Как в Windows 11 включить или отключить функцию сжатия SMB

19 окт в 09:34 7.7K imageПосле обновления до Windows 11 многие пользователи столкнулись с тем, что настройки общего доступа сбросились и другие ПК в локальной сети стали не видны. Это же касается и тех юзеров, кто произвел чистую установку новой ОС, но в этом случае сетевое обнаружение отключено по умолчанию.  В этой статье я покажу вам, как включить общий доступ, найти компьютеры, подключиться к ним и открыть конкретные папки в Windows 11. Также вы узнаете, какую настройку нужно изменить, чтобы пользователи без паролей тоже могли подключаться к компьютерам и получать доступ к директориям. Включение общего доступа в Windows 11 Я потратил много времени на то, чтобы понять, добавили ли Microsoft функции для настройки общего доступа в «Параметры». Если в «десятке» в этом меню хоть была кнопка, запускающая требуемое окно «Панели управления», в новой версии системы и ее нет, поэтому включение общего доступа все еще осуществляется не самым удобным образом – через раздел в «Панели управления». Откройте меню «Пуск» и через поиск отыщите «Панель управления», после чего запустите данное приложение.image В нем вас интересует раздел с названием «Центр управления сетями и общим доступом». На панели слева нажмите по ссылке «Изменить дополнительные параметры общего доступа». Автоматически откроется список настроек для текущего профиля (то есть типа сети, к которой вы подключены). Остается только включить сетевое обнаружение и предоставить общий доступ к файлам и принтерам, что осуществляется путем установки галочек напротив соответствующих пунктов. Если надо, разверните другие профили и произведите для них те же настройки. Они одинаковы как для частной сети, так и гостевой или общедоступной. Учитывайте, что такие действия вы должны выполнить на всех компьютерах в сети, активировав сетевое обнаружение и предоставив доступ к папкам. Обязательно перезагрузите их, после чего переходите к следующему разделу статьи. Поиск компьютеров и папок в сети В плане работы с сетью в Windows 11 не появилось ничего нового, конечно, если не брать в расчет небольшие изменения самого Проводника. Поэтому обнаружение компьютеров и директорий не станет чем-то сложным. Сначала откройте окно «Этот компьютер» и разверните список «Сеть», если желаете увидеть доступные ПК. Клик по устройству отвечает за подключение к нему, что поможет просмотреть общие директории и скопировать необходимые файлы. Для авторизации понадобится ввести собственные учетные данные, включая пароль от профиля. Если имя и/или пароль указаны неправильно, появится список с другими вариантами. Вы можете использовать уже сохраненные на этом ПК данные или выполнить вход через другой аккаунт. При переходе непосредственно по пути «Сеть» вы видите список доступных устройств, включая собственное. Имена ПК соответствуют их названиям в операционной системе. Общие папки отобразятся на экране только после подключения к конкретному компьютеру. Создание папки с общим доступом в Windows 11 По умолчанию общей считается только одна стандартная папка в Windows 11, поэтому все остальные директории нужно настроить, открыв доступ для других участников сети. В этом нет ничего сложного, поэтому вы можете сразу приступить к созданию новой папки или редактированию параметров уже существующей. Нажмите по каталогу правой кнопкой мыши из появившегося меню выберите пункт «Свойства». Перейдите на вкладку «Доступ». Как видно, сейчас для папки нет сетевого пути и общего доступа, поэтому нужно нажать соответствующую кнопку для настройки. Предоставьте необходимым пользователям должный уровень разрешений и щелкните по «Поделиться». Если юзер отсутствует в списке, его необходимо добавить самостоятельно, введя имя в поле выше. Вы увидите информацию о том, что папка открыта для общего доступа. На этом настройка считается завершенной. Отключение защиты от пользователей без паролей Далеко не все юзеры создают пароль для входа в систему, из-за чего и не получается авторизоваться в сетевом компьютере для получения доступа к директориям. В таком случае можно задать для профиля пароль или изменить настройку безопасности. Если с первым способом все понятно, то вот параметры безопасности устанавливаются следующим образом: Запустите приложение «Локальная политика безопасности», отыскав его через «Пуск». Разверните «Локальные политики» и щелкните по папке «Параметры безопасности». Вас интересует строка «Учетные записи: разрешить использование пустых паролей только при консольном входе». Отключите эту настройку, чтобы снять ограничения. После этого подключиться к вашему ПК смогут и те юзеры, у кого нет защиты локальной учетной записи. Если после перезагрузки компьютера вы обнаружили, что настройка снова сбита, убедитесь в том, что текущая учетная запись имеет права администратора. Соответственно, изменить параметр использования пустых паролей нужно и на других ПК в сети, если вы хотите подключаться к ним, не имея при этом ключа защиты. Вместо заключения Прошло слишком мало времени для вынесения окончательного вердикта, но пока видно, что в Windows 11 нет ничего нового в плане настройки и управления общим доступом. Пользователи все так же могут сталкиваться с непонятными проблемами, которые решаются сами собой после перезагрузки ПК или повторного включения сетевого обнаружения. Если у вас тоже возникли проблемы в данной области, не стесняйтесь задавать вопросы в комментариях. Я оперативно отвечу на них, по возможности предоставив решение ситуации. Виктор Бухтеев +693

