- IT миниблог
- О том что нужно не потерять
- Не открываются общие сетевые SMB папки в Windows 10
- Не открываются общие сетевые SMB папки в Windows 10 : 1 комментарий
- Как обнаруживать, включать и отключать SMBv1, SMB и SMBv3 в Windows How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows
- Отключение SMB или SMBv3 для устранения неполадок Disabling SMBv2 or SMBv3 for troubleshooting
- Удаление SMB v1 How to remove SMB v1
- Сетевая безопасность: уровень проверки подлинности LAN Manager Network security: LAN Manager authentication level
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Расположение политики Policy Location
- Расположение реестра Registry Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Необходимость перезапуска Restart requirement
- Групповая политика Group Policy
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
IT миниблог
О том что нужно не потерять
Не открываются общие сетевые SMB папки в Windows 10
Скорее всего дело в том, что в рамках постепенного отключения старых небезопасных версий протокола SMB помимо полного отключения SMB1, по умолчанию стала блокировать также доступ под гостевой учетной записью на удаленный сервер по протоколу SMBv2.
При попытке такого подключения как раз и появляется такая ошибка. А в журнале клиента SMB (Microsoft-Windows-SMBClient) при этом фиксируется: Rejected an insecure guest logon.
Именно по этому при доступе к SMBv2 сетевым папкам под гостевой учетной (в большинстве случаев на NAS включают именно гостевой доступ) или к шарам на старых версия ОС (согласно опубликованной ранее таблице поддерживаемых версий SMB в различных версиях Windows, SMB 2.0 используется в Windows Server 2008 и Windows Vista SP1, а SMB 2.1 в Windows Server 2008 R2 и Windows 7).
Чтобы включить доступ под гостевой учетной записью, нужно с помощью редактора групповых политик (gpedit.msc) в разделе:
Конфигурация компьютера ->Административные шаблоны -> Сеть->Рабочая станция Lanman включить политику Включить
небезопасные гостевые входы.
Либо создать следующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters “AllowInsecureGuestAuth”=dword:1
Если данное решение не помогло, возможно ваш NAS (или другое удаленное устройство, которое предоставляет доступ к сетевым папкам по SMB), поддерживают только SMBv1. Попробуйте включить этот протокол на клиенте (Windows Features -> SMB 1.0/CIFS File Sharing Support -> SMB 1.0/CIFS Client).
Однако, вы должны понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает вашу систему опасности.
Не открываются общие сетевые SMB папки в Windows 10 : 1 комментарий
Спасибо! Помогли настройки политик безопасности.
Как обнаруживать, включать и отключать SMBv1, SMB и SMBv3 в Windows How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows
Область применения: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies to: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этой статье описывается, как включить и отключить протокол SMB версии 1 (SMBv1), SMB версии 2 (SMB) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB. This article describes how to enable and disable Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2), and SMB version 3 (SMBv3) on the SMB client and server components.
Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программами, SMBv1 имеет существенные уязвимости, и мы настоятельно рекомендуем не использовать ее. While disabling or removing SMBv1 might cause some compatibility issues with old computers or software, SMBv1 has significant security vulnerabilities and we strongly encourage you not to use it.
Отключение SMB или SMBv3 для устранения неполадок Disabling SMBv2 or SMBv3 for troubleshooting
Хотя мы рекомендуем использовать протоколы SMB 2.0 и SMBv3, может оказаться полезным временно отключить их для устранения неполадок, как описано в статье Обнаружение состояния, включение и отключение протокола SMB на сервере SMB. While we recommend that you keep SMBv2 and SMBv3 enabled, you might find it useful to disable one temporarily for troubleshooting, as described in How to detect status, enable, and disable SMB protocols on the SMB Server.
