если вы из Windows 10 не можете открыть сетевые папки на других сетевых устройствах (NAS, Samba сервера Linux) или на компьютерах со старыми версиями Windows (Windows 7/ XP /2003), скорее всего проблема связана с тем, что в вашей новой версии Windows 10 отключена поддержка устаревших и небезопасных версий протокола SMB (используется в Windows для доступа к общим сетевым папкам и файлам). Так, начиная с Windows 10 1709, был отключен протокол SMBv1 и анонимный (гостевой) доступ к сетевым папкам по протоколу SMBv2.
Конкретные действия, которые нужно предпринять зависят от ошибки, которая появляется в Windows 10 при доступе к общей папке и от настроек удаленного SMB сервера, на котором хранятся общие папки.
Вы не можете получить гостевой доступ к общей папке без проверки подлинности
Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:
При это на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Эта проблем связана с тем, что в современных версиях Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.
При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:
В большинстве случае с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).
В этом случае Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.
В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.
- NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
- Samba сервер на Linux — если вы раздаете SMB каталог с Linux, в конфигурационном файле smb.conf в секции [global] нужно добавить строку: map to guest = never
А в секции с описанием сетевой папки запретить анонимный доступ: guest ok = no - В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) имените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для подключения к общим папкам на этом компьютере.
Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.
Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).
В Windows 10 Home, в которой нет редактора локальной GPO, вы можете внести аналогичное изменение через редактор реестра вручную:
Или такой командой:
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
Вашей системе необходимо использовать SMB2 или более позднюю
Другая возможная проблема при доступе к сетевой папке из Windows 10 – поддержка на стороне сервера только протокола SMBv1. Т.к. клиент SMBv1 по умолчанию отключен в Windows 10 1709, при попытке открыть шару вы можете получить ошибку:
При этом соседние устройства SMB могут не отображаться в сетевом окружении и при открытии по UNC пути может появляться ошибка 0x80070035.
Т.е. из сообщения об ошибке четко видно, что сетевая папка поддерживает только SMBv1 протокол доступа. В этом случае нужно попытаться перенастроить удаленное SMB устройство для поддержки как минимум SMBv2 (правильный и безопасный путь).
Если сетевые папки раздает Samba на Linux, вы можете указать минимально поддерживаемую версию SMB в файле smb.conf так:
В Windows 7/Windows Server 2008 R2 вы можете отключить SMBv1 и разрешить SMBv2 так:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 1 –Force
В Windows 8.1 отключите SMBv1, разрешите SMBv2 и SMBv3 и проверьте что для вашего сетевого подключения используется частный или доменный профиль:
Disable-WindowsOptionalFeature -Online -FeatureName «SMB1Protocol»
Set-SmbServerConfiguration –EnableSMB2Protocol $true
Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003), поддерживает только протокол SMB1, в Windows 10 вы можете включить отдельный компонент SMB1Protocol-Client. Но это не рекомендуется.
Запустите консоль PowerShell и проверьте, что SMB1Protocol-Client отключен ( State: Disabled ):
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Включите поддержку протокола SMBv1 (потребуется перезагрузка):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Также вы можете включить/отключить дополнительные компоненты Windows 10 (в том числе SMBv1) из меню optionalfeatures.exe -> SMB 1.0/CIFS File Sharing Support
В Windows 10 1709 и выше клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).
После установки клиента SMBv1, вы должны без проблем подключиться к сетевой папке или принтеру. Однако, нужно понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает вашу систему опасности.
Как обнаружить и изменить сетевой протокол «SMB» при возникновении ошибки в Windows 10
Читайте о том, что такое ошибка «SMB2» в Windows 10 и как её исправить . Как проверить версию блока сообщений сервера «SMB».
Введение
Современные стандарты требуют от разработчиков создания новых усовершенствованных систем и применения более продвинутых технологий. Однако не всегда новые версии отдельных системных служб могут полноценно функционировать с предыдущими версиями. Например, при попытке подключить обновленную операционную систему «Windows 10» к серверу для доступа к отдельным файлам может возникать ошибка соединения, сигнализирующая о том, что служба сетевого протокола «Windows» не может подключиться к общей папке, и для этого требуется версия «SMB2» или выше. И ошибка не устраняется повторным подключением к заданному серверу или изменением точки доступа, сервер остается недоступным.
Мы попытались обнаружить решение этой странной ошибки подключения к серверу «Windows 10» . К счастью, нам удалось найти несколько быстрых решений для устранения ошибки «SMB2» на нашем компьютере с операционной системой «Windows 10» , о которых далее подробно мы расскажем в нашей статье.
Однако прежде чем приступить к описанию возможных решений, давайте разберемся, в первую очередь, почему собственно эта ошибка возникает.