Одним из самых последних изменений в Windows 11 стало изменение поведения протокола сжатия SMB, позволяющего уменьшать размер передаваемых пользователем, администратором или приложениями файлов по сети и тем самым ускорять передачу данных. Сжатие SMB применялось в операционной системе и раньше, но при этом сжимались не все отправляемые файлы, а только те из них, которые имеют определенный размер.

При отправке файла по сети алгоритм сжимал первые 524 288 000 байт, после чего проверял, сжаты ли 104 857 600 байт в пределах диапазона 500 Мб. Если да, сжатие продолжалось, если нет — алгоритм останавливал работу. Начиная же с Windows 11 22449 сжиматься при включенной функции SMB будут все файлы без исключения. Чтобы активировать сжатие SMB в Windows 11 прямо сейчас, нужно применить твик реестра.

Откройте командой regedit редактор реестра и разверните эту ветку:

HKLMSystemCurrentControlSetServicesLanManWorkstationparameters

В правой колонке создайте новый параметр типа DWORD,

назовите его EnableCompressedTraffic и установите в качестве его значения 1.

Этот твик включает сжатие SMB с алгоритмом принятия решения, то есть компонент SMB всегда будет делать запрос на сжатие.

Если же вы хотите, чтобы все файлы сжимались по умолчанию, создайте в том же разделе реестра DWORD-параметр CompressibilitySamplingSize и установите в качестве его значения 4294967295 в десятичной системе счисления.

Здесь же создайте еще один DWORD-параметр CompressibleThreshold со значением .

Для полного отключения сжатия SMB создаем DWORD-параметр DisableCompression со значением 1. Этот же параметр с этим же значением нужно будет также создать в ключе HKLMSystemCurrentControlSetServicesLanManServerparameters.

Более подробные сведения о сжатии SMB и его использовании можно получить на официальной странице компании docs.microsoft.com/ru-ru/windows-server/storage/file-server/smb-compression.

Монтирование SMB не что иное как подключение сетевой папки WIndows в Linux. SMB (Server Message Block) — сетевой протокол удаленного доступа к сетевым ресурсам (файлы, папки, принтеры и т.п.). В первой версии протокола был известен также как CIFS (Common Internet File System). Протоком SMB повсеместно используется во всех ОС Microsoft Windows.

В современных дистрибутивах Linux уже можно совершенной спокойно путешествовать по сетевым дискам. Но куда удобнее если смонтировать сетевой диск сразу в папку, да еще и на рабочем столе, красота. Я создал папку с общим доступом на сервере Hyper-V, её и буду монтировать. Монтирование SMB буду делать под специально заведенным пользователем, дабы не светить пароль админа.

Монтируемая папка

Монтируемая директория доступна только администраторам и пользователю smb (создан специально для монтирования). Сделать общую папку на сервере Windows можно двумя способами: 1 — через свойства папки; 2 — через Powershell. Через свойства папки проще и быстрее как для новичка.

Но в моем случае с сервером HyperV 2019 сработал только второй способ, через Powershell.

 New-SmbShare -Name "smb_mount" -Path "F:smb_mount" -FullAccess "Administrator", "smb" 

Данной командой я сделал общей папку расположенную по пути F:smb_mount и присвоил ей имя smb_mount. Права на доступ к папке выдал пользователю Administrator и smb.

Общая папка у меня доступна по пути \hvