V systéme Windows Server 2012 R2 bola zavedená nová verzia protokolu SMB 3 (technicky to je SMB 3,02, pretože Verzia SMB 3.0 sa objavila už v systéme Windows Server 2012) a starší ovládač protokolu SMB 1.0 Teraz môžete vypnúť a zablokovať načítanie jeho komponentov. Z dôvodu nedostatku podpory pre SMB 1.0, staršie verzie (Windows XP, Server 2003) a kompatibilní klienti (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, staršie verzie systému Linux) nebudú mať prístup k súborom umiestneným na súborovom serveri so systémom Windows 2012 R2 / 2016..
obsah:
- Verzie protokolu Windows SMB
- O nebezpečenstvách pri používaní SMB1
- Protokol SMB 1.0 v systéme Windows Server 2012 R2
- Protokol SMB 1.0 v systéme Windows Server 2016
Verzie protokolu Windows SMB
SMB (Server Message Block, niekedy nazývaný LAN-Manager) je sieťový protokol pre vzdialený prístup k súborom, tlačiarňam a iným službám. Na pripojenie sa používa port TCP 445. V nasledujúcich verziách systému Windows sa objavili rôzne verzie protokolu SMB:
- CIFS - Windows NT 4.0
- SMB 1.0 - Windows 2000
- SMB 2.0 - Windows Server 2008 a WIndows Vista SP1
- SMB 2.1 - Windows Server 2008 R2 a Windows 7
- SMB 3.0 - Windows Server 2012 a Windows 8 (podpora šifrovania SMB)
- SMB 3,02 - Windows Server 2012 R2 a Windows 8.1
- SMB 3.1.1 - Windows Server 2016 a Windows 10
Pre sieťovú komunikáciu pomocou protokolu SMB medzi klientom a serverom sa používa maximálna verzia protokolu, ktorú podporujú klient aj server..
Nižšie je uvedená súhrnná tabuľka, podľa ktorej môžete určiť verziu protokolu SMB, ktorá sa vyberie pri interakcii s rôznymi verziami systému Windows:
Operačný systém | Vyhrajte 10, server 2016 | Windows 8.1, Server 2012 R2 | Windows 8, Server 2012 | Windows 7, Server 2008 R2 | Windows Vista, Server 2008 | Windows XP, Server 2003 a nižšie |
Windows 10 , Windows Server 2016 | SMB 3.1.1 | SMB 3,02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8.1 , Server 2012 R2 | SMB 3,02 | SMB 3,02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8 , Server 2012 | SMB 3.0 | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 7, Server 2008 R2 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows Vista, Server 2008 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 1.0 |
Windows XP, 2003 a nižšie | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 |
Napríklad pri pripájaní klientskeho počítača so systémom Windows 7 k súborovému serveru so systémom Windows Server 2012 R2 sa použije protokol SMB 2.1.
rada. Verziu protokolu SMB, pomocou ktorej klient interaguje so serverom, môžete určiť pomocou príkazu Powershell:Get-SmbConnection
Ak chcete uviesť zoznam protokolov SMB používaných klientmi a počet klientov použitých konkrétnou verziou protokolu SMB na strane servera, spustite príkaz:
Get-SmbSession | Select-Object -ExpandProperty Dialect | Sort-Object -Unique
V našom príklade je k serveru pripojených 825 klientov pomocou protokolu SMB 2.1 (Win 7/2008 r2) a 12 klientov prostredníctvom protokolu SMB 3.02 (Win 8.1 / 2012 r2).
Podľa tabuľky systému Windows XP môže systém Windows Server 2003 používať iba protokol SMB 1.0 na prístup k zdieľaným súborom a priečinkom na serveri, ktoré možno zakázať v nových verziách systému Windows Server (2012 R2 / 2016). Ak teda vaša infraštruktúra súčasne používa počítače so systémom Windows XP (ukončené), Windows Server 2003 / R2 a servery so systémom Windows Server 2012 R2 / Server 2016, musíte pochopiť, že starí klienti nebudú mať prístup k súborom a priečinkom na súborový server s novým OS. A v prípade, že sa v systéme Windows Server 2016/2012 R2 so zakázaným SMB 1.0 použije ako radič domény, znamená to, že klienti v systéme Windows XP / Server 2003 nebudú môcť spúšťať prihlasovacie skripty (NETLOGON) a niektoré skupinové politiky uložené v sieťové priečinky na radičoch domény (napríklad pri použití centralizovaného ukladania admx šablón). U starších klientov sa pri pokuse o pripojenie k prostriedku na súborovom serveri so zakázaným SMB v1 zobrazí chyba:
Zadaný názov siete už nie je k dispozíciiO nebezpečenstvách pri používaní SMB1
V súčasnosti je protokol SMB 1.0 zastaraný a má veľké množstvo kritických zraniteľností (pamätajte na históriu vírusov wannacrypt a petya ransomware, ktoré túto zraniteľnosť používali v protokole SMBv1). Microsoft a ďalšie IT spoločnosti dôrazne odporúčajú upustiť od jeho používania.