Что означает ошибка «SMB2» в операционной системе «Windows 10»
Блок сообщений сервера «SMB» ( «Server Message Block» ), как известно, является протоколом обмена файлами, который облегчает операции чтения и записи на сетевых устройствах. Итак, если пользователь пытается получить доступ к серверу или маршрутизатору на базе операционной системы «Linux» , то это становится возможным благодаря применению сетевого протокола «SMB» .
«SMBv1» является самой первой версией этого протокола. Данный сетевой протокол устарел и больше не отвечает современным требованиям безопасности, поскольку предоставляет возможность проникновения в систему вредоносным программам-вымогателям и другим зловредным приложениям через отдельные уязвимости. И именно поэтому данная версия «SMB» больше не монтируется по умолчанию при установке более новых версий операционных систем «Windows 10» . Например, таких вариантов, которые включают в себя обновление «Fall Creators Windows 10» от апреля 2018 года или более позднее октябрьское обновление «Windows 10» того же года.
Корпорация «Microsoft» публично выступила против использования протокола «SMBv1» и сразу изначально применяет в операционной системе «Windows 10» сетевой протокол «SMBv2» или более позднюю версию. Однако, возможно, что сервер, к которому система пытается подключиться, все еще использует старую версию протокола «SMBv1» . Такая попытка соединения может послужить причиной того, что соответствующей службой операционной системы будут выводиться сообщения об ошибках, такие как «Невозможно подключиться к общей папке, так как она не защищена. Этой общей папке требуется устаревший протокол SMB1, который является небезопасным и может сделать систему уязвимой для атак.» , «Указанный сервер не может выполнить требуемую операцию.» , «Указанное сетевое имя больше не доступно.» и ряд других.
В таком случае, идеальным решением будет попытка выполнить проверку, существуют ли какие-либо обновления прошивки для указанного сетевого устройства, ожидающие непосредственной установки. Если версия не требует дополнительных обновлений, то пользователи могут временно понизить версию сетевого протокола «SMB» на своем компьютере под управлением операционной системы «Windows 10» , чтобы получить к нему доступ.
Опять же, предпочтительно, чтобы такие изменения сетевого протокола были выполнены на домашнем устройстве, что позволило бы быстро вернуть настройки в исходное положение по завершению работы на сервере.
Примечание . Следует обратить особое внимание, что все изменения пользователи выполняют собственноручно на свой страх и риск, и никто, кроме пользователя, не несет ответственности за любые потенциальные проблемы, способные возникнуть по причине возможного воздействия различных вредоносных приложений.
Как проверить версию блока сообщений сервера «SMB»
Осуществить проверку версии сетевого протокола «SMB» не представляет собой сложную задачу. Все, что потребуется сделать, это открыть расширяемое средство автоматизации «Windows PowerShell» с правами администратора.
Получить доступ к приложению, представленному в виде программной оболочки с интерфейсом командной строки и сопутствующими языками сценариев можно разными способами, не представляющими особых сложностей и напрямую зависящими только от личных предпочтений конкретного пользователя.
Например, нажмите на кнопку «Поиск» , расположенную на «Панели задач» в нижнем левом углу рабочего стола, рядом с кнопкой «Пуск» , и откройте поисковую панель. В строке поискового запроса введите фразу «Windows PowerShell» и дождитесь окончания ее обработки. В разделе «Лучшее соответствие» будет отображено искомое приложение. Нажмите на нем правой кнопкой мыши и во всплывающем меню выберите, из предложенных вариантов, раздел «Запуск от имени администратора» . Или в дополнительной боковой панели нажмите на соответствующую строку, и приложение «Windows PowerShell» с правами администратора будет открыто.
Также можно выполнить совместное нажатие комбинации клавиш «Windows + X» или щелкнуть правой кнопкой мыши по кнопке «Пуск» в нижнем левом углу рабочего стола, и выбрать во всплывающем контекстном меню раздел «Windows PowerShell (администратор)» для быстрого запуска приложения.
После открытия окна приложения в соответствующей строке введите следующую команду: «Get-SmbServerConfiguration | Select EnableSMB2Protocol» , а затем нажмите клавишу «Ввод» на клавиатуре.
Если по результату ее исполнения будет представлен ответ «True» , то это означает, что ваш компьютер использует версию сетевого протокола «SMBv2» .
Как исправить возникающую ошибку «SMB2» в операционной системе «Windows 10»
Самый простой способ исправления ошибки сетевого протокола – это осуществить включение протокола «SMB» версии «1» . Процедура включения довольно проста. Однако стоит обратить внимание, что для ее завершения потребуется выполнить перезагрузку операционной системы.
Шаг 1. Сначала необходимо открыть приложение «Панель управления» любым удобным способом. Нажмите левой кнопкой мыши кнопку «Пуск» на «Панели задач» и откройте главное пользовательское меню «Windows» . Потом, используя бегунок полосы прокрутки, отыщите и откройте раздел «Служебные – Windows» . Теперь, в раскрывшемся меню, выберите из доступных вариантов раздел «Панель управления» .
