SMB o Server Message Block è un protocollo di comunicazione di rete per la condivisione di file, stampanti e vari altri dispositivi. Esistono tre versioni di SMB: SMBv1, SMBv2 e SMBv3. Per motivi di sicurezza, Microsoft consiglia di disabilitare SMB versione 1, poiché è obsoleta e utilizza una tecnologia che ha quasi 30 anni. Per evitare l'infezione da virus ransomware come WannaCrypt, è necessario disabilitare SMB1 e installare gli aggiornamenti per il sistema operativo. Questo protocollo viene utilizzato da Windows 2000, Windows XP, Windows Server 2003 e Windows Server 2003 R2, pertanto l'accesso ai file di rete a queste versioni del sistema operativo non sarà disponibile. Lo stesso vale per alcuni dispositivi NAS, scanner, ecc.
Disconnessione di SMB1 dal pannello di controllo
Start -\u003e Pannello di controllo -\u003e Programmi e funzionalità -\u003e Attiva o disattiva le funzionalità di Windows
Disabilita "Supporto condivisione file SMB 1.0 / CIFS"
Disabilita SMB1 tramite Powershell
Aprire una console Powershell con diritti di amministratore e immettere il comando seguente:
Set-ItemProperty -Path "HKLM: \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters" SMB1 -Type DWORD -Value 0 -Force
Disabilitare SMB1 utilizzando il registro di Windows
È inoltre possibile disabilitare SMBv1 eseguendo regedit.exe e passare alla sezione successiva:
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ ParametersCrea un DWORD in questa sezione SMB1 con significato 0 .
Valori per abilitare e disabilitare SMB1:
- 0 \u003d Disabilitato
- 1 \u003d abilitato
Successivamente, è necessario installare l'aggiornamento MS17-010.L'aggiornamento è stato rilasciato per tutte le versioni di Windows, incluso Windows XP e Windows Server 2003 non più supportati.
E in conclusione, vorrei dire che, nonostante l'antivirus installato e gli aggiornamenti regolari del sistema operativo, se i tuoi dati ti sono cari, devi prima di tutto pensare al backup.
Perché e come disabilitare SMB1 in Windows 10/8/7
Se da Windows 10 non è possibile aprire cartelle di rete su altri dispositivi di rete (NAS, server Samba Linux) o su computer con versioni precedenti di Windows (Windows 7 / XP / 2003), molto probabilmente il problema è legato al fatto che nella nuova versione di Windows 10 supporto disabilitato per versioni obsolete e non sicure del protocollo SMB (utilizzato in Windows per accedere a cartelle e file di rete condivisi). Quindi, a partire da Windows 10 1709, il protocollo SMBv1 e l'accesso anonimo (guest) alle cartelle di rete utilizzando il protocollo SMBv2 sono stati disabilitati.
Microsoft sta disabilitando sistematicamente le versioni precedenti e non sicure del protocollo SMB in tutte le versioni recenti di Windows. A partire da Windows 10 1709 e Windows Server 2019 (sia in Datacenter che in Standard) nel sistema operativo predefinito (ricordare l'attacco implementato attraverso il foro in SMBv1).
I passaggi specifici da eseguire dipendono dall'errore che appare in Windows 10 quando si accede a una cartella condivisa e dalle impostazioni del server SMB remoto che archivia le cartelle condivise.
Non è possibile ottenere l'accesso degli ospiti a una cartella condivisa senza autenticazione
A partire da Windows 10 versione 1709 (Fall Creators Update) Enterprise and Education, gli utenti hanno iniziato a lamentarsi del fatto che quando si tentava di aprire una cartella di rete su un computer vicino, è comparso un errore:
Non è possibile accedere a questa cartella condivisa perché le politiche di sicurezza dell'organizzazione bloccano l'accesso guest non autenticato. Queste politiche aiutano a proteggere il computer da dispositivi non sicuri o dannosi sulla rete. Si è verificato un errore durante la riconnessione di Y: a \\\\ nas1 \\ condividi Rete Microsoft Windows: non puoi accedere a questa cartella condivisa perché le politiche di sicurezza della tua organizzazione bloccano l'accesso ospite non autenticato. Queste politiche aiutano a proteggere il PC da dispositivi non sicuri o dannosi sulla rete.
