Ako ne možete otvoriti mrežne mape na drugim mrežnim uređajima (NAS, Samba Linux poslužitelj) ili na računalima sa starijim verzijama sustava Windows (Windows 7 / XP / 2003) iz sustava Windows 10, vjerovatno je problem u tome što je vaša nova verzija sustava Windows 10 onemogućena podrška za zastarjele i nesigurne verzije SMB protokola (koristi se u sustavu Windows za pristup zajedničkim mrežnim mapama i datotekama). Dakle, počevši od Windowsa 10 1709, SMBv1 protokol i anonimni (gost) pristup mrežnim mapama putem SMBv2 protokola bili su onemogućeni..
Microsoft sustavno onemogućuje stare i nesigurne verzije SMB protokola u svim novijim verzijama sustava Windows. Počevši od Windowsa 10 1709 i Windows Server 2019 (oba u izdanjima Datacenter i Standard) SMBv1 protokol je deaktiviran prema zadanim postavkama u operativnom sustavu (sjetite se napada WannaCry ransomwarea koji je implementiran kroz rupu u SMBv1).Konkretne radnje koje treba poduzeti ovise o pogrešci koja se pojavljuje u sustavu Windows 10 prilikom pristupa zajedničkoj mapi i postavkama udaljenog SMB poslužitelja na kojem su pohranjene zajedničke mape..
sadržaj:
- Ne možete pristupiti mapi gostiju bez autentifikacije
- Vaš sustav treba koristiti SMB2 ili noviju verziju.
Ne možete pristupiti mapi gostiju bez autentifikacije
Počevši od Windows 10 verzije 1709 (Fall Creators Update) Enterprise i Education, korisnici su se počeli žaliti da su se prilikom pokušaja otvaranja mrežne mape na računalu u blizini pojavile pogreške:
Ne možete pristupiti toj zajedničkoj mapi jer sigurnosna pravila vaše organizacije blokiraju pristup gostima bez autentifikacije. Ova pravila pomažu u zaštiti vašeg računala od nesigurnih ili zlonamjernih uređaja na mreži..
Došlo je do pogreške prilikom ponovnog povezivanja Y: na \\ nas1 \ share Microsoft Windows Network: Ne možete pristupiti toj zajedničkoj mapi jer sigurnosna pravila vaše organizacije blokiraju neovlašteni pristup gostu. Ova pravila pomažu u zaštiti vašeg računala od nesigurnih ili zlonamjernih uređaja na mreži.
Nadalje, na ostalim računalima sa starim verzijama sustava Windows 8.1 / 7 ili na sustavu Windows 10 s nadogradnjom do 1709. Iste te mrežne mape se normalno otvaraju. Ovaj problem nastaje zbog činjenice da je u modernim verzijama Windowsa 10 (počevši od 1709) mrežni pristup mrežnim mapama pod računom gostiju pomoću protokola SMBv2 (i niže) zabranjeno. Gost (anonimni) pristup znači pristup mrežnoj mapi bez provjere autentičnosti. Prilikom pristupa gostujućem računu pomoću protokola SMBv1 / v2, metode zaštite prometa poput SMB potpisivanja i šifriranja se ne primjenjuju, što čini vašu sesiju ranjivom na MiTM (man-in-the-mid) napade.
Kada pokušavate otvoriti mrežnu mapu ispod gosta pomoću SMB2 protokola, u dnevniku SMB klijenta (Microsoft-Windows-SMBClient) bilježi se pogreška:
Izvor: Microsoft-Windows-SMBClient ID događaja: 31017 Odbacio je nesigurnu prijavu za goste.
U većini slučajeva ovaj se problem može susresti kada se koriste starije verzije NAS-a (obično radi lakše konfiguracije, uključuju pristup gostu) ili kada pristupaju mrežnim mapama na starijim verzijama sustava Windows 7/2008 R2 ili Windows XP / 2003 s konfiguriranim anonimnim (gostujućim) pristupom (pogledajte tablicu podržanih SMB verzija u različitim verzijama sustava Windows).
U ovom slučaju, Microsoft preporučuje promjenu postavki na udaljenom računalu ili NAS uređaju koji distribuira mrežne mape. Preporučljivo je mrežni resurs prebaciti u način SMBv3. A ako je podržan samo SMBv2 protokol, konfigurirajte pristup autentifikacijom. To je najbolji i najsigurniji način otklanjanja problema..
Ovisno o uređaju na kojem su pohranjene mrežne mape, morate onemogućiti pristup gostima na njima.
- NAS uređaj - onemogućiti pristup gostu u postavkama vašeg NAS uređaja (ovisno o modelu);
- Samba server na Linuxu - ako distribuirate SMB direktorij s Linuxom, morate dodati redak u [globalni] odjeljak konfiguracijske datoteke smb.conf:
karta za goste = nikad
A u odjeljku s opisom mrežne mape zabranite anonimni pristup:gost ok = ne - U prozorima Možete omogućiti dijeljenje mrežnih mapa i pisača uz zaštitu lozinkom u odjeljku Upravljačka ploča \ Sve stavke upravljačke ploče \ Centar za mrežu i dijeljenje \ Napredne postavke dijeljenja. Za sve mreže u odjeljku "Dijeljenje zaštićeno lozinkom" promijenite vrijednost u "Omogući dijeljenje lozinke”(Uključite dijeljenje zaštićeno lozinkom). U tom će slučaju anonimni (gost) pristup mapama biti onemogućen i morat ćete stvoriti lokalne korisnike, pružiti im pristup mrežnim mapama i pisačima i koristiti te račune za povezivanje s zajedničkim mapama na ovom računalu.
