Как отключить или включить протокол SMBv1 в Windows 10/Server 2016?

По-умолчанию в Windows Server 2016/2019 и Windows 10 (начиная с билда 1709) отключена поддержка сетевого протокола для общего доступа к файлам в сетевых папках Server Message Block 1.0 (SMBv1). Этот протокол в большинстве случаев нужно только для обеспечения работы устаревших систем, например снятых с поддержки Windows XP, Windows Server 2003 и т.д. В этой статье мы рассмотрим, как включить или корректно отключить поддержку клиента и сервера SMBv1 в Windows 10 и Windows Server 2016/2019.

В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно этой таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD) и клиентских станциях.

В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента – SMB клиент и SMB сервер, которые можно включать/отключать отдельно.

Аудит доступа к файловому серверу по SMB v1.0

Перед отключением и полным удалением драйвера SMB 1.0 на стороне файлового SMB сервера желательно убедится, что в сети не осталось устаревших клиентов, которые используют для подключения протокол SMB v1.0. Для этого, нужно включить аудит доступа к файловому серверу по SMB1 протоколу с помощью команды PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $true

Через пару дней откройте на сервере журнал событий Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit и проверьте, были ли зафиксированы попытки доступа к ресурсам сервера по протоколу SMB1.

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

В нашем примере в журнале обнаружено событие с EventID 3000 от источника SMBServer, в котором указано что клиент 192.168.1.10 пытается обратиться к сервереу по протоколу SMB1.

Вам нужно найти в сети этот компьютер или устройство, при необходимости обновить ОС или прошивку, до версии поддерживающий, более новые протоколы SMB: SMBv2 или SMBv3.

В данном случае, мы проигнорируем эту информацию, но нужно учитывать тот факт, что в дальнейшем данный клиент не сможет получить SMB доступ к общим папкам на этом сервере.

Включение/отключение SMB 1.0 в Windows Server 2016/2019

В Windows Server 2016, начиная с билда 1709, и Windows Server 2019 по умолчанию отключен протокол SMBv1. Чтобы включить поддержку клиентского протокола SMBv1в новых версиях Windows Server, нужно установить отдельный компонент SMB 1.0/CIFS File Sharing Support.

Вы можете установить компонент поддержки клиента SMBv1 с помощью Server Manager, или через PowerShell.

Проверить, что SMBv1 включен можно командой PowerShell:

Чтобы установить компонент FS-SMB1, выполните:

Для удаления SMBv1 клиента (понадобится перезагрузка), выполните:

Uninstall-WindowsFeature –Name FS-SMB1 –Remove

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Чтобы ваш сервер мог обрабатывать доступ клиентов по протоколу SMBv1, кроме компонента FS-SMB1 нужно, чтобы поддержка протокола SMBv1 была включена на уровне файлового сервера SMB. Чтобы проверить, что на вашем сервере включен доступ по SMBv1 к сетевым папкам, выполните:

Строка “ EnableSMB1Protocol: True ” говорит о том, что у вас разрешен доступ по протоколу SMBv1 к сетевым папкам на сервере. Чтобы отключить поддержку сервера SMBv1 в Windows Server, выполните команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Теперь с помощью командлета Get-SmbServerConfiguration убедитесь, что протокол SMB1 отключен.

Чтобы включить поддержку протокола SMBv1 на сервере, выполните команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $True -Force

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Включить/отключить SMB 1.0 в Windows 10

Как мы уже говорили, начиная с Windows 10 1709, во всех новых билдах поддержка протокола SMB1 отключена (также отключен гостевой доступ по протоколу SMBv2).

В Windows 10 вы можете проверить статус компонентов SMBv1 протокола командой DISM:

Dism /online /Get-Features /format:table | find «SMB1Protocol»

В нашем примере видно, что все компоненты SMBv1 отключены:

В Windows 10 также можно управлять компонентами SMB 1 из панели управления компонентами ( optionalfeatures.exe ). Разверните ветку Поддержка общего доступа к файлам SMB 1.0 /CIFS. Как вы видите здесь также доступны 3 компонента:

• Клиент SMB0/CIFS
• Сервер SMB0/CIFS
• Автоматическое удаление протокола SMB0/CIFS

Вы можете включить клиент и сервер SMBv1 в Windows 10 из окна управления компонентами или командой:

Dism /online /Enable-Feature /FeatureName:»SMB1Protocol»
Dism /online /Enable-Feature /FeatureName:»SMB1Protocol-Client»
Dism /online /Enable-Feature /FeatureName:»SMB1Protocol-Server»

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Если после включения SMBv1 клиента, он не используется более 15 дней, он автоматически отключается.

Чтобы отключить поддержку клиента и сервера SMB1 в Windows 10, выполните следующие команды DISM:

Dism /online /Disable-Feature /FeatureName:»SMB1Protocol»
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Client»
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Server»

Если вы отключили поддержку SMBv1 клиента в Windows 10, то при доступе к сетевой папке на файловом сервере, который поддерживает только SMBv1 (протоколы SMBv2 и v3 отключены или не поддерживаются), появятся ошибки вида:

;

Также при отключении клиента SMBv1 на компьютере перестает работать служба Computer Browser (Обозреватель компьютеров), которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети. Для корректгого отобрражения соседних компьютеров в сети Windows 10 нужно настроить службу Function Discovery Provider Host (см. статью).

Отключение SMBv1 с помощью групповых политик

В доменной среде Active Directory вы можете отключить протокол SMBv1 на всех серверах и компьютеров с помощью групповой политики. Т.к. в стандартных политиках Windows нет политики настройки компонентов SMB, придется отключать его через политику реестра.

1. Откройте консоль управления Group Policy Management (gpmc.msc), создайте новый объект GPO (disableSMBv1) и назначьте его на OU с компьютерами, на которых нужно отключить SMB1;
2. Перейдите в режим редактирования политики. Выберите Computer Configuration ->Preferences ->Windows Settings ->Registry;
3. Создайте новый параметр реестра (Registry Item) со следующими настройками:
   Action: Update
   Hive: HKEY_LOCAL_MACHINE
   Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
   Value name: SMB1
   Value type: REG_DWORD
   Value data: 0
   Данная политика отключит через реестр поддержку компонента сервер SMBv1 на всех компьютерах.

Если вы хотите через GPO отключить на компьютерах SMB клиент, создайте дополнительно два параметра реестра:

• Параметр Start (типа REG_DWORD) со значением 4 в ветке реестра HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10;
• Параметр DependOnService (типа REG_MULTI_SZ) со значением Bowser, MRxSmb20, NSI (каждое значение с новой строки) в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.

Осталось обновить настройки групповых политик на клиентах и после перезагрузки проверить, что компоненты SMBv1 полностью отключены.

• Configure SMB v1 server;
• Configure SMB v1 client driver.

Как обнаружить и изменить сетевой протокол «SMB» при возникновении ошибки в Windows 10

Читайте о том, что такое ошибка «SMB2» в Windows 10 и как её исправить. Как проверить версию блока сообщений сервера «SMB».

Введение

Современные стандарты требуют от разработчиков создания новых усовершенствованных систем и применения более продвинутых технологий. Однако не всегда новые версии отдельных системных служб могут полноценно функционировать с предыдущими версиями. Например, при попытке подключить обновленную операционную систему «Windows 10» к серверу для доступа к отдельным файлам может возникать ошибка соединения, сигнализирующая о том, что служба сетевого протокола «Windows» не может подключиться к общей папке, и для этого требуется версия «SMB2» или выше. И ошибка не устраняется повторным подключением к заданному серверу или изменением точки доступа, сервер остается недоступным.

Мы попытались обнаружить решение этой странной ошибки подключения к серверу «Windows 10». К счастью, нам удалось найти несколько быстрых решений для устранения ошибки «SMB2» на нашем компьютере с операционной системой «Windows 10», о которых далее подробно мы расскажем в нашей статье.

Однако прежде чем приступить к описанию возможных решений, давайте разберемся, в первую очередь, почему собственно эта ошибка возникает.

Что означает ошибка «SMB2» в операционной системе «Windows 10»

Блок сообщений сервера «SMB» («Server Message Block»), как известно, является протоколом обмена файлами, который облегчает операции чтения и записи на сетевых устройствах. Итак, если пользователь пытается получить доступ к серверу или маршрутизатору на базе операционной системы «Linux», то это становится возможным благодаря применению сетевого протокола «SMB».

«SMBv1» является самой первой версией этого протокола. Данный сетевой протокол устарел и больше не отвечает современным требованиям безопасности, поскольку предоставляет возможность проникновения в систему вредоносным программам-вымогателям и другим зловредным приложениям через отдельные уязвимости. И именно поэтому данная версия «SMB» больше не монтируется по умолчанию при установке более новых версий операционных систем «Windows 10». Например, таких вариантов, которые включают в себя обновление «Fall Creators Windows 10» от апреля 2018 года или более позднее октябрьское обновление «Windows 10» того же года.