Allo stesso tempo, su altri computer con versioni precedenti di Windows 8.1 / 7 o su Windows 10 con build fino al 1709, le stesse directory di rete si aprono normalmente. Questo problema è dovuto al fatto che nelle versioni moderne di Windows 10 (a partire dal 1709), per impostazione predefinita, l'accesso al network alle cartelle di rete con un account guest è negato usando il protocollo SMBv2 (e inferiore). Accesso ospite (anonimo) significa accesso a una cartella di rete senza autenticazione. Quando si accede con un account guest tramite il protocollo SMBv1 / v2, i metodi di protezione del traffico come la firma SMB e non vengono applicati, il che rende la sessione vulnerabile agli attacchi MiTM (man-in-the-middle).
Quando si tenta di aprire una cartella di rete in un guest utilizzando il protocollo SMB2, viene registrato un errore nel registro client SMB (Microsoft-Windows-SMBClient):
Origine: Microsoft-Windows-SMBClient ID evento: 31017 Rifiuto un accesso guest non sicuro.
Nella maggior parte dei casi, questo problema può verificarsi quando si utilizzano versioni precedenti di NAS (in genere, per semplicità di configurazione, includono l'accesso guest) o quando si accede alle cartelle di rete su versioni precedenti di Windows 7/2008 R2 o Windows XP / 2003 con accesso configurato (guest) ( vedere diverse versioni di Windows).
In questo caso, Microsoft consiglia di modificare le impostazioni sul computer remoto o sul dispositivo NAS che condivide le cartelle di rete. Si consiglia di passare la risorsa di rete in modalità SMBv3. E se è supportato solo SMBv2, configurare l'accesso di autenticazione. Questo è il modo più corretto e più sicuro per risolvere il problema.
A seconda del dispositivo su cui sono archiviate le cartelle di rete, è necessario disabilitare l'accesso degli ospiti su di esse.
Esiste un altro modo: modificare le impostazioni del client SMB e consentire l'accesso da esso alle cartelle di rete con un account ospite.
Per consentire l'accesso degli ospiti dal tuo computer, apri l'Editor criteri di gruppo (gpedit.msc) e vai alla sezione: Configurazione computer -\u003e Modelli amministrativi -\u003e Rete -\u003e Lanman Workstation ( Configurazione computer -\u003e Modelli amministrativi -\u003e Rete -\u003e Lanman Workstation) Abilita politica Abilita accessi guest non sicuri.
Coloro. il messaggio di errore mostra chiaramente che la cartella di rete supporta solo il protocollo di accesso SMBv1. In questo caso, dovresti provare a riconfigurare il dispositivo SMB remoto per supportare almeno SMBv2 (percorso corretto e sicuro).
Se le cartelle di rete sono condivise da Samba su Linux, è possibile specificare la versione SMB minima supportata nel file smb.conf in questo modo:
Protocollo min server \u003d protocollo max client SMB2_10 \u003d protocollo min client SMB3 \u003d SMB2_10 crittografa password \u003d true limit anonimo \u003d 2
Su Windows 7 / Windows Server 2008 R2, è possibile disabilitare SMBv1 e consentire a SMBv2 in questo modo:
Set-ItemProperty -Path "HKLM: \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters" SMB1 -Type DWORD -Value 0 -Force
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $ true
Se il dispositivo di rete (NAS, Windows XP, Windows Server 2003) supporta solo il protocollo SMB1, in Windows 10 è possibile abilitare il componente client-protocollo SMB1 separato. Ma questo non è raccomandato !!!
Avviare la console di PowerShell e verificare che SMB1Protocol-Client sia disabilitato (Stato: disabilitato):
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Abilita supporto protocollo SMBv1 (riavvio richiesto):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Puoi anche abilitare / disabilitare componenti aggiuntivi di Windows 10 (incluso SMBv1) da optionalfeatures.exe -\u003e Supporto per la condivisione di file SMB 1.0 / CIFS
In Windows 10 1709 e versioni successive, il client SMBv1 viene rimosso automaticamente se non viene utilizzato per più di 15 giorni (la rimozione automatica SMB 1.0 / CIFS è responsabile di ciò).
In questo esempio, ho abilitato solo il client SMBv1. Non abilitare il componente SMB1Protocol-Server a meno che i client legacy non utilizzino il computer come server per l'archiviazione di cartelle condivise.
Dopo aver installato il client SMBv1, è necessario connettersi a una cartella di rete o una stampante senza problemi. Tuttavia, si dovrebbe comprendere che questa soluzione alternativa non è consigliata perché mette a rischio il tuo sistema.
annotazione
Questo articolo descrive le procedure per abilitare e disabilitare Server Message Block (SMB) versione 1, SMB versione 2 (SMBv2) e SMB versione 3 (SMBv3) nei componenti client e server SMB.
Avvertimento. Non è consigliabile disabilitare SMB v2 o 3. La disabilitazione di SMB v2 o 3 dovrebbe essere solo una misura temporanea di risoluzione dei problemi. Non lasciare la versione SMB 2 o 3 disabilitata.
