Ak nemôžete otvoriť sieťové priečinky na iných sieťových zariadeniach (NAS, servery Samba Linux) alebo na počítačoch so staršími verziami systému Windows (Windows 7 / XP / 2003) zo systému Windows 10, s najväčšou pravdepodobnosťou je problém, že vaša nová verzia systému Windows 10 zakázaná podpora zastaraných a nezabezpečených verzií protokolu SMB (používa sa v systéme Windows na prístup k zdieľaným sieťovým zložkám a súborom). Počnúc Windows 10 1709 bol zakázaný protokol SMBv1 a anonymný (hosť) prístup k sieťovým zložkám prostredníctvom protokolu SMBv2..
Spoločnosť Microsoft systematicky zakazuje staré a nebezpečné verzie protokolu SMB vo všetkých posledných verziách systému Windows. Počnúc operačnými systémami Windows 10 1709 a Windows Server 2019 (v edíciách Datacenter a Standard) je protokol SMBv1 v operačnom systéme štandardne vypnutý (pamätajte na útok ransomware WannaCry, ktorý bol implementovaný prostredníctvom otvoru v SMBv1)..Konkrétne akcie, ktoré sa majú vykonať, závisia od chyby, ktorá sa objaví v systéme Windows 10 pri prístupe do zdieľaného priečinka, a od nastavení vzdialeného servera SMB, na ktorom sú zdieľané priečinky uložené..
obsah:
- K priečinku hosťa nemáte prístup bez overenia
- Váš systém musí používať SMB2 alebo novší.
K priečinku hosťa nemáte prístup bez overenia
Od verzie Windows 10 verzie 1709 (Fall Creators Update) Enterprise and Education sa používatelia sťažovali, že pri pokuse otvoriť sieťový priečinok na počítači v okolí sa vyskytla chyba:
K tomuto zdieľanému priečinku nemáte prístup, pretože bezpečnostné pravidlá vašej organizácie blokujú prístup hostí bez autentifikácie. Tieto zásady pomáhajú chrániť váš počítač pred nezabezpečenými alebo škodlivými zariadeniami v sieti..
Pri opätovnom pripájaní Y: na \\ nas1 \ share sa vyskytla chyba: Do tohto zdieľaného priečinka nemáte prístup, pretože bezpečnostné zásady vašej organizácie blokujú neoprávnený prístup hostí. Tieto zásady pomáhajú chrániť váš počítač pred nebezpečnými alebo škodlivými zariadeniami v sieti.
Navyše, na iných počítačoch so starými verziami Windows 8.1 / 7 alebo Windows 10 so zostavou až 1709 sa tieto rovnaké sieťové adresáre otvárajú normálne. Tento problém je spôsobený skutočnosťou, že v moderných verziách systému Windows 10 (od roku 1709) je v predvolenom nastavení zakázaný prístup k sieťovým zložkám pod účtom hosťa pomocou protokolu SMBv2 (a nižšie). Hosťovský (anonymný) prístup znamená prístup do sieťového priečinka bez autentifikácie. Pri prístupe pod hosťovským účtom pomocou protokolu SMBv1 / v2 sa nepoužívajú metódy ochrany prenosu, ako napríklad podpisovanie a šifrovanie SMB, čo robí vašu reláciu zraniteľnou voči útokom typu MiTM (človek v strede)..
Pri pokuse otvoriť sieťový priečinok pod hosťom pomocou protokolu SMB2 sa v protokole klienta SMB (Microsoft-Windows-SMBClient) zaznamená chyba:
Zdroj: Microsoft-Windows-SMBClient ID udalosti: 31017 Odmietnuté nezabezpečené prihlásenie hostí.
Vo väčšine prípadov sa tento problém môže vyskytnúť pri používaní starších verzií NAS (zvyčajne kvôli ľahkej konfigurácii, zahŕňajú prístup pre hostí) alebo pri prístupe k sieťovým priečinkom na starších verziách systému Windows 7/2008 R2 alebo Windows XP / 2003 s nakonfigurovaným anonymným (hosťovaným) prístupom (pozri tabuľku podporovaných verzií SMB v rôznych verziách systému Windows).
V takom prípade spoločnosť Microsoft odporúča zmeniť nastavenia na vzdialenom počítači alebo zariadení NAS, ktoré distribuuje sieťové priečinky. Je vhodné prepnúť sieťový prostriedok do režimu SMBv3. A ak je podporovaný iba protokol SMBv2, nakonfigurujte prístup pomocou autentifikácie. Toto je najlepší a najbezpečnejší spôsob, ako problém vyriešiť..
V závislosti od zariadenia, v ktorom sú uložené sieťové priečinky, musíte zakázať prístup hostí.