Корпорация «Microsoft» публично выступила против использования протокола «SMBv1» и сразу изначально применяет в операционной системе «Windows 10» сетевой протокол «SMBv2» или более позднюю версию. Однако, возможно, что сервер, к которому система пытается подключиться, все еще использует старую версию протокола «SMBv1». Такая попытка соединения может послужить причиной того, что соответствующей службой операционной системы будут выводиться сообщения об ошибках, такие как:

• «Невозможно подключиться к общей папке, так как она не защищена. Этой общей папке требуется устаревший протокол SMB1, который является небезопасным и может сделать систему уязвимой для атак»
• «Указанный сервер не может выполнить требуемую операцию»
• «Указанное сетевое имя больше не доступно»

В таком случае, идеальным решением будет попытка выполнить проверку, существуют ли какие-либо обновления прошивки для указанного сетевого устройства, ожидающие непосредственной установки. Если версия не требует дополнительных обновлений, то пользователи могут временно понизить версию сетевого протокола «SMB» на своем компьютере под управлением операционной системы «Windows 10», чтобы получить к нему доступ.

Опять же, предпочтительно, чтобы такие изменения сетевого протокола были выполнены на домашнем устройстве, что позволило бы быстро вернуть настройки в исходное положение по завершению работы на сервере.

Примечание. Следует обратить особое внимание, что все изменения пользователи выполняют собственноручно на свой страх и риск, и никто, кроме пользователя, не несет ответственности за любые потенциальные проблемы, способные возникнуть по причине возможного воздействия различных вредоносных приложений.

Как проверить версию блока сообщений сервера «SMB»

Осуществить проверку версии сетевого протокола «SMB» не представляет собой сложную задачу. Все, что потребуется сделать, это открыть расширяемое средство автоматизации «Windows PowerShell» с правами администратора.

Получить доступ к приложению, представленному в виде программной оболочки с интерфейсом командной строки и сопутствующими языками сценариев можно разными способами, не представляющими особых сложностей и напрямую зависящими только от личных предпочтений конкретного пользователя.

Например, нажмите на кнопку «Поиск», расположенную на «Панели задач» в нижнем левом углу рабочего стола, рядом с кнопкой «Пуск», и откройте поисковую панель. В строке поискового запроса введите фразу «Windows PowerShell» и дождитесь окончания ее обработки. В разделе «Лучшее соответствие» будет отображено искомое приложение. Нажмите на нем правой кнопкой мыши и во всплывающем меню выберите, из предложенных вариантов, раздел «Запуск от имени администратора». Или в дополнительной боковой панели нажмите на соответствующую строку, и приложение «Windows PowerShell» с правами администратора будет открыто.

Также можно выполнить совместное нажатие комбинации клавиш «Windows + X» или щелкнуть правой кнопкой мыши по кнопке «Пуск» в нижнем левом углу рабочего стола, и выбрать во всплывающем контекстном меню раздел «Windows PowerShell (администратор)» для быстрого запуска приложения.

После открытия окна приложения в соответствующей строке введите следующую команду: «Get-SmbServerConfiguration | Select EnableSMB2Protocol», а затем нажмите клавишу «Ввод» на клавиатуре.

Если по результату ее исполнения будет представлен ответ «True», то это означает, что ваш компьютер использует версию сетевого протокола «SMBv2».

Как исправить возникающую ошибку «SMB2» в операционной системе «Windows 10»

Самый простой способ исправления ошибки сетевого протокола – это осуществить включение протокола «SMB» версии «1». Процедура включения довольно проста. Однако стоит обратить внимание, что для ее завершения потребуется выполнить перезагрузку операционной системы.

Шаг 1. Сначала необходимо открыть приложение «Панель управления» любым удобным способом. Нажмите левой кнопкой мыши кнопку «Пуск» на «Панели задач» и откройте главное пользовательское меню «Windows». Потом, используя бегунок полосы прокрутки, отыщите и откройте раздел «Служебные – Windows». Теперь, в раскрывшемся меню, выберите из доступных вариантов раздел «Панель управления».

Или воспользуйтесь другим способом, например, службой поиска приложения «Параметры», предоставляющего доступ ко всем основным настройкам операционной системы «Windows 10». Нажмите значок центра уведомлений «Windows» и дождитесь открытия боковой панели. А затем, в нижней ее части, выберите кнопку быстрого действия «Все параметры».

Либо же выполните простой и быстрый вариант открытия приложения «Параметры» путем совместного нажатия комбинации клавиш «Windows + I».

