Как обнаруживать, включать и отключать SMBv1, SMB и SMBv3 в Windows How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows

Область применения: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies to: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описывается, как включить и отключить протокол SMB версии 1 (SMBv1), SMB версии 2 (SMB) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB. This article describes how to enable and disable Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2), and SMB version 3 (SMBv3) on the SMB client and server components.

Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программами, SMBv1 имеет существенные уязвимости, и мы настоятельно рекомендуем не использовать ее. While disabling or removing SMBv1 might cause some compatibility issues with old computers or software, SMBv1 has significant security vulnerabilities and we strongly encourage you not to use it.

Отключение SMB или SMBv3 для устранения неполадок Disabling SMBv2 or SMBv3 for troubleshooting

Хотя мы рекомендуем использовать протоколы SMB 2.0 и SMBv3, может оказаться полезным временно отключить их для устранения неполадок, как описано в статье Обнаружение состояния, включение и отключение протокола SMB на сервере SMB. While we recommend that you keep SMBv2 and SMBv3 enabled, you might find it useful to disable one temporarily for troubleshooting, as described in How to detect status, enable, and disable SMB protocols on the SMB Server.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функции 2.0, описанные в предыдущем списке): In Windows 10, Windows 8.1, and Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, disabling SMBv3 deactivates the following functionality (and also the SMBv2 functionality that’s described in the previous list):

• Прозрачная отработка отказа — клиенты повторно подключаются без прерывания узлов кластера во время обслуживания или отработки отказа Transparent Failover — clients reconnect without interruption to cluster nodes during maintenance or failover
• Scale Out — одновременный доступ к общим данным на всех узлах кластеров файлов Scale Out – concurrent access to shared data on all file cluster nodes
• Многоканальное агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и сервером Multichannel — aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server
• SMB Direct — добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП. SMB Direct – adds RDMA networking support for very high performance, with low latency and low CPU utilization
• Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях. Encryption – Provides end-to-end encryption and protects from eavesdropping on untrustworthy networks
• Аренда каталога — улучшает время отклика приложений в филиалах за счет кэширования Directory Leasing — Improves application response times in branch offices through caching
• Оптимизация производительности — оптимизация для небольшого случайного чтения и записи ввода-вывода Performance Optimizations — optimizations for small random read/write I/O

В Windows 7 и Windows Server 2008 R2 отключение SMB отключает следующие функциональные возможности. In Windows 7 and Windows Server 2008 R2, disabling SMBv2 deactivates the following functionality:

• Составной запрос — позволяет отправлять несколько запросов SMB 2 в виде одного сетевого запроса. Request compounding — allows for sending multiple SMB 2 requests as a single network request
• Большие операции чтения и записи — лучшее использование более быстрых сетей. Larger reads and writes — better use of faster networks
• Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файлов Caching of folder and file properties — clients keep local copies of folders and files
• Устойчивые дескрипторы. разрешение на прозрачное повторное подключение к серверу при наличии временного отключения Durable handles — allow for connection to transparently reconnect to the server if there is a temporary disconnection
• Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 как алгоритм хеширования Improved message signing — HMAC SHA-256 replaces MD5 as hashing algorithm
• Улучшенная масштабируемость общего доступа к файлам — число пользователей, общих папок и открытых файлов на сервере значительно увеличилось. Improved scalability for file sharing — number of users, shares, and open files per server greatly increased
• Поддержка символьных ссылок Support for symbolic links
• Модель нежесткой аренды клиента — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и повышая масштабируемость сервера SMB. Client oplock leasing model — limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability
• Поддержка большого MTU — для полного использования 10-гигабе (ГБ) Ethernet Large MTU support — for full use of 10-gigabye (GB) Ethernet
• Повышение эффективности энергопотребления — клиенты, которые имеют открытые файлы на сервере, могут перейти в спящий режим Improved energy efficiency — clients that have open files to a server can sleep

Протокол SMB был впервые появился в Windows Vista и Windows Server 2008, а протокол SMBv3 появился в Windows 8 и Windows Server 2012. The SMBv2 protocol was introduced in Windows Vista and Windows Server 2008, while the SMBv3 protocol was introduced in Windows 8 and Windows Server 2012. Дополнительные сведения о возможностях протоколов SMB 2.0 и SMBv3 см. в следующих статьях: For more information about the capabilities of SMBv2 and SMBv3 capabilities, see the following articles:

Удаление SMB v1 How to remove SMB v1

Вот как можно удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2. Here’s how to remove SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, and Windows 2012 R2.

fs-cifs

Common Internet Filesystem или клиент для SMB файловой системы (QNX Neutrino)

Примечание . Для запуска этого менеджера необходимо выполнить вход в систему под учетной записью root .