Или воспользуйтесь другим способом, например, службой поиска приложения «Параметры» , предоставляющего доступ ко всем основным настройкам операционной системы «Windows 10» . Нажмите значок центра уведомлений «Windows» и дождитесь открытия боковой панели. А затем, в нижней ее части, выберите кнопку быстрого действия «Все параметры» .
Либо же выполните простой и быстрый вариант открытия приложения «Параметры» путем совместного нажатия комбинации клавиш «Windows + I» .
Теперь в поисковой строке «Найти параметр» введите фразу «Панель управления» и нажмите на предложенный вариант во всплывающей панели.
Шаг 2. В новом окне «Все элементы панели управления» , используя бегунок полосы прокрутки, отыщите и выберите раздел «Программы и компоненты» .
Шаг 3. В левом боковом меню нового окна нажмите на текстовую ссылку «Включение или отключение компонентов Windows» .
Шаг 4. В открывшемся окне пользователю будут доступны настройки компонентов «Windows» , которые можно будет включить или отключить в соответствующей ячейке. Опустите бегунок полосы прокрутки к разделу «SMB 1.0/CIFS File Sharing Support» и откройте его, нажав на кнопку отображения вложенных параметров, на которой изображен знак «Плюс» .
Шаг 5. В развернутом разделе установите индикатор выбора ( «галочку» ) рядом с ячейкой «SMB 1.0/CIFS Client» , а затем нажмите кнопку «ОК» для сохранения установленных изменений.
Шаг 6. Теперь перезагрузите компьютер. Как только он вернется в сеть, пользователь сможет повторно подключиться к нужному серверу.
Шаг 7. По завершению всех своих действий на сервере, желательно вернуться к рекомендованной версии сетевого протокола «SMB» , выполнив весь описанный процесс заново и сняв «галочку» рядом с ячейкой «SMB 1.0/CIFS Client» . После чего повторно сохраните изменения кнопкой «ОК» и перезагрузите компьютер.
Аналогичного результата по возврату к предустановленным значениям протокола можно добиться с помощью исполнения соответствующей команды в системном приложении «Windows PowerShell» . С этой целью откройте «Windows PowerShell» с правами администратора любым, из описанных ранее, способом и введите следующую команду: «Set-SmbServerConfiguration –EnableSMB2Protocol $true» , а потом нажмите клавишу «Ввод» для исполнения.
Бонусный раздел: Что представляет собой «Защита от программ-шантажистов» в приложении «Защитник Windows»
За годы, прошедшие с момента выпуска первой версии операционной системы «Windows» , корпорация «Microsoft» представила множество функций безопасности, и одна из новейших – это «Защита от программ-шантажистов» , являющаяся неотъемлемой частью приложения «Защитник Windows» ( «Windows Defender» ), более известная как «Контролируемый доступ к папкам» .
Как следует из названия, данная функция защищает персональный компьютер пользователя от атак вымогателей и других видов угроз, путем блокирования доступа к файлам. Поэтому любые вредоносные приложения или зловредные исполняемые скрипты не смогут получить к файлам доступ, если пользователь не предоставит им определенные разрешения.
Кроме того, когда неавторизованное приложение пытается получить доступ к файлам и папкам, которыми оно не поддерживается, «Защитник Windows» немедленно уведомит пользователя всплывающим сообщением в «Центре уведомлений Windows» .
Как и у остальных функций операционной системы «Windows 10» , инструмент «Контролируемый доступ к папкам» имеет собственные параметры настройки. Пользователь может добавить к защищенному списку свои собственные наборы файлов и папок, а также составить перечень доверенных приложений и инструментов в соответствующих вкладках защитного приложения, чтобы повысить уровень безопасности системы и снизить риск возможного заражения.
Заключение
Использование современных персональных компьютерных устройств для обработки и хранения информации получило массовое распространение, практически полностью заменив собой отдельные ранние способы. Но несмотря на многие преимущества, такой подход требует постоянного усовершенствования систем, отвечающих за управление информационными потоками и способами передачи данных.
Создание и применение вредоносного программного обеспечения для поиска уязвимостей и причинения вреда данным вынуждает разработчиков использовать новые продвинутые протоколы сетевых соединений. Так поступает, один из лидеров цифровой индустрии, корпорация «Microsoft» , предлагающая множество полезных функций для своей прогрессивной операционной системы «Windows 10» , с каждым новым официальным обновлением. Благодаря такому подходу пользователи теперь могут не только непосредственно контролировать, к какому файлу может обращаться конкретная программа или приложение, но и обладают возможностью вернуться к старому сетевому протоколу, когда того требует сложившаяся ситуация.