U sustavu Windows Server 2012 R2 predstavljena je nova verzija SMB 3 protokola (tehnički gledano, ovo SMB 3.02, jer SMB verzija 3.0 pojavila se još u Windows Server 2012) i naslijeđeni upravljački program protokola SMB 1.0 Sada možete onemogućiti i blokirati učitavanje njegovih komponenata. Zbog nedostatka podrške za SMB 1.0, naslijeđeni (Windows XP, Server 2003) i kompatibilni klijenti (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, starije verzije Linuxa) neće moći pristupiti datotekama koje se nalaze na datotečnom poslužitelju sa sustavom Windows 2012 R2 / 2016.
sadržaj:
- Verzije Windows SMB protokola
- O opasnosti upotrebe SMB1
- SMB 1.0 protokol u sustavu Windows Server 2012 R2
- SMB 1.0 protokol u sustavu Windows Server 2016
Verzije Windows SMB protokola
SMB (Blok za poruke poslužitelja, koji se ponekad naziva i LAN-Manager) mrežni je protokol za daljinski pristup datotekama, pisačima i drugim uslugama. Za povezivanje koristi se TCP port 445. Različite verzije SMB protokola pojavile su se u sljedećim verzijama sustava Windows:
- CIFS - Windows NT 4.0
- SMB 1.0 - Windows 2000
- SMB 2.0 - Windows Server 2008 i WIndows Vista SP1
- SMB 2.1 - Windows Server 2008 R2 i Windows 7
- SMB 3.0 - Windows Server 2012 i Windows 8 (podrška za SMB enkripciju)
- SMB 3.02 - Windows Server 2012 R2 i Windows 8.1
- SMB 3.1.1 - Windows Server 2016 i Windows 10
Za mrežnu komunikaciju pomoću SMB protokola između klijenta i poslužitelja koristi se maksimalna inačica protokola koju podržavaju i klijent i poslužitelj..
Ispod je tabela sažetka pomoću koje možete odrediti verziju SMB protokola koja je odabrana prilikom interakcije s različitim verzijama sustava Windows:
Operativni sustav | Osvoji 10, Server 2016 | Windows 8.1, Poslužitelj 2012 R2 | Windows 8, Poslužitelj 2012 | Windows 7, Poslužitelj 2008 R2 | Windows Vista, Poslužitelj 2008 | Windows XP, Server 2003 i noviji |
Windows 10 , Windows Server 2016 | SMB 3.1.1 | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8.1 , Poslužitelj 2012 R2 | SMB 3.02 | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 8 , Poslužitelj 2012 | SMB 3.0 | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows 7, Poslužitelj 2008 R2 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
Windows Vista, Poslužitelj 2008 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 1.0 |
Windows XP, 2003 i noviji | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 |
Na primjer, prilikom povezivanja klijentskog računala sa sustavom Windows 7 na datotečni poslužitelj sa sustavom Windows Server 2012 R2 koristiće se SMB 2.1 protokol.
vijeće. Možete odrediti verziju SMB protokola po kojem klijent interakciju s poslužiteljem koristi naredba pomoću Powershell:Get-SmbConnection
Za popis verzija SMB protokola koje koriste klijenti i broj klijenata koje upotrebljava određena verzija SMB protokola na strani poslužitelja, pokrenite naredbu:
Get-SmbSession | Select-Object -ExpandProperty Dialect | Sort-Object -Unique
U našem primjeru, 825 klijenata spojeno je na poslužitelj pomoću SMB 2.1 (Win 7/2008 r2) i 12 klijenata putem SMB 3.02 (Win 8.1 / 2012 r2.
Prema tablici sustava Windows XP, Windows Server 2003 može koristiti SMB 1.0 samo za pristup dijeljenim datotekama i mapama na poslužitelju, što može biti onemogućeno u novim verzijama sustava Windows Server (2012 R2 / 2016). Dakle, ako vaša infrastruktura istovremeno koristi računala sa Windows XP (ukinuta), Windows Server 2003 / R2 i poslužitelji s Windows Server 2012 R2 / Server 2016, morate shvatiti da naslijeđeni klijenti neće moći pristupiti datotekama i mapama na datotečni poslužitelj s novim OS-om. A u slučaju da se u sustavu Windows Server 2016/2012 R2 s onemogućenim SMB 1.0 koristi kao kontroler domene, to znači da klijenti na Windows XP / Server 2003 neće moći pokrenuti skripte za prijavu (NETLOGON) i neke grupne politike pohranjene u mrežne mape na kontrolerima domena (na primjer, kada se koristi centralizirana pohrana admx predložaka). Na starijim klijentima prilikom pokušaja povezivanja s resursom na datotečnom poslužitelju s onemogućenim SMB v1 pojavljuje se pogreška:
Navedeno mrežno ime više nije dostupnoO opasnosti upotrebe SMB1
Trenutno je SMB 1.0 protokol zastario i ima veliki broj kritičnih ranjivosti (sjetite se povijesti wannacrypt i petya ransomware virusa koji su koristili ranjivost u SMBv1 protokolu). Microsoft i druge IT kompanije snažno preporučuju odustati od njegove upotrebe.
