Pokud nemůžete otevřít síťové složky na jiných síťových zařízeních (NAS, Samba Linux server) nebo na počítačích se staršími verzemi Windows (Windows 7 / XP / 2003) z Windows 10, pravděpodobně je problém, že vaše nová verze Windows 10 zakázaná podpora zastaralých a nezabezpečených verzí protokolu SMB (používá se ve Windows pro přístup ke sdíleným síťovým složkám a souborům). Počínaje Windows 10 1709 byl proto zakázán protokol SMBv1 a anonymní (hostující) přístup k síťovým složkám prostřednictvím protokolu SMBv2.
Společnost Microsoft ve všech nejnovějších verzích systému Windows systematicky zakazuje staré a nebezpečné verze protokolu SMB. Počínaje Windows 10 1709 a Windows Server 2019 (v edicích Datacenter i Standard) je protokol SMBv1 ve výchozím nastavení v operačním systému deaktivován (pamatujte na útok ransomwaru WannaCry, který byl implementován skrz otvor v SMBv1).Konkrétní akce, které je třeba provést, závisí na chybě, která se objeví v systému Windows 10 při přístupu ke sdílené složce, a na nastavení vzdáleného serveru SMB, na kterém jsou sdílené složky uloženy..
Obsah:
- Nemůžete získat přístup ke složce guest bez ověření
- Váš systém musí používat SMB2 nebo novější.
Nemůžete získat přístup ke složce guest bez ověření
Počínaje verzí Windows 10 verze 1709 (Fall Creators Update) Enterprise and Education se uživatelé začali stěžovat, že při pokusu o otevření síťové složky v blízkém počítači se objevila chyba:
K této sdílené složce nemáte přístup, protože bezpečnostní zásady vaší organizace blokují přístup hosta bez ověření. Tyto zásady pomáhají chránit váš počítač před nezabezpečenými nebo škodlivými zařízeními v síti..
Při opětovném připojení Y došlo k chybě: \\ nas1 \ share Microsoft Windows Network: K této sdílené složce nemáte přístup, protože bezpečnostní zásady vaší organizace blokují neoprávněný přístup hostů. Tyto zásady pomáhají chránit váš počítač před nebezpečnými nebo škodlivými zařízeními v síti.
Navíc na jiných počítačích se starými verzemi Windows 8.1 / 7 nebo Windows 10 se sestavením až 1709 se tyto stejné síťové adresáře normálně otevírají. Tento problém je způsoben skutečností, že v moderních verzích systému Windows 10 (počínaje 1709) je ve výchozím nastavení zakázán síťový přístup k síťovým složkám pod účtem hosta pomocí protokolu SMBv2 (a níže). Host (anonymní) přístup znamená přístup k síťové složce bez ověření. Při přístupu pod účtem hosta pomocí protokolu SMBv1 / v2 se nepoužívají metody ochrany provozu, jako je podepisování SMB a šifrování, což činí vaši relaci zranitelnou vůči útokům typu MiTM (man-in-the-middle).
Při pokusu o otevření síťové složky pod hostem pomocí protokolu SMB2 je v protokolu klienta SMB (Microsoft-Windows-SMBClient) zaznamenána chyba:
Zdroj: Microsoft-Windows-SMBClient ID události: 31017 Odmítnuto nezabezpečené přihlášení hosta.
Ve většině případů se tento problém může vyskytnout při používání starších verzí NAS (obvykle pro zjednodušení, nastavení zahrnuje přístup pro hosty) nebo při přístupu k síťovým složkám na starších verzích Windows 7/2008 R2 nebo Windows XP / 2003 s nakonfigurovaným anonymním (hostovaným) přístupem (viz tabulka podporovaných verzí SMB v různých verzích Windows).
V tomto případě společnost Microsoft doporučuje změnit nastavení na vzdáleném počítači nebo zařízení NAS, které distribuuje síťové složky. Je vhodné přepnout síťový prostředek do režimu SMBv3. A pokud je podporován pouze protokol SMBv2, nakonfigurujte přístup pomocí ověřování. Toto je nejlepší a nejbezpečnější způsob, jak problém vyřešit..
V závislosti na zařízení, ve kterém jsou síťové složky uloženy, musíte na nich zakázat přístup hostů.
- Zařízení NAS - zakažte přístup hosta v nastavení vašeho zařízení NAS (v závislosti na modelu);
- Samba server na Linuxu - Pokud distribuujete adresář SMB v systému Linux, musíte přidat řádek v [globální] části konfiguračního souboru smb.conf:
mapa na hosta = nikdy
A v části s popisem síťové složky zakažte anonymní přístup:host ok = ne
- V oknech V části Ovládací panely \ Všechny položky ovládacího panelu \ Centrum sítí a sdílení \ Pokročilé nastavení sdílení můžete povolit sdílení síťových složek a tiskáren s ochranou heslem. U všech sítí v části „Sdílení chráněné heslem“ změňte hodnotu na „Povolit sdílení hesla“(Zapněte sdílení chráněné heslem). V tomto případě bude anonymní (host) přístup ke složkám deaktivován a budete muset vytvořit místní uživatele, poskytnout jim přístup k síťovým složkám a tiskárnám a používat tyto účty pro připojení ke sdíleným složkám v tomto počítači.
Existuje jiný způsob - změnit nastavení klienta SMB a umožnit mu přístup k síťovým složkám pod účtem guest.
Tato metoda by měla být použita pouze jako dočasná (!!!), protože přístup ke složkám bez ověření výrazně snižuje úroveň zabezpečení vašich dat.Chcete-li povolit přístup hosta z počítače, otevřete Editor zásad skupiny (gpedit.msc) a přejděte do sekce: Konfigurace počítače -> Šablony pro správu -> Síť -> Lanman Workstation (Konfigurace počítače -> Šablony pro správu -> Síť -> Lanman Workstation) Povolit zásady Povolit nezabezpečené přihlášení hosta.
V systému Windows 10 Home, který nemá místní editor GPO, můžete provést podobnou změnu pomocí editoru registru ručně:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parametry “AllowInsecureGuestAuth” = dword: 1
Nebo pomocí tohoto příkazu:
reg add HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parameters / v AllowInsecureGuestAuth / t reg_dword / d 00000001 / f
Váš systém musí používat SMB2 nebo novější.
Dalším možným problémem při přístupu k síťové složce ze systému Windows 10 je podpora na straně serveru pouze protokolu SMBv1. Protože Klient SMBv1 je ve výchozím nastavení v systému Windows 10 1709 zakázán. Při pokusu o otevření koule může dojít k chybě:
Ke sdílené složce se nemůžete připojit, protože není zabezpečená. Tato sdílená složka používá zastaralý protokol SMB1, který je nebezpečný a mohl by váš systém vystavit riziku útoku. Váš systém musí používat SMB2 nebo novější..
Ke sdílené složce se nemůžete připojit, protože není zabezpečená. Tato sdílená složka vyžaduje zastaralý protokol SMB1, který je nebezpečný a mohl by váš systém vystavit útoku. Váš systém vyžaduje SMB2 nebo vyšší.
V tomto případě se sousední zařízení SMB nemusí zobrazit v síťovém prostředí a při otevření cesty přes UNC se může objevit chyba 0x80070035..
I.e. chybová zpráva jasně ukazuje, že síťová složka podporuje pouze přístupový protokol SMBv1. V takovém případě musíte zkusit nakonfigurovat vzdálené zařízení SMB tak, aby podporovalo alespoň SMBv2 (správným a bezpečným způsobem).
Pokud Samba distribuuje síťové složky v systému Linux, můžete v souboru smb.conf zadat minimální podporovanou verzi SMB:
[globální] server min protokol = SMB2_10 klient max protokol = SMB3 klient min protokol = SMB2_10 šifrování hesel = true omezit anonymní = 2
Ve Windows 7 / Windows Server 2008 R2 můžete SMBv1 deaktivovat a povolit SMBv2 takto:Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force
Ve Windows 8.1 zakažte SMBv1, povolte SMBv2 a SMBv3 a ověřte, zda se pro vaše síťové připojení používá soukromý nebo doménový profil:
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Pokud vaše síťové zařízení (NAS, Windows XP, Windows Server 2003) podporuje pouze protokol SMB1, v systému Windows 10 můžete povolit samostatnou součást SMB1Protocol-Client. Ale to se nedoporučuje.!!!
Spusťte konzolu PowerShell a ověřte, že je zakázán SMB1Protocol-Client (Stav: Zakázáno
):
Získejte WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Povolit podporu protokolu SMBv1 (je vyžadován restart):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Z nabídky můžete také povolit / zakázat další součásti systému Windows 10 (včetně SMBv1) optionalfeatures.exe
-> Podpora sdílení souborů SMB 1.0 / CIFS
Ve Windows 10 1709 a novějších se klient SMBv1 automaticky smaže, pokud nebyl používán déle než 15 dní (za to odpovídá součást automatického odebrání SMB 1.0 / CIFS).
V tomto příkladu jsem povolil pouze klienta SMBv1. Nepovolte součást SMB1Protocol-Server, pokud váš počítač nepoužívají starší klienti jako server pro ukládání veřejných složek.Po instalaci klienta SMBv1 byste měli mít možnost bez problémů se připojit k síťové složce nebo tiskárně. Musíte však pochopit, že použití tohoto řešení se nedoporučuje, protože ohrožuje váš systém.