Su Windows 7 e Windows Server 2008 R2, la disabilitazione della versione 2 di SMB disabiliterà la seguente funzionalità.
- Combinazione di richieste, che consente di inviare più richieste SMB 2 come singola richiesta di rete.
- Volumi di lettura e scrittura elevati per ottimizzare reti veloci.
- Proprietà di memorizzazione nella cache di file e cartelle in cui i client salvano copie locali di file e cartelle.
- Descrittori a lungo termine per riconnettersi in modo trasparente al server in caso di disconnessione temporanea.
- Firme dei messaggi migliorate in cui l'algoritmo di hashing HMAC SHA-256 sostituisce MD5.
- Ridimensionamento migliorato per la condivisione di file (aumento significativo del numero di utenti, condivisioni e file aperti per server).
- Supporto per collegamenti simbolici.
- Un modello di leasing soft-client da client a client che limita la quantità di dati trasferiti tra il client e il server per migliorare le prestazioni delle reti ad alta latenza e aumentare la scalabilità del server SMB.
- Ampio supporto MTU per il pieno utilizzo di 10 Gigabit Ethernet.
- Consumo energetico ridotto: i client con file aperti sul server possono essere in modalità sospensione.
- Failover trasparente, in cui i client eseguono il failover dei nodi del cluster durante la manutenzione o l'interruzione senza interruzioni.
- Ridimensionamento: con l'accesso simultaneo ai dati condivisi su tutti i nodi del cluster.
- Il multicanale fornisce l'aggregazione della larghezza di banda dei collegamenti di rete e la resilienza della rete attraverso i vari collegamenti disponibili tra client e server.
- SMB Direct: fornisce supporto per reti RDMA per prestazioni molto elevate, bassa latenza e basso utilizzo della CPU.
- Crittografia: fornisce la crittografia end-to-end dei dati e li protegge da intercettazioni su reti non attendibili.
- Il leasing di directory riduce i tempi di risposta delle applicazioni nelle filiali attraverso la memorizzazione nella cache.
- Ottimizza le prestazioni di operazioni di lettura e scrittura casuali di piccoli dati.
Informazioni aggiuntive
Come abilitare e disabilitare i protocolli SMB su un server SMB
Windows 8 e Windows Server 2012
Windows 8 e Windows Server 2012 hanno introdotto il nuovo cmdlet Set-SMBServerConfiguration di Windows PowerShell. Consente di abilitare o disabilitare le versioni 1, 2 e 3 SMB sul server.Appunti. Quando si abilita o disabilita la versione 2 di SMB in Windows 8 o Windows Server 2012, viene abilitata o disabilitata anche la versione 3 di SMB, a causa dello stack comune utilizzato per questi protocolli.
Dopo aver eseguito il cmdlet
- Per ottenere lo stato corrente della configurazione del protocollo del server SMB, eseguire il cmdlet seguente:
Get-SmbServerConfiguration | Selezionare EnableSMB1Protocol, EnableSMB2Protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
Set-SmbServerConfiguration -EnableSMB2Protocol $ false
Set-SmbServerConfiguration -EnableSMB1Protocol $ true
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008
Per abilitare o disabilitare i protocolli SMB su un server SMB Windows 7, Windows Server 2008 R2, Windows Vista o Windows Server 2008, utilizzare Windows PowerShell o l'Editor del Registro di sistema.Windows PowerShell 2.0 o successivo PowerShell
- Per disabilitare il protocollo SMB versione 1 su un server SMB, eseguire il cmdlet seguente:
Set-ItemProperty -Path "HKLM: \\ SYSTEM \\ CurrentControlSet \\ Serv ices \\ LanmanServer \\ Parameters" SMB1 -Type DWORD -Value 0 -Force
- Per disabilitare le versioni SMB 2 e 3 sul server SMB, eseguire il cmdlet seguente:
Set-ItemProperty -Path "HKLM: \\ SYSTEM \\ CurrentControlSet \\ Serv ices \\ LanmanServer \\ Parameters" SMB2 -Type DWORD -Value 0 -Force
- Per abilitare il protocollo SMB versione 1 sul server SMB, eseguire il cmdlet seguente:
Set-ItemProperty -Path "HKLM: \\ SYSTEM \\ CurrentControlSet \\ Serv ices \\ LanmanServer \\ Parameters" SMB1 -Type DWORD -Value 1 -Force
- Per abilitare le versioni SMB 2 e 3 sul server SMB, eseguire il cmdlet seguente:
Set-ItemProperty -Path "HKLM: \\ SYSTEM \\ CurrentControlSet \\ Serv ices \\ LanmanServer \\ Parameters" SMB2 -Type DWORD -Value 1 -Force
