V systému Windows Server 2012 R2 byla zavedena nová verze protokolu SMB 3 (technicky toto SMB 3,02, protože Verze SMB 3.0 se objevila v systému Windows Server 2012) a starší ovladač protokolu SMB 1.0 Nyní můžete zakázat a zablokovat načítání jeho součástí. Vzhledem k nedostatku podpory pro SMB 1.0, starší (Windows XP, Server 2003) a kompatibilní klienti (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, starší verze Linuxu) nebudou mít přístup k souborům umístěným na souborovém serveru se systémem Windows 2012 R2 / 2016..
Obsah:
- Verze protokolu Windows SMB
- O nebezpečích používání SMB1
- Protokol SMB 1.0 v systému Windows Server 2012 R2
- Protokol SMB 1.0 v systému Windows Server 2016
Verze protokolu Windows SMB
SMB (Server Message Block, někdy nazývaný LAN-Manager) je síťový protokol pro vzdálený přístup k souborům, tiskárnám a dalším službám. Pro připojení se používá port TCP 445. V následujících verzích systému Windows se objevily různé verze protokolu SMB:
- CIF - Windows NT 4.0
- SMB 1.0 - Windows 2000
- SMB 2.0 - Windows Server 2008 a WIndows Vista SP1
- SMB 2.1 - Windows Server 2008 R2 a Windows 7
- SMB 3.0 - Windows Server 2012 a Windows 8 (podpora šifrování SMB)
- SMB 3,02 - Windows Server 2012 R2 a Windows 8.1
- SMB 3.1.1 - Windows Server 2016 a Windows 10
Pro síťovou komunikaci pomocí protokolu SMB mezi klientem a serverem se používá maximální verze protokolu, která je podporována klientem i serverem.
Níže je uvedena souhrnná tabulka, podle níž můžete určit verzi protokolu SMB, která je vybrána při interakci s různými verzemi systému Windows:
Operační systém | Vyhrajte 10, server 2016 | Windows 8.1, Server 2012 R2 | Windows 8, Server 2012 | Windows 7, Server 2008 R2 | Windows Vista, Server 2008 | Windows XP, Server 2003 a nižší |
Windows 10 , Windows Server 2016 | SMB 3.1.1 | SMB 3,02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8.1 , Server 2012 R2 | SMB 3,02 | SMB 3,02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8 , Server 2012 | SMB 3.0 | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 7, Server 2008 R2 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows Vista, Server 2008 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 1.0 |
Windows XP, 2003 a níže | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 |
Například při připojení klientského počítače se systémem Windows 7 k souborovému serveru se systémem Windows Server 2012 R2 se použije protokol SMB 2.1.
Tip. Pomocí protokolu Powershell můžete určit verzi protokolu SMB, pomocí které klient interaguje se serverem:Získejte spojení
Chcete-li zobrazit seznam verzí protokolu SMB používaných klienty a počtu klientů používaných konkrétní verzí protokolu SMB na straně serveru, spusťte příkaz:
Get-SmbSession | Select-Object -ExpandProperty Dialect | Sort-Object -Unique
V našem příkladu je k serveru připojeno 825 klientů pomocí SMB 2.1 (Win 7/2008 r2) a 12 klientů prostřednictvím SMB 3.02 (Win 8.1 / 2012 r2).
Podle tabulky systému Windows XP může systém Windows Server 2003 používat pouze protokol SMB 1.0 pro přístup ke sdíleným souborům a složkám na serveru, které lze zakázat v nových verzích systému Windows Server (2012 R2 / 2016). Pokud tedy vaše infrastruktura současně používá počítače se systémem Windows XP (ukončeno), Windows Server 2003 / R2 a servery se systémem Windows Server 2012 R2 / Server 2016, musíte pochopit, že starší klienti nebudou mít přístup k souborům a složkám na souborový server s novým OS. A v případě, že se v systému Windows Server 2016/2012 R2 s deaktivovaným SMB 1.0 použije jako řadič domény, znamená to, že klienti v systému Windows XP / Server 2003 nebudou moci spouštět přihlašovací skripty (NETLOGON) a některé skupinové zásady uložené v síťové složky v řadičích domény (například při použití centralizovaného úložiště šablon admx). U starších klientů se při pokusu o připojení ke zdroji na souborovém serveru se zakázaným SMB v1 objeví chyba:
Zadaný název sítě již není k dispoziciO nebezpečích používání SMB1
V současné době je protokol SMB 1.0 zastaralý a má velké množství kritických zranitelností (pamatujte na historii virů wannacrypt a petya ransomware, které tuto zranitelnost použily v protokolu SMBv1). Společnost Microsoft a další IT společnosti důrazně doporučují upustit od jejího používání.
V případě, že klienti se systémem Windows XP a Windows Server 2003 zůstanou ve vaší síti, musíte je co nejdříve přenést do novějších verzí systému Microsoft OS nebo je pečlivě izolovat..
Protokol SMB 1.0 v systému Windows Server 2012 R2
Pokud otevřete seznam součástí systému Windows Server 2012 R2, můžete mezi nimi zobrazit funkci pojmenovanou SMB 1,0 / CIFS Soubor Sdílení Podpora, který není nainstalován. Ovšem samotný ovladač SMB 1.0 funguje. Když je tato role nainstalována, služba Prohlížeč počítače (Počítač Prohlížeč) Toto je klient SMB 1.0, bez kterého nebude možné se připojit k jiným počítačům, které podporují pouze tento protokol z tohoto serveru..
Tip. Pokud síť nemusí podporovat starou verzi SMB 1.0 pro počítače se systémem Windows XP nebo Windows Server 2003, lze tuto funkci zakázat pomocí příkazu ke snížení zatížení systému a zvýšení zabezpečení:Remove-WindowsFeature FS-SMB1
Poté v nastavení serveru musíte SMB 1.0 zcela zakázat příkazem:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
Ve Windows Server 2012 jsou ve výchozím nastavení načteny ovladače SMB 1 i SMB 2. Chcete-li se ujistit, otevřete vlastnosti systémové služby. Server (LanmanServer) a kartu Závislosti ujistěte se, že ovladače běží na serveru současně Ovladač serveru SMB 1.xxx a Ovladač SMB 2.xxx.
Pokud v systému Windows 2012 R2 otevřeme vlastnosti služby LanmanServer, uvidíme, že ovladač podporující protokol SMB 1.0 je ze závislostí vyloučen..
To však neznamená, že ovladač SMB 1.0 nefunguje. Můžete zkontrolovat, zda je protokol SMB 1.0 na straně serveru povolen příkazem:
Get-SmbServerConfiguration | Vyberte EnableSMB1Protocol
Jak vidíte, protokol SMB1 je povolen ve WS 2012 R2, a to i přesto, že v LanmanServeru chybí součást podpory sdílení souborů SMB 1.0 / CIFS a závislosti..
V případě, že starší klienti (XP / Server 2003 atd.) Ztratili přístup SMB k souborovým serverům / řadičům domény v systému Windows Server 2012 R2, můžete aktivovat podporu SMB 1 následujícím způsobem. Nejprve povolte protokol v nastavení serveru:
Set-SmbServerConfiguration -EnableSMB1Protocol $ true
Potom povolte závislosti protokolu SMB 1.0 v systému Windows Server 2012 R2 prostřednictvím registru. Přejít na větev HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer a změňte hodnotu parametru DependOnService od SamSS Srv2 do SamSS Srv.
Poté musí být server restartován a ujistěte se, že ovladač SMB 1.0 znovu funguje.
Tato operace musí být provedena na všech souborových serverech a řadičích domény, ke kterým se připojují starší verze klientů..
Protokol SMB 1.0 v systému Windows Server 2016
V systému Windows Server 2016 je podpora SMB 1.0 na straně klienta také zahrnuta jako samostatná součást, kterou najdete v seznamu Průvodce přidáním nebo odebráním funkcí. Tato součást se nazývá SMB 1,0 / CIFS Soubor Sdílení Podpora.
Podpora SMB v1 můžete vypnout a komponentu zcela odstranit pomocí příkazů:
Remove-WindowsFeature FS-SMB1
sc.exe config lanmanworkstation depend = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = disabled
Počínaje Windows Server 2016 1709 (a Windows 10 Fall Creators) je výchozí komponentou SMBv1 (klient i server) odpojeno (přístup hosta prostřednictvím protokolu SMBv2 je rovněž zakázán). Chcete-li přistupovat ke starším systémům pomocí zastaralé verze protokolu, musíte jej nainstalovat samostatně. Je třeba nainstalovat součást podpory sdílení souborů SMB 1.0 / CIFS a povolit SMB 1.0 pomocí následujících příkazů:
Add-WindowsFeature FS-SMB1
Set-SmbServerConfiguration -EnableSMB1Protocol $ true