U slučaju da klijenti sa sustavom Windows XP i Windows Server 2003 ostanu na vašoj mreži, morate ih premjestiti na novije verzije Microsoft OS-a što je prije moguće ili ih pažljivo izolirati..
SMB 1.0 protokol u sustavu Windows Server 2012 R2
Ako otvorite popis komponenti Windows Server 2012 R2, među njima možete vidjeti funkciju nazvanu SMB 1.0 / CIFS file Dijeljenje podrška, koja nije instalirana. Ali sam SMB 1.0 pogonitelj radi. Kad se instalira ova uloga, usluga Preglednik računala (računalo preglednik). Ovo je SMB 1.0 klijent, bez kojeg se neće biti moguće povezati s drugim računalima koja podržavaju samo ovaj protokol s ovog poslužitelja..
vijeće. Ako mreža ne treba podržati staru verziju SMB 1.0 za računala sa sustavom Windows XP ili Windows Server 2003, ova se funkcija može onemogućiti pomoću naredbe za smanjenje opterećenja sustava i povećanje sigurnosti:Ukloni-WindowsFeature FS-SMB1
Zatim u postavkama poslužitelja morate potpuno onemogućiti SMB 1.0 naredbom:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
U sustavu Windows Server 2012 prema zadanim postavkama učitavaju se i upravljački programi SMB 1 i SMB 2. Da biste se uvjerili u to, otvorite svojstva sistemske usluge server (LanmanServer) i tab ovisnosti pobrinite se da upravljački programi istodobno rade na poslužitelju Upravljački program SMB 1.xxx i SMB 2.xxx upravljački program.
Ako otvorimo svojstva usluge LanmanServer na Windows 2012 R2, vidjet ćemo da je upravljački program koji podržava SMB 1.0 isključen iz ovisnosti.
Ali to ne znači da SMB 1.0 pogonitelj ne radi. Možete provjeriti je li SMB 1.0 protokol omogućen na strani poslužitelja naredbom:
Get-SmbServerConfiguration | Odaberite EnableSMB1Protocol
Kao što vidite, SMB1 protokol omogućen je u WS 2012 R2 usprkos nedostatku SMB 1.0 / CIFS datoteke za podršku dijeljenja datoteka i ovisnosti u LanmanServeru.
U slučaju da su naslijeđeni klijenti (XP / Server 2003, itd.) Izgubili SMB pristup poslužiteljima datoteka / kontrolerima domena na Windows Server 2012 R2, možete aktivirati podršku za SMB 1 na sljedeći način. Najprije omogućite protokol u postavkama poslužitelja:
Set-SmbServerConfiguration -EnableSMB1Protocol $ true
Zatim omogućite ovisnosti o protokolu SMB 1.0 u sustavu Windows Server 2012 R2 kroz registar. Idi do podružnice HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer i promijenite vrijednost parametra DependOnService od SamSS Srv2 do SamSS Srv.
Nakon toga poslužitelj se mora ponovno pokrenuti i osigurati da SMB 1.0 pogonitelj ponovno radi.
Ova se operacija mora izvesti na svim poslužiteljima datoteka i kontrolerima domena na koje se spajaju naslijeđene verzije klijenta..
SMB 1.0 protokol u sustavu Windows Server 2016
U sustavu Windows Server 2016 podrška za SMB 1.0 na strani klijenta također je uključena kao zasebna komponenta koja se može naći na popisu čarobnjaka za dodavanje / uklanjanje značajki. Ova komponenta se zove SMB 1.0 / CIFS file Dijeljenje podrška.
Možete onemogućiti podršku za SMB v1 i potpuno ukloniti komponentu pomoću naredbi:
Ukloni-WindowsFeature FS-SMB1
sc.exe config lanmanworkstation ovisi = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = onemogućen
Počevši od Windows Server 2016 1709 (i Windows 10 Fall Creators) komponenta SMBv1 (i klijent i poslužitelj) je zadana onesposobljen (pristup gostu putem SMBv2 protokola je također onemogućen). Za pristup starijim sustavima pomoću zastarjele verzije protokola, morate ga zasebno instalirati. Trebate instalirati komponentu podrške za dijeljenje datoteka SMB 1.0 / CIFS i omogućiti SMB 1.0 sa sljedećim naredbama:
Dodavanje-WindowsFeature FS-SMB1
Set-SmbServerConfiguration -EnableSMB1Protocol $ true