Теперь в поисковой строке «Найти параметр» введите фразу «Панель управления» и нажмите на предложенный вариант во всплывающей панели.

Шаг 2. В новом окне «Все элементы панели управления», используя бегунок полосы прокрутки, отыщите и выберите раздел «Программы и компоненты».

Шаг 3. В левом боковом меню нового окна нажмите на текстовую ссылку «Включение или отключение компонентов Windows».

Шаг 4.В открывшемся окне пользователю будут доступны настройки компонентов «Windows», которые можно будет включить или отключить в соответствующей ячейке. Опустите бегунок полосы прокрутки к разделу «SMB 1.0/CIFS File Sharing Support» и откройте его, нажав на кнопку отображения вложенных параметров, на которой изображен знак «Плюс».

Шаг 5. В развернутом разделе установите индикатор выбора («галочку») рядом с ячейкой «SMB 1.0/CIFS Client», а затем нажмите кнопку «ОК» для сохранения установленных изменений.

Шаг 6. Теперь перезагрузите компьютер. Как только он вернется в сеть, пользователь сможет повторно подключиться к нужному серверу.

Шаг 7. По завершению всех своих действий на сервере, желательно вернуться к рекомендованной версии сетевого протокола «SMB», выполнив весь описанный процесс заново и сняв «галочку» рядом с ячейкой «SMB 1.0/CIFS Client». После чего повторно сохраните изменения кнопкой «ОК» и перезагрузите компьютер.

Аналогичного результата по возврату к предустановленным значениям протокола можно добиться с помощью исполнения соответствующей команды в системном приложении «Windows PowerShell». С этой целью откройте «Windows PowerShell» с правами администратора любым, из описанных ранее, способом и введите следующую команду: «Set-SmbServerConfiguration –EnableSMB2Protocol $true», а потом нажмите клавишу «Ввод» для исполнения.

Бонусный раздел: Что представляет собой «Защита от программ-шантажистов» в приложении «Защитник Windows»

За годы, прошедшие с момента выпуска первой версии операционной системы «Windows», корпорация «Microsoft» представила множество функций безопасности, и одна из новейших – это «Защита от программ-шантажистов», являющаяся неотъемлемой частью приложения «Защитник Windows» («Windows Defender»), более известная как «Контролируемый доступ к папкам».

Как следует из названия, данная функция защищает персональный компьютер пользователя от атак вымогателей и других видов угроз, путем блокирования доступа к файлам. Поэтому любые вредоносные приложения или зловредные исполняемые скрипты не смогут получить к файлам доступ, если пользователь не предоставит им определенные разрешения.

Кроме того, когда неавторизованное приложение пытается получить доступ к файлам и папкам, которыми оно не поддерживается, «Защитник Windows» немедленно уведомит пользователя всплывающим сообщением в «Центре уведомлений Windows».

Как и у остальных функций операционной системы «Windows 10», инструмент «Контролируемый доступ к папкам» имеет собственные параметры настройки. Пользователь может добавить к защищенному списку свои собственные наборы файлов и папок, а также составить перечень доверенных приложений и инструментов в соответствующих вкладках защитного приложения, чтобы повысить уровень безопасности системы и снизить риск возможного заражения.

Заключение

Использование современных персональных компьютерных устройств для обработки и хранения информации получило массовое распространение, практически полностью заменив собой отдельные ранние способы. Но несмотря на многие преимущества, такой подход требует постоянного усовершенствования систем, отвечающих за управление информационными потоками и способами передачи данных.

Создание и применение вредоносного программного обеспечения для поиска уязвимостей и причинения вреда данным вынуждает разработчиков использовать новые продвинутые протоколы сетевых соединений. Так поступает, один из лидеров цифровой индустрии, корпорация «Microsoft», предлагающая множество полезных функций для своей прогрессивной операционной системы «Windows 10», с каждым новым официальным обновлением. Благодаря такому подходу пользователи теперь могут не только непосредственно контролировать, к какому файлу может обращаться конкретная программа или приложение, но и обладают возможностью вернуться к старому сетевому протоколу, когда того требует сложившаяся ситуация.

Автор: Andrey Mareev, Технический писатель

В далеком 2005 году, я получил диплом по специальности «Прикладная математика» в Восточноукраинском национальном университете. А уже в 2006 году, я создал свой первый проект по восстановления данных. С 2012 года, начал работать в компании «Hetman Software», отвечая за раскрутку сайта, продвижение программного обеспечения компании, и как специалист по работе с клиентами. Подробнее