V prípade, že klienti so systémom Windows XP a Windows Server 2003 zostanú vo vašej sieti, musíte ich čo najskôr migrovať do novších verzií systému Microsoft OS alebo ich starostlivo izolovať..
Protokol SMB 1.0 v systéme Windows Server 2012 R2
Ak otvoríte zoznam komponentov systému Windows Server 2012 R2, medzi nimi uvidíte funkciu s názvom SMB 1,0 / CIFS súbor zdieľanie podpora, ktorý nie je nainštalovaný. Samotný ovládač SMB 1.0 však funguje. Ak je táto rola nainštalovaná, služba Computer Browser (počítačový browser). Toto je klient SMB 1.0, bez ktorého sa nebude možné pripojiť k iným počítačom, ktoré podporujú iba tento protokol z tohto servera..
rada. Ak sieť nemusí podporovať starú verziu SMB 1.0 pre počítače so systémom Windows XP alebo Windows Server 2003, túto funkciu môžete zakázať príkazom na zníženie zaťaženia systému a zvýšenie bezpečnosti:Remove-WindowsFeature FS-SMB1
Potom v nastavení servera musíte SMB 1.0 úplne vypnúť príkazom:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
V systéme Windows Server 2012 sú predvolene načítané ovládače SMB 1 aj SMB 2. Aby ste sa uistili, otvorte vlastnosti systémovej služby. server (LanmanServer) a tab závislosti uistite sa, že ovládače bežia na serveri súčasne Ovládač servera SMB 1.xxx a Ovládač SMB 2.xxx.
Ak otvoríme vlastnosti služby LanmanServer v systéme Windows 2012 R2, zistíme, že ovládač, ktorý podporuje protokol SMB 1.0, je vylúčený zo závislostí..
To však neznamená, že ovládač SMB 1.0 nefunguje. Príkazom môžete skontrolovať, či je na strane servera povolený protokol SMB 1.0:
Get-SmbServerKonfigurácia | Vyberte možnosť EnableSMB1Protocol
Ako vidíte, protokol SMB1 je povolený vo WS 2012 R2 napriek neexistencii súčasti Podpora zdieľania súborov SMB 1.0 / CIFS a závislostí v LanmanServer..
V prípade, že starí klienti (XP / Server 2003 atď.) Stratili prístup SMB k súborovým serverom / radičom domén v systéme Windows Server 2012 R2, môžete aktivovať podporu SMB 1 nasledovne. Najprv povoľte protokol v nastavení servera:
Set-SmbServerConfiguration -EnableSMB1Protocol $ true
Potom povoľte závislosti protokolu SMB 1.0 v systéme Windows Server 2012 R2 prostredníctvom registra. Choďte do vetvy HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer a zmeňte hodnotu parametra DependOnService zo SamSS Srv2 na SamSS Srv.
Potom musí byť server reštartovaný a uistite sa, že ovládač SMB 1.0 znova funguje.
Táto operácia sa musí vykonať na všetkých súborových serveroch a radičoch domén, ku ktorým sa pripájajú staršie verzie klientov..
Protokol SMB 1.0 v systéme Windows Server 2016
V systéme Windows Server 2016 je podpora SMB 1.0 na strane klienta tiež zahrnutá ako samostatný komponent, ktorý nájdete v zozname Sprievodca pridaním alebo odstránením funkcií. Tento komponent sa nazýva SMB 1,0 / CIFS súbor zdieľanie podpora.
Podpora SMB v1 môžete vypnúť a komponent úplne odstrániť pomocou príkazov:
Remove-WindowsFeature FS-SMB1
sc.exe konfigurácia lanmanworkstation závisí = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = disabled
Počnúc systémom Windows Server 2016 1709 (a Windows 10 Fall Creators) je predvolená súčasť SMBv1 (klient aj server) invalidný (prístup hostí prostredníctvom protokolu SMBv2 je tiež zakázaný). Ak chcete získať prístup k starším systémom pomocou zastaranej verzie protokolu, musíte si ho nainštalovať osobitne. Je potrebné nainštalovať komponent podpory zdieľania súborov SMB 1.0 / CIFS a povoliť SMB 1.0 pomocou nasledujúcich príkazov:
Add-WindowsFeature FS-SMB1
Set-SmbServerConfiguration -EnableSMB1Protocol $ true