Выполнять в приоритетном режиме.

Вывести информацию по использованию утилиты.

Запросить пользователя ввести пароль (если в командной строке отсутствует аргумент пароль ).

Вывести расширенную информацию. Ввод дополнительных символов v обеспечивает вывод более подробной информации.

Значение n указывает на способ подключения к пути:

B или b – подключаться до остальных менеджеров.

A или a – подключаться после остальных менеджеров.

[ // имя_netbios : ] сервер :/ разделяемый_каталог

Указать имя или IP-адрес сервера и имя разделяемого ресурса для монтируемой файловой системы.

Примечание . Если указано имя сервера, то должен существовать способ его преобразования в IP-адрес. См. /etc/hosts или /etc/nsswitch.conf .

Аргумент имя_netbios требуется указывать в следующих случаях:

Имя хоста TCP/IP для сервера отличается от его имени NetBIOS

На сервере запущена операционная система Microsoft.

Абсолютный путь, указывающий на точку монтирования ресурса, заданного параметром разделяемый_каталог , в локальной файловой системе.

Выполнить вход на сервер SMB с именем пользователя, заданным аргументом пользователь .

Выполнить вход на сервер SMB с паролем, заданным аргументом пароль .

Менеджер файловой системы fs-cifs представляет собой клиент SMB (также называется CIFS (Common Internet Filesystem) – общая файловая система в Интернет), работающий по протоколу TCP/IP. SMB – это протокол для контролируемого доступа к ресурсам по локальной сети.

Менеджер файловой системы fs-cifs в общем случае предназначен для использования в качестве клиента с компьютерами под управлением Windows NT, однако также поддерживается работа с любыми другими серверами SMB (например OS/2 Peer, LAN Manager или SAMBA). Для использования fs-cifs требуется сервер SMB и действующая учетная запись входа в систему на этом сервере.

Для работы менеджера файловой системы fs-cifs также требуется транспортный уровень TCP/IP, например предоставляемый io-pkt* .

Монтирование файловых систем SMB может осуществляться одновременно с запуском fs-cifs ; их также можно монтировать отдельно после запуска fs-cifs с помощью команды mount .

Если файловые системы требуется монтировать отдельно, следует запустить утилиту fs-cifs без аргументов в качестве сервиса, а затем создать точки монтирования с помощью утилиты mount , указав cifs в качестве типа файловой системы. См. пример ниже.

Если запущен сервис syslogd , то утилита fs-cifs выводит все сообщения об ошибках в системный журнал.

Запуск fs-cifs и монтирование разделяемого каталога QNX_BIN в качестве каталога /bin с сервера SMB с именем SMB_SERVER (IP-адрес 10.0.0.1) с использованием учетной записи guest и пароля none :

fs-cifs SMB_SERVER:/QNX_BIN /bin guest none

fs-cifs 10.0.0.1:/QNX_BIN /bin guest none

То же, но для сервера с именем NB_NAME, работающего под управлением операционной системы Microsoft:

fs-cifs //NB_NAME:SMB_SERVER:/QNX_BIN /bin guest \

fs-cifs //NB_NAME:10.0.0.1:/QNX_BIN /bin guest \

Запрос на ввод пароля:

fs-cifs -L //NB_NAME:SMB_SERVER:/QNX_BIN /bin guest

Запрос на ввод имени пользователя и пароля:

fs-cifs -l //NB_NAME:SMB_SERVER:/QNX_BIN /bin

Монтирование сервера от имени пользователя в домене QNX:

fs-cifs -d QNX //MS:10.1:/QNX_BIN /mnt user passwd

mount -t cifs -o guest,none //SMB_SERVER:10.0.0.1:/QNX_BIN /bin

mount -t cifs -o user=guest,password=none \

После монтирования файловой системы все пользователи, работающие в этой системе, получают права пользователя , указанного в командной строке.

Аргумент пароль должен быть определен в командной строке даже в том случае, если пользователю не требуется вводить пароль; это может быть любой символ, за исключением пробельного.

