Мини перенаправитель smb 1 x. Как в ОС Windows 10 включить сетевой протокол SMB1 и настройка разрешения

Включение/отключение протоколов SMB в Windows

Windows 8, 10 и Windows Server 2012, 2016

В Windows 8, 10 и Windows Server 2012, 2016 представлен командлет Windows PowerShell Set-SMBServerConfiguration. Он дозволяет включать либо отключать протоколы SMB версии 1, 2, 3.

При включении либо выключении протокола SMB версии 2 в Windows либо Windows Server также происходит включение либо отключение протокола SMB версии 3. Это соединено с внедрением общего стека для этих протоколов.

После выполнения командлета Set-SMBServerConfiguration не требуется перезагрузка компьютера.

Узнать состояние

  • Чтобы получить текущее состояние конфигурации протокола SMB-сервера, выполните последующий командлет:
Get-SmbServerConfiguration

Боремся с вирусами и инфраструктурой, либо отключение SMB v1

В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети опять возникли советы по отключению этого протокола. Наиболее того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где опосля борьбы с SMB закончили играться беспроводные колонки Sonos.

Специально для минимизации вероятности «выстрела в ногу» я желаю напомнить о особенностях SMB и тщательно разглядеть, чем угрожает непродуманное отключение его старенькых версий.

SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Конкретно он употребляется при подключении ресурсов через servernamesharename. Протокол вначале работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать впрямую, используя порт TCP 445. SMB употребляется также для входа в домен Active Directory и работы в нем.

Помимо удаленного доступа к ресурсам протокол употребляется еще и для межпроцессорного взаимодействия через «именованные потоки» – named pipes. Обращение к процессу делается по пути .pipename.

Первая версия протокола, также популярная как CIFS (Common Internet File System), была сотворена еще в 1980-х годах, а вот 2-ая версия возникла лишь с Windows Vista, в 2006. 3-я версия протокола вышла с Windows 8. Параллельно с Microsoft протокол создавался и обновлялся в его открытой имплементации Samba.

В каждой новейшей версии протокола добавлялись различного рода улучшения, направленные на повышение быстродействия, сохранности и поддержки новейших функций. Но при этом оставалась поддержка старенькых протоколов для сопоставимости. Очевидно, в старенькых версиях было и есть довольно уязвимостей, одной из которых и пользуется WannaCry.

Под спойлером вы отыщите сводную таблицу конфигураций в версиях SMB.

Версия Операционная система Добавлено, по сопоставлению с предшествующей версией
SMB 2.0 Windows Vista/2008 Изменилось количество команд протокола со 100+ до 19
Возможность «конвейерной» работы – отправки доп запросов до получения ответа на предыдущий
Поддержка символьных ссылок
Подпись сообщений HMAC SHA256 заместо MD5
Увеличение кэша и блоков записичтения
SMB 2.1 Windows 7/2008R2 Улучшение производительности
Поддержка большего значения MTU
Поддержка службы BranchCache – механизм, кэширующий запросы в глобальную сеть в локальной сети
SMB 3.0 Windows 8/2012 Возможность построения прозрачного отказоустойчивого кластера с распределением нагрузки
Поддержка прямого доступа к памяти (RDMA)
Управление средством командлетов Powershell
Поддержка VSS
Подпись AES–CMAC
Шифрование AES–CCM
Возможность применять сетевые папки для хранения виртуальных машин HyperV
Возможность применять сетевые папки для хранения баз Microsoft SQL
SMB 3.02 Windows 8.1/2012R2 Улучшения сохранности и быстродействия
Автоматическая балансировка в кластере
SMB 3.1.1 Windows 10/2016 Поддержка шифрования AES–GCM
Проверка целостности до аутентификации с внедрением хеша SHA512
Обязательные безопасные «переговоры» при работе с клиентами SMB 2.x и выше

Посмотреть используемую в текущий момент версию протокола достаточно просто, используем для этого командлет Get–SmbConnection:

Вывод командлета при открытых сетевых ресурсах на серверах с разной версией Windows.

Из вывода видно, что клиент, поддерживающий все версии протокола, употребляет для подключения очень возможную версию из поддерживаемых сервером. Очевидно, ежели клиент поддерживает лишь старенькую версию протокола, а на сервере она будет отключена – соединение установлено не будет. Включить либо выключить поддержку старенькых версий в современных системах Windows можно при помощи командлета Set–SmbServerConfiguration, а поглядеть состояние так:

Выключаем SMBv1 на сервере с Windows 2012 R2.

Результат при подключении с Windows 2003.

Таким образом, при выключении старенького, уязвимого протокола можно лишиться работоспособности сети со старенькыми клиентами. При этом кроме Windows XP и 2003 SMB v1 употребляется и в ряде программных и аппаратных решений (например NAS на GNULinux, использующий старенькую версию samba).

Под спойлером приведу перечень производителей и товаров, которые вполне либо отчасти не станут работать при выключении SMB v1.

Производитель Продукт Комментарий
Barracuda SSL VPN
Web Security Gateway backups
Canon Сканирование на сетевой ресурс
Cisco WSA/WSAv
WAAS Версии 5.0 и старше
F5 RDP client gateway
Microsoft Exchange Proxy
Forcepoint (Raytheon) «Некоторые продукты»
HPE ArcSight Legacy Unified Connector Старые версии
IBM NetServer Версия V7R2 и старше
QRadar Vulnerability Manager Версии 7.2.x и старше
Lexmark МФУ, сканирование на сетевой ресурс Прошивки Firmware eSF 2.x и eSF 3.x
Linux Kernel Клиент CIFS С 2.5.42 до 3.5.x
McAfee Web Gateway
Microsoft Windows XP/2003 и старше
MYOB Accountants
NetApp ONTAP Версии до 9.1
NetGear ReadyNAS
Oracle Solaris 11.3 и старше
Pulse Secure PCS 8.1R9/8.2R4 и старше
PPS 5.1R9/5.3R4 и старше
QNAP Все устройства хранения Прошивка старше 4.1
RedHat RHEL Версии до 7.2
Ricoh МФУ, сканирование на сетевой ресурс Кроме ряда моделей
RSA Authentication Manager Server
Samba Samba Старше 3.5
Sonos Беспроводные колонки
Sophos Sophos UTM
Sophos XG firewall
Sophos Web Appliance
SUSE SLES 11 и старше
Synology Diskstation Manager Только управление
Thomson Reuters CS Professional Suite
Tintri Tintri OS, Tintri Global Center
VMware Vcenter
ESXi Старше 6.0
Worldox GX3 DMS
Xerox МФУ, сканирование на сетевой ресурс Прошивки без ConnectKey Firmware

Список взят с веб-сайта Microsoft, где он часто пополняется.

Перечень товаров, использующих старенькую версию протокола, довольно велик – перед отключением SMB v1 непременно необходимо пошевелить мозгами о последствиях.

Если программ и устройств, использующих SMB v1 в сети нет, то, естественно, старенькый протокол лучше отключить. При этом ежели выключение на SMB сервере Windows 8/2012 делается при помощи командлета Powershell, то для Windows 7/2008 пригодится правка реестра. Это можно сделать тоже при помощи Powershell:

Или хоть каким остальным комфортным методом. При этом для внедрения конфигураций пригодится перезагрузка.

Для отключения поддержки SMB v1 на клиенте довольно приостановить отвечающую за его работу службу и поправить зависимости службы lanmanworkstation. Это можно сделать последующими командами:

Для удобства отключения протокола по всей сети комфортно применять групповые политики, в частности Group Policy Preferences. С помощью их можно комфортно работать с реестром.

Создание элемента реестра через групповые политики.

Чтобы отключить протокол на сервере, довольно сделать последующий параметр:

  • путь: HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters;

  • новый параметр: REG_DWORD c именованием SMB1;

  • значение: 0.

Создание параметра реестра для отключения SMB v1 на сервере через групповые политики.

Для отключения поддержки SMB v1 на клиентах пригодится поменять значение 2-ух параметров.

Сначала отключим службу протокола SMB v1:

  • путь: HKLM:SYSTEMCurrentControlSetservicesmrxsmb10;

  • параметр: REG_DWORD c именованием Start;

  • значение: 4.

Обновляем один из параметров.

Потом поправим зависимость службы LanmanWorkstation, чтобы она не зависела от SMB v1:

  • путь: HKLM:SYSTEMCurrentControlSetServicesLanmanWorkstation;

  • параметр: REG_MULTI_SZ с именованием DependOnService;

  • значение: три строчки – Bowser, MRxSmb20 и NSI.

И заменяем другой.

После внедрения групповой политики нужно перезагрузить компы организации. Опосля перезагрузки SMB v1 не станет использоваться.

Как ни удивительно, эта древняя заповедь не постоянно полезна – в изредка обновляемой инфраструктуре могут завестись шифровальщики и трояны. Тем не наименее, неаккуратное отключение и обновление служб могут обездвиживать работу организации не ужаснее вирусов.

Расскажите, а вы уже отключили у себя SMB первой версии? Много было жертв?

Читайте также  Программа adb что это такое. ADB для чайников. Часть 1.

Оставьте комментарий