- Zariadenie NAS - zakázať prístup hostí v nastaveniach vášho zariadenia NAS (v závislosti od modelu);
- Samba server na Linuxe - Ak distribuujete adresár SMB v systéme Linux, pridajte riadok do časti [smb] konfiguračného súboru smb.conf:
mapa na hosť = nikdy
V časti s popisom sieťového priečinka zakážte anonymný prístup:hosť ok = nie - V oknách Zdieľanie sieťových priečinkov a tlačiarní s ochranou heslom môžete povoliť v časti Ovládací panel \ Všetky položky ovládacieho panela \ Centrum sietí a zdieľania \ Rozšírené nastavenia zdieľania. Pre všetky siete v časti „Zdieľanie chránené heslom“ zmeňte hodnotu na „Povoliť zdieľanie hesla“(Zapnite zdieľanie chránené heslom). V takom prípade bude zakázaný anonymný (hosťovský) prístup k zložkám a budete musieť vytvoriť miestnych používateľov, poskytnúť im prístup k sieťovým zložkám a tlačiarňam a používať tieto účty na pripojenie k zdieľaným zložkám v tomto počítači..
Existuje aj iný spôsob - zmeniť nastavenia vášho klienta SMB a umožniť mu prístup do sieťových priečinkov pod účtom hosťa.
Táto metóda by sa mala používať iba ako dočasná (!!!), pretože prístup k zložkám bez autentifikácie výrazne znižuje úroveň zabezpečenia vašich údajov.Ak chcete povoliť prístup hosťa z počítača, otvorte Editor zásad skupiny (gpedit.msc) a prejdite do časti: Konfigurácia počítača -> Šablóny pre správu -> Sieť -> Lanman Workstation (Konfigurácia počítača -> Šablóny pre správu -> Sieť -> Lanman Workstation). Povoliť pravidlá Povoliť nezabezpečené prihlásenie hostí.
V systéme Windows 10 Home, ktorý nemá lokálny editor GPO, môžete vykonať podobnú zmenu pomocou editora databázy Registry manuálne:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parameters "AllowInsecureGuestAuth" = dword: 1
Alebo pomocou tohto príkazu:
reg add HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parameters / v AllowInsecureGuestAuth / t reg_dword / d 00000001 / f
Váš systém musí používať SMB2 alebo novší.
Ďalším možným problémom pri prístupe k sieťovému priečinku zo systému Windows 10 je podpora na strane servera iba protokolu SMBv1. pretože Klient SMBv1 je v systéme Windows 10 1709 v predvolenom nastavení zakázaný. Pri pokuse o otvorenie lopty môže dôjsť k chybe:
K zdieľanému priečinku sa nemôžete pripojiť, pretože nie je zabezpečený. Tento zdieľaný priečinok používa zastaralý protokol SMB1, ktorý nie je bezpečný a mohol by váš systém vystaviť riziku útoku. Váš systém musí používať SMB2 alebo novší..
K zdieľaniu súborov sa nemôžete pripojiť, pretože nie je zabezpečená. Táto zdieľaná položka vyžaduje zastaralý protokol SMB1, ktorý nie je bezpečný a mohol by váš systém vystaviť útokom. Váš systém vyžaduje SMB2 alebo vyššiu.
V tomto prípade sa susedné zariadenia SMB nemusia zobraziť v sieťovom prostredí a pri otváraní cesty prostredníctvom UNC sa môže zobraziť chyba 0x80070035..
tj chybové hlásenie jasne ukazuje, že sieťový priečinok podporuje iba prístupový protokol SMBv1. V takom prípade musíte skúsiť prekonfigurovať vzdialené SMB zariadenie tak, aby podporovalo aspoň SMBv2 (správny a bezpečný spôsob)..
Ak Samba distribuuje sieťové priečinky v systéme Linux, v súbore smb.conf môžete určiť minimálnu podporovanú verziu protokolu SMB:
[globálny] server min protokol = SMB2_10 klient max protokol = SMB3 klient min protokol = SMB2_10 šifrovať heslá = true obmedziť anonymný = 2
Vo Windows 7 / Windows Server 2008 R2 môžete vypnúť SMBv1 a povoliť SMBv2 takto:Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force
Vo Windows 8.1 zakážte SMBv1, povoľte SMBv2 a SMBv3 a overte, či sa pre vaše sieťové pripojenie používa súkromný alebo doménový profil:
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Ak vaše sieťové zariadenie (NAS, Windows XP, Windows Server 2003) podporuje iba protokol SMB1, v systéme Windows 10 môžete povoliť samostatný komponent SMB1Protocol-Client. To sa však neodporúča.!!!
Spustite konzolu PowerShell a overte, či je zakázaný SMB1Protocol-Client (Stav: zdravotne postihnuté):
Získajte WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Povoliť podporu protokolu SMBv1 (vyžaduje sa reštart):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Z ponuky môžete tiež povoliť alebo zakázať ďalšie súčasti systému Windows 10 (vrátane SMBv1) optionalfeatures.exe-> Podpora zdieľania súborov SMB 1.0 / CIFS
Vo Windows 10 1709 a novších sa klient SMBv1 automaticky odstráni, ak nebol používaný dlhšie ako 15 dní (za to je zodpovedná súčasť Automatické odstránenie SMB 1.0 / CIFS).
V tomto príklade som povolil iba klienta SMBv1. Nepovoľujte súčasť SMB1Protocol-Server, ak váš počítač nepoužívajú starí klienti ako server na ukladanie verejných priečinkov.Po inštalácii klienta SMBv1 by ste sa mali mať možnosť bez problémov pripojiť k sieťovému priečinku alebo tlačiarni. Musíte však pochopiť, že použitie tohto zástupného riešenia sa neodporúča, pretože ohrozuje váš systém.