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

CIFS (Common Internet File System)

CIFS

Полное название	Common Internet File System
Другие
Операционная система	Microsoft Windows 2000, Microsoft Windows NT, Microsoft Windows 98, Microsoft Windows 95, UNIX

CIFS (сокр. от англ. Common Internet File System, Единая Файловая Система Интернета) — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия. Является первой версией протокола SMB (Server Message Block). CIFS была разработана компаниями IBM, Microsoft, Intel и 3Com в 1980-х годах; вторая (SMB 2.0) была создана Microsoft и появилась в Windows Vista. В настоящее время SMB связан главным образом с операционными системами Microsoft Windows, где используется для реализации «Сети Microsoft Windows» (англ. Microsoft Windows Network) и «Совместного использования файлов и принтеров» (англ. File and Printer Sharing).

Содержание

История

Протокол был разработан сотрудником IBM Бэрри Файгенбаумом (англ. Barry Feigenbaum) в 1983 году. Изначально CIFS был реализован через NetBIOS (поверх NBF, IPX/SPX или NetBIOS over TCP/IP) и использовался в сетях MS-NET и LAN Manager для DOS, а также в Windows for Workgroups. Microsoft Corporation регулярно дополняла протокол новыми возможностями; так, вторая версия CIFS — Microsoft Networks SMB File Sharing Protocol Extensions появилась в 1988 году, 3-я версия — в 1989 году, версия 3.4 — в 1992.

Принцип работы

CIFS — это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также запроса служб у серверных программ в различных типах сетевого окружения. [Источник 1] Единственное отличие от модели клиент-сервер состоит в том, что, когда клиент посылает в качестве запроса возможные блокировки, то сервер вынужден отпустить уже предоставленную блокировку, так как другой клиент запросил открытие файла в режиме, несовместимом с предоставленной блокировкой. В этом случае сервер посылает клиенту уведомительное сообщение о том, что блокировка была снята. Серверы предоставляют файловые системы и другие ресурсы (принтеры, почтовые сегменты, именованные каналы и т. д.) для общего доступа в сети. Клиентские компьютеры могут иметь у себя свои носители информации, но также имеют доступ к ресурсам, предоставленным сервером для общего пользования.

Клиенты соединяются с сервером, используя протоколы TCP/IP (а, точнее, NetBIOS через TCP/IP), NetBEUI или IPX/SPX. После того, как соединение установлено, клиенты могут посылать команды серверу, который даёт им доступ к ресурсам, позволяет открывать, читать файлы, писать в файлы и вообще выполнять весь перечень действий, которые можно выполнять с файловой системой. Однако в случае использования CIFS эти действия совершаются через сеть.

CIFS определяет серию команд, используемых для передачи информации между сетевыми компьютерами. Запросы на перенаправление отправляют пакеты, предназначенные для удаленных компьютеров в структуре CIFS. CIFS можно отправлять по сети на удаленные устройства. Перенаправитель также использует CIFS для выполнения запросов к стеку протоколов локального компьютера. Сообщения CIFS могут быть в целом классифицированы следующим образом:

• Сообщения установления соединения, состоящие из команд, которые запускают и завершают соединение перенаправителя с общим ресурсом на сервере.
• Сообщения о пространстве имен и манипуляциях с файлами, использующиеся перенаправителем для получения доступа к файлам на сервере и для их чтения и записи.
• Сообщения принтера, использующиеся перенаправителем для отправки данных в очередь печати на сервере и получения информации о состоянии очереди печати.
• Различные сообщения, использующиеся перенаправителем для записи в mailslots (клиент-серверный интерфейс) и именованные каналы.

CIFS дополняет протокол передачи гипертекста (HTTP), обеспечивая более сложное совместное использование файлов и передачу файлов, чем старые протоколы, такие как FTP. Компоненты в перенаправителе обеспечивают поддержку CIFS, например:

• Rdbss.sys Все взаимодействия на уровне ядра инкапсулируются в этом драйвере. Сюда входят все менеджеры кэшей, диспетчеры памяти и запросы для удаленных файловых систем, чтобы указанный протокол мог использовать запрошенный сервер.
• Mrxsmb.sys Этот мини-перенаправитель для CIFS имеет команды, специфичные для CIFS.
• Mrxnfs.sys Этот мини-редиректор для сетевой файловой системы (NFS) обеспечивает поддержку NFS. Mrxnfs.sys включен в Службы для Unix.

В Windows NT 4.0 разрешение имен Windows Internet Name (WINS) и Domain Name System (DNS) было выполнено с использованием TCP-порта 134. Расширения для CIFS и NetBT теперь позволяют соединения непосредственно через TCP/IP с использованием TCP-порта 445. Оба способа разрешения все еще доступны в Windows 2000. Можно отключить одну или обе этих службы в реестре.