Editor del registro
Attenzione! Questo articolo contiene informazioni sulla modifica del registro. Si consiglia di eseguire il backup del registro prima di apportare modifiche. e scopri come recuperarlo in caso di problemi. Per ulteriori informazioni sul backup, il ripristino e la modifica del registro, consultare il seguente articolo della Microsoft Knowledge Base.Per abilitare o disabilitare il protocollo SMB versione 1 sul server SMB, configurare la seguente chiave di registro:Sottochiave del registro: Voce del registro: SMB1
REG_DWORD: 0 \u003d disabilitato
REG_DWORD: 1 \u003d abilitato
Predefinito: 1 \u003d Abilitato
Sottochiave del registro: HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControl Set \\ Services \\ LanmanServer \\ ParametersVoce del registro: SMB2
REG_DWORD: 0 \u003d disabilitato
REG_DWORD: 1 \u003d abilitato
Predefinito: 1 \u003d Abilitato
sc.exe config lanmanworkstation dipende \u003d bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start \u003d disabilitato
- Per abilitare il protocollo SMB versione 1 su un client SMB, eseguire i comandi seguenti:
sc.exe config mrxsmb10 start \u003d auto
- Per disabilitare i protocolli SMB versione 2 e 3 sul client SMB, eseguire i comandi seguenti:
sc.exe config lanmanworkstation dipende \u003d bowser / mrxsmb10 / nsi
sc.exe config mrxsmb20 start \u003d disabilitato
- Per abilitare i protocolli SMB versione 2 e 3 su un client SMB, eseguire i comandi seguenti:
sc.exe config lanmanworkstation dipende \u003d bowser / mrxsmb10 / mrxsmb20 / nsi
sc.exe config mrxsmb20 start \u003d auto
- Questi comandi devono essere immessi a un prompt dei comandi con privilegi elevati.
- Dopo aver apportato queste modifiche, è necessario riavviare il computer.
Recenti attacchi di virus su larga scala si sono diffusi utilizzando buchi e difetti nel vecchio protocollo SMB1. Per una ragione minore, il sistema operativo Windows gli consente ancora di funzionare per impostazione predefinita. Questa vecchia versione del protocollo viene utilizzata per la condivisione di file su una rete locale. Le sue versioni più recenti 2 e 3 sono più sicure e dovrebbero essere abilitate. Dal momento che stai utilizzando un nuovo sistema operativo numerato 10 o il precedente - 8 o anche quello obsoleto - 7, devi disabilitare questo protocollo sul tuo PC.
È incluso solo perché alcuni utenti utilizzano ancora vecchie applicazioni che non sono state aggiornate in tempo per funzionare con SMB2 o SMB3. Microsoft ha compilato un elenco di essi. Trovalo e visualizzalo su Internet, se necessario.
Se mantieni tutti i tuoi programmi installati sul tuo computer in buone condizioni (aggiornamento puntuale), molto probabilmente dovrai disabilitare questo protocollo. In questo modo, aumenta la sicurezza del tuo sistema operativo e dei dati riservati di un passo. A proposito, anche gli specialisti della stessa società raccomandano di spegnerlo, se necessario.
Sei pronto per apportare modifiche? Quindi continuiamo.
SMB1
Apri il Pannello di controllo, vai alla sezione "Programmi" e seleziona la sottosezione "Attiva / disattiva funzionalità di Windows".
Nell'elenco, trova l'opzione "Supporto per la condivisione di file SMB 1.0 / CIFS", deseleziona e fai clic su "OK".
Riavvia il sistema operativo, avendo precedentemente salvato tutti i file precedentemente modificati, come documenti, ecc.
PER WINDOWS 7
È qui che ti aiuterà a modificare il registro. È un potente strumento del sistema e, se vengono inseriti dati errati, può portare a un funzionamento instabile del sistema operativo. Usalo con cautela, assicurati di eseguirne il backup prima di farlo.
Apri l'editor premendo la combinazione di tasti Win + R sulla tastiera e digitando "regedit" nel campo di inserimento. Quindi seguire il percorso successivo:
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters
creare un nuovo DWORD a 32 bit e denominarlo "SMB1" con il valore "0". Riavvia il tuo sistema.
Attenzione! Questi metodi funzionano per disabilitare il protocollo su un solo PC, ma non sull'intera rete. Fare riferimento alla documentazione ufficiale di Microsoft per le informazioni a cui si è interessati.