В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функции 2.0, описанные в предыдущем списке): In Windows 10, Windows 8.1, and Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, disabling SMBv3 deactivates the following functionality (and also the SMBv2 functionality that’s described in the previous list):
- Прозрачная отработка отказа — клиенты повторно подключаются без прерывания узлов кластера во время обслуживания или отработки отказа Transparent Failover — clients reconnect without interruption to cluster nodes during maintenance or failover
- Scale Out — одновременный доступ к общим данным на всех узлах кластеров файлов Scale Out – concurrent access to shared data on all file cluster nodes
- Многоканальное агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и сервером Multichannel — aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server
- SMB Direct — добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП. SMB Direct – adds RDMA networking support for very high performance, with low latency and low CPU utilization
- Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях. Encryption – Provides end-to-end encryption and protects from eavesdropping on untrustworthy networks
- Аренда каталога — улучшает время отклика приложений в филиалах за счет кэширования Directory Leasing — Improves application response times in branch offices through caching
- Оптимизация производительности — оптимизация для небольшого случайного чтения и записи ввода-вывода Performance Optimizations — optimizations for small random read/write I/O
В Windows 7 и Windows Server 2008 R2 отключение SMB отключает следующие функциональные возможности. In Windows 7 and Windows Server 2008 R2, disabling SMBv2 deactivates the following functionality:
- Составной запрос — позволяет отправлять несколько запросов SMB 2 в виде одного сетевого запроса. Request compounding — allows for sending multiple SMB 2 requests as a single network request
- Большие операции чтения и записи — лучшее использование более быстрых сетей. Larger reads and writes — better use of faster networks
- Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файлов Caching of folder and file properties — clients keep local copies of folders and files
- Устойчивые дескрипторы. разрешение на прозрачное повторное подключение к серверу при наличии временного отключения Durable handles — allow for connection to transparently reconnect to the server if there is a temporary disconnection
- Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 как алгоритм хеширования Improved message signing — HMAC SHA-256 replaces MD5 as hashing algorithm
- Улучшенная масштабируемость общего доступа к файлам — число пользователей, общих папок и открытых файлов на сервере значительно увеличилось. Improved scalability for file sharing — number of users, shares, and open files per server greatly increased
- Поддержка символьных ссылок Support for symbolic links
- Модель нежесткой аренды клиента — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и повышая масштабируемость сервера SMB. Client oplock leasing model — limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability
- Поддержка большого MTU — для полного использования 10-гигабе (ГБ) Ethernet Large MTU support — for full use of 10-gigabye (GB) Ethernet
- Повышение эффективности энергопотребления — клиенты, которые имеют открытые файлы на сервере, могут перейти в спящий режим Improved energy efficiency — clients that have open files to a server can sleep
Протокол SMB был впервые появился в Windows Vista и Windows Server 2008, а протокол SMBv3 появился в Windows 8 и Windows Server 2012. The SMBv2 protocol was introduced in Windows Vista and Windows Server 2008, while the SMBv3 protocol was introduced in Windows 8 and Windows Server 2012. Дополнительные сведения о возможностях протоколов SMB 2.0 и SMBv3 см. в следующих статьях: For more information about the capabilities of SMBv2 and SMBv3 capabilities, see the following articles:
Удаление SMB v1 How to remove SMB v1
Вот как можно удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2. Here’s how to remove SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, and Windows 2012 R2.
Сетевая безопасность: уровень проверки подлинности LAN Manager Network security: LAN Manager authentication level
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра «Безопасность сети: настройка политики безопасности уровня проверки подлинности lan Manager». Describes the best practices, location, values, policy management and security considerations for the Network security: LAN Manager authentication level security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какой протокол проверки подлинности запроса или ответа используется для сетевых учетных данных. This policy setting determines which challenge or response authentication protocol is used for network logons. Lan Manager (LM) включает клиентский компьютер и серверное программное обеспечение корпорации Майкрософт, которое позволяет пользователям связывать личные устройства в одной сети. LAN Manager (LM) includes client computer and server software from Microsoft that allows users to link personal devices together on a single network. Сетевые возможности включают прозрачный общий доступ к файлам и печати, функции безопасности пользователей и средства администрирования сети. Network capabilities include transparent file and print sharing, user security features, and network administration tools. В доменах Active Directory протокол Kerberos является протоколом проверки подлинности по умолчанию. In Active Directory domains, the Kerberos protocol is the default authentication protocol. Однако если по какой-либо причине протокол Kerberos не согласован, Active Directory использует LM, NTLM или NTLM версии 2 (NTLMv2). However, if the Kerberos protocol is not negotiated for some reason, Active Directory uses LM, NTLM, or NTLM version 2 (NTLMv2).
Проверка подлинности Lan Manager включает варианты LM, NTLM и NTLMv2, а также протокол, используемый для проверки подлинности всех клиентских устройств под управлением операционной системы Windows при выполнении следующих операций: LAN Manager authentication includes the LM, NTLM, and NTLMv2 variants, and it is the protocol that is used to authenticate all client devices running the Windows operating system when they perform the following operations:
- Присоединяйтесь к домену Join a domain
- Проверка подлинности между лесами Active Directory Authenticate between Active Directory forests
- Проверка подлинности в доменах на основе более ранних версий операционной системы Windows Authenticate to domains based on earlier versions of the Windows operating system
- Проверка подлинности на компьютерах, на которые не работают операционные системы Windows, начиная с Windows 2000 Authenticate to computers that do not run Windows operating systems, beginning with Windows 2000
- Проверка подлинности на компьютерах, не в домене Authenticate to computers that are not in the domain
Возможные значения Possible values
- Отправка ответов LM & NTLM Send LM & NTLM responses
- Send LM & NTLM — use NTLMv2 session security if negotiated Send LM & NTLM — use NTLMv2 session security if negotiated
- Отправлять только ответы NTLM Send NTLM responses only
- Отправлять только ответы NTLMv2 Send NTLMv2 responses only
- Отправлять только ответы NTLMv2. Send NTLMv2 responses only. Отказаться от LM Refuse LM
- Отправлять только ответы NTLMv2. Send NTLMv2 responses only. Отказаться от LM & NTLM Refuse LM & NTLM
- Не определено Not Defined
Параметр сетевой безопасности: параметр уровня проверки подлинности LAN Manager определяет, какой протокол проверки подлинности для запроса/ответа используется для сетевых учетных данных. The Network security: LAN Manager authentication level setting determines which challenge/response authentication protocol is used for network logons. Этот выбор влияет на уровень протокола проверки подлинности, который используют клиенты, уровень безопасности сеанса, который согласовыются компьютерами, и уровень проверки подлинности, принятый серверами. This choice affects the authentication protocol level that clients use, the session security level that the computers negotiate, and the authentication level that servers accept. В следующей таблице указаны параметры политики, описаны параметры и уровень безопасности, используемый в соответствующем параметре реестра, если для управления этим параметром используется реестр, а не параметр политики. The following table identifies the policy settings, describes the setting, and identifies the security level used in the corresponding registry setting if you choose to use the registry to control this setting instead of the policy setting.