Возможности, предлагаемые CIFS

• Целостность и параллельность CIFS позволяет нескольким клиентам получать и обновлять один и тот же файл, предотвращая конфликты, обеспечивая совместное использование файлов и блокировку файлов. [Источник 2] Совместное использование файлов и блокировка файлов — это процесс, позволяющий одному пользователю одновременно обращаться к файлу и блокировать доступ ко всем остальным пользователям. Эти механизмы разделения и блокировки могут использоваться через Интернет и Intranet. Они также разрешают агрессивное кэширование, чтение и запись без потери целостности. Файловые кэши буфера должны быть очищены до того, как файл будет использоваться другими клиентами. Эти возможности гарантируют, что одновременно может быть активна только одна копия файла, предотвращая повреждение данных.
• Оптимизация для медленных ссылок Протокол CIFS настроен на работу с медленными линиями коммутируемого доступа. Эффект — повышение производительности для пользователей, которые подключаются к Интернету с помощью модема.
• Безопасность Серверы CIFS поддерживают как анонимные передачи, так и безопасный, аутентифицированный доступ к именованным файлам. Политику безопасности файлов и каталогов легко администрировать.
• Производительность и масштабируемость Серверы CIFS полностью интегрированы с операционной системой и настроены на максимальную производительность системы.
• Имена файлов в Unicode Имена файлов могут быть записаны в любой кодировке, а не только в кодировках, предназначенных для английского или западноевропейского языков.
• Глобальные имена файлов Пользователи не должны монтировать удаленные файловые системы, но могут обращаться к ним непосредственно по глобально значимым именам (именам, которые могут быть расположены в любом месте в Интернете), вместо тех, которые имеют только локальное значение (на локальном компьютере или локальной сети). Распределенные файловые системы (Distributed File Systems, DFS) позволяют пользователям создавать пространство имен для всего предприятия. Поддерживаются имена файлов Uniform Naming Convention (UNC), поэтому для доступа к удаленным файлам не требуется создавать букву диска.

Протокол SMB (Server Message Block) представляет собой сетевой протокол общего доступа к файлам, его реализацией в Microsoft Windows является Microsoft SMB Protocol. Набор пакетов сообщений, который определяет конкретную версию протокола, называется диалектом. Общий протокол файловой системы Интернета (CIFS) — это диалект SMB. SMB и CIFS также доступны в VMS, нескольких версиях UNIX и других операционных системах. [Источник 3]

Хотя его основная цель — совместное использование файлов, дополнительные функции протокола SMB Microsoft включают в себя следующее:

• Согласование диалекта
• Определение других серверов протокола SMB в сети.
• Печать по сети.
• Аутентификация доступа к файлам, каталогам и общим ресурсам.
• Блокировка файлов и записей.
• Уведомление об изменении файла и каталога.
• Обработка расширенных атрибутов файлов.

В сетевой модели OSI протокол SMB чаще всего используется в качестве протокола уровня приложения или протокола уровня представления, и он полагается на протоколы нижнего уровня для передачи данных. Протокол транспортного уровня, с которым чаще всего используется протокол SMB Microsoft — это NetBIOS через TCP/IP (NBT). Однако протокол Microsoft SMB также может использоваться без отдельного транспортного протокола — комбинация Microsoft SMB Protocol/NBT обычно используется для обратной совместимости.

Протокол Microsoft SMB реализован на основе принципа «клиент-сервер» и состоит из набора пакетов данных, каждый из которых содержит запрос, отправленный клиентом, или ответ, отправленный сервером. Эти пакеты можно классифицировать следующим образом:

• Пакет управления сеансом — устанавливает и отменяет подключение к общим ресурсам сервера.
• Пакет доступа к файлу — получает доступ к файлам и каталогам на удаленном сервере и манипулирует ими.
• Общие пакеты сообщений. Отправляет данные в очереди печати, почтовые интервалы и именованные каналы и предоставляет данные о состоянии очередей печати.

Некоторые пакеты сообщений могут быть сгруппированы и отправлены в одной передаче, чтобы уменьшить задержку ответа и увеличить пропускную способность сети. Это называется «дозирование». В разделе «Сценарий обмена пакетами протокола SMB для протокола SMB» приведен пример сеанса протокола SMB для протокола Microsoft, который использует пакетную пакетную обработку.