Postoji još jedan način - da promijenite postavke svog SMB klijenta i omogućite mu pristup mrežnim mapama pod računom gostiju.
Ovu metodu treba koristiti samo kao privremenu (!!!), jer pristup mapama bez autentifikacije značajno smanjuje razinu sigurnosti vaših podataka.Da biste omogućili gostu pristup s računala, otvorite uređivač pravila grupe (gpedit.msc) i idite na odjeljak: Konfiguracija računala -> Administrativni predlošci -> Mreža -> Lanman Workstation (Konfiguracija računala -> Administrativni predlošci -> Mreža -> Lanman Workstation). Omogući politiku Omogući nesigurne prijave gosta.
U sustavu Windows 10 Home, koji nema lokalni GPO editor, možete ručno izvršiti sličnu promjenu putem uređivača registra:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parametri "AllowInsecureGuestAuth" = dword: 1
Ili s ovom naredbom:
reg dodaj HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parameters / v AllowInsecureGuestAuth / t reg_dword / d 00000001 / f
Vaš sustav treba koristiti SMB2 ili noviju verziju.
Drugi mogući problem prilikom pristupa mrežnoj mapi iz sustava Windows 10 jest podrška samo na SMBv1 protokolu sa strane poslužitelja. jer SMBv1 klijent je onemogućen u sustavu Windows 10 1709 prema zadanim postavkama, kada pokušate otvoriti kuglu, može doći do pogreške:
Ne možete se povezati s zajedničkom mapom jer nije sigurna. Ova zajednička mapa koristi zastarjeli protokol SMB1, koji nije siguran i može dovesti vaš sustav u opasnost od napada. Vaš sustav treba koristiti SMB2 ili noviju verziju..
Ne možete se povezati s dijeljenjem datoteke jer nije siguran. Za ovaj udio potreban je zastarjeli protokol SMB1, koji nije opasan i mogao bi izložiti vaš sustav napadu. Vaš sustav zahtijeva SMB2 ili noviji.
U ovom slučaju, susjedni SMB uređaji se možda neće prikazivati u umreženom okruženju i može se pojaviti greška 0x80070035 prilikom otvaranja puta kroz UNC.
tj poruka o pogrešci jasno pokazuje da mrežna mapa podržava samo SMBv1 pristupni protokol. U tom slučaju morate pokušati ponovno konfigurirati udaljeni SMB uređaj tako da podržava barem SMBv2 (ispravan i siguran način).
Ako Samba distribuira mrežne mape na Linuxu, možete specificirati minimalno podržanu verziju SMB-a u datoteci smb.conf poput ove:
[globalni] min min protokol poslužitelja = SMB2_10 klijent max protokol = SMB3 klijent min protokol = SMB2_10 šifriranje lozinke = istinsko ograničenje anonimno = 2
U sustavu Windows 7 / Windows Server 2008 R2 možete onemogućiti SMBv1 i omogućiti SMBv2 na ovaj način:Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -tip DWORD -Value 0 -Force
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -tip DWORD -Value 1 -Force
U sustavu Windows 8.1 onemogućite SMBv1, omogućite SMBv2 i SMBv3 i provjerite koristi li se privatni ili domenski profil za vašu mrežnu vezu:
Onemogući-WindowsOtionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Ako vaš mrežni uređaj (NAS, Windows XP, Windows Server 2003) podržava samo SMB1 protokol, u sustavu Windows 10 možete omogućiti zasebnu komponentu SMB1Protocol-Client. Ali to se ne preporučuje.!!!
Pokrenite PowerShell konzolu i provjerite je li SMB1Protocol-Client onemogućen (Država: onemogućeno):
Get-WindowsOptionsFeature -Online -FeatureName SMB1Protocol-klijent
Omogućite podršku za SMBv1 protokol (potrebno je ponovno pokretanje):
Omogući-WindowsOtionalFeature -Online -FeatureName SMB1Protocol-klijent
Također možete omogućiti / onemogućiti dodatne komponente sustava Windows 10 (uključujući SMBv1) s izbornika optionalfeatures.exe-> Podrška za dijeljenje datoteka SMB 1.0 / CIFS
U sustavu Windows 10 1709 i noviji SMBv1 klijent automatski se briše ako se ne koristi duže od 15 dana (komponenta automatskog uklanjanja SMB 1.0 / CIFS odgovorna je za to).
U ovom primjeru omogućio sam samo SMBv1 klijent. Nemojte omogućiti komponentu SMB1Protocol-Server ako vaše naslijeđe klijente ne upotrebljava kao poslužitelj za pohranu javnih mapa.Nakon što instalirate SMBv1 klijent, trebali biste se bez problema povezati s mrežnom mapom ili pisačem. Međutim, trebate shvatiti da se uporaba ovog načina rješavanja ne preporučuje, jer ugrožava vaš sustav.