Nella finestra di dialogoNuove proprietà del registroseleziona quanto segue:
- Atto:Creare un
- cespuglio: HKEY_LOCAL_MACHINE
- Percorso della sezione:SYSTEM \\ CurrentControlSet \\ Services \\ Lanman Server \\ Parameters
- Nome del parametro:SMB1
- Tipo di valore: REG_DWORD.
- Valore: 0
Ciò disabiliterà i componenti del server SMB versione 1. Questo criterio di gruppo deve essere applicato a tutte le workstation, i server e i controller di dominio richiesti nel dominio.
Nota. Filtri WMI può anche essere configurato per escludere sistemi operativi non supportati o esclusioni selezionate come Windows XP.
Attenzione!Prestare attenzione quando si apportano modifiche ai controller in cui sistemi legacy come Windows XP o successivi Linux o sistemi di terze parti(che non supportano SMB versione 2 o SMB versione 3) richiede l'accesso a SYSVOL o ad altre cartelle condivise in cui SMB versione 1 è stata disabilitata.
Disabilitare il client SMB versione 1 con Criteri di gruppo
Per disabilitare il client SMB versione 1, la chiave di servizio della chiave del Registro di sistema deve essere aggiornata per disabilitare l'avvio di MRxSMB10, quindi la dipendenza in MRxSMB10 deve essere rimossa dalla voce LanmanWorkstation in modo che possa essere avviata in modo standard senza richiedere MRxSMB10 al primo avvio.
Questo aggiornamento sostituisce i valori predefiniti nelle seguenti due voci di registro
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControl Set \\ services \\ mrxsmb10
Parametro: Start REG_DWORD: 4 \u003d disabilitato
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControl Set \\ Services \\ LanmanWorkstation
Parametro: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20", "NSI"
Nota. Contiene MRxSMB10 per impostazione predefinita, che è attualmente deprecato come dipendenza
Per configurare utilizzando Criteri di gruppo:
- Aperto Console di gestione dei criteri di gruppo. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo (GPO) che dovrebbe contenere il nuovo elemento preferito, quindi fare clic su Modifica.
- Nella struttura della console sotto Configurazione del computerespandere la cartella Impostazioni, quindi espandere la cartella Impostazioni di Windows.
- Fare clic con il tasto destro del mouse sul nodo Registro, fare clic su Nuovo e selezionare Voce registro.
Nella finestra di dialogo Nuove proprietà del registro seleziona quanto segue:
- Azione: aggiornamento
- Bush: HKEY_LOCAL_MACHINE
- Percorso partizione: SYSTEM \\ CurrentControlSet \\ services \\ mrxsmb 10
- Nome parametro: Start
- Tipo di valore: REG_DWORD.
- Valore dati: 4
Quindi rimuovere la dipendenza in MRxSMB10 che era disabilitata
Nella finestra di dialogo Nuove proprietà del registro seleziona quanto segue:
- Azione: sostituire
- Bush: HKEY_LOCAL_MACHINE
- Percorso chiave: SYSTEM \\ CurrentControlSet \\ Services \\ Lanman Workstation
- Nome parametro: DependOnService
- Tipo di parametro REG_MULTI_SZ
- Valore dei dati:
- Bowser
- MRxSmb20
Nota. Queste tre linee non avranno marcatori (vedi sotto)
I valori predefiniti contengono MRxSMB10 in un gran numero di versioni di Windows, quindi sostituendoli con una stringa multivalore rimuoverà MRxSMB10 come dipendenza per LanmanServer e passerà dai quattro valori predefiniti solo ai tre descritti sopra.
Nota. Quando si utilizza la Console di gestione dei criteri di gruppo, non è necessario utilizzare virgolette o virgole. Basta inserire ogni record su una riga separata come sopra
Riavvio richiesto:
Dopo aver applicato la politica e inserito le impostazioni del registro, SMB versione 1 verrà disabilitata dopo il riavvio del sistema.
annotazione
Se tutte le impostazioni si trovano nello stesso oggetto Criteri di gruppo (GPO), Gestione criteri di gruppo visualizzerà le impostazioni seguenti.
Test e validazione
Una volta configurato, concedere l'autorizzazione al criterio per replicare e aggiornare. Poiché ciò è necessario per il test, eseguire gpupdate / force dalla riga CMD.EXE e quindi controllare i computer di destinazione per assicurarsi che le impostazioni del registro vengano applicate correttamente. Assicurarsi che SMB versione 2 e SMB versione 3 funzionino per tutti i sistemi nel proprio ambiente.
Attenzione! Ricorda di riavviare i sistemi di destinazione.