| Параметр Setting | Описание Description | Уровень безопасности реестра Registry security level |
|---|---|---|
| Отправка ответов & LM NTLM Send LM & NTLM responses | Клиентские устройства используют проверку подлинности LM и NTLM и никогда не используют безопасность сеанса NTLMv2. Client devices use LM and NTLM authentication, and they never use NTLMv2 session security. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Domain controllers accept LM, NTLM, and NTLMv2 authentication. | 0 0 |
| Отправка LM & NTLM — используйте безопасность сеанса NTLMv2 при согласовании Send LM & NTLM – use NTLMv2 session security if negotiated | Клиентские устройства используют проверку подлинности LM и NTLM, а также используют безопасность сеанса NTLMv2, если сервер поддерживает ее. Client devices use LM and NTLM authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Domain controllers accept LM, NTLM, and NTLMv2 authentication. | 1 1 |
| Отправка только ответа NTLM Send NTLM response only | Клиентские устройства используют проверку подлинности NTLMv1 и используют безопасность сеанса NTLMv2, если сервер ее поддерживает. Client devices use NTLMv1 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Domain controllers accept LM, NTLM, and NTLMv2 authentication. | 2 2 |
| Отправка только ответа NTLMv2 Send NTLMv2 response only | Клиентские устройства используют проверку подлинности NTLMv2 и используют безопасность сеанса NTLMv2, если сервер ее поддерживает. Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена принимают проверку подлинности LM, NTLM и NTLMv2. Domain controllers accept LM, NTLM, and NTLMv2 authentication. | 3 3 |
| Отправьте только ответ NTLMv2. Send NTLMv2 response only. Отказаться от LM Refuse LM | Клиентские устройства используют проверку подлинности NTLMv2 и используют безопасность сеанса NTLMv2, если сервер ее поддерживает. Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена не принимают проверку подлинности LM и принимают только проверку подлинности NTLM и NTLMv2. Domain controllers refuse to accept LM authentication, and they will accept only NTLM and NTLMv2 authentication. | 4 4 |
| Отправьте только ответ NTLMv2. Send NTLMv2 response only. Отказаться от LM & NTLM Refuse LM & NTLM | Клиентские устройства используют проверку подлинности NTLMv2 и используют безопасность сеанса NTLMv2, если сервер ее поддерживает. Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Контроллеры домена не принимают проверку подлинности LM и NTLM и принимают только проверку подлинности NTLMv2. Domain controllers refuse to accept LM and NTLM authentication, and they will accept only NTLMv2 authentication. | 5 5 |
Рекомендации Best practices
- Практические советы зависят от конкретных требований к безопасности и проверке подлинности. Best practices are dependent on your specific security and authentication requirements.
Расположение политики Policy Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Расположение реестра Registry Location
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Отправка только ответа NTLMv2 Send NTLMv2 response only |
| Эффективные параметры по умолчанию для DC DC Effective Default Settings | Отправка только ответа NTLMv2 Send NTLMv2 response only |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Отправка только ответа NTLMv2 Send NTLMv2 response only |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Не определено Not defined |
Управление политикой Policy management
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.
Групповая политика Group Policy
Изменение этого параметра может повлиять на совместимость с клиентские устройства, службы и приложения. Modifying this setting may affect compatibility with client devices, services, and applications.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
В Windows 7 и Windows Vista этот параметр не заданной. In Windows 7 and Windows Vista, this setting is undefined. В Windows Server 2008 R2 и более поздних, этот параметр настраивается только для отправки ответов NTLMv2. In Windows Server 2008 R2 and later, this setting is configured to Send NTLMv2 responses only.
Противодействие Countermeasure
Настройка сетевой безопасности: настройка уровня проверки подлинности LAN Manager для отправки только ответов NTLMv2. Configure the Network security: LAN Manager Authentication Level setting to Send NTLMv2 responses only. Корпорация Майкрософт и ряд независимых организаций настоятельно рекомендуют этот уровень проверки подлинности, если все клиентские компьютеры поддерживают NTLMv2. Microsoft and a number of independent organizations strongly recommend this level of authentication when all client computers support NTLMv2.
Возможное влияние Potential impact
Клиентские устройства, которые не поддерживают проверку подлинности NTLMv2, не могут проверить подлинность в домене и получить доступ к ресурсам домена с помощью LM и NTLM. Client devices that do not support NTLMv2 authentication cannot authenticate in the domain and access domain resources by using LM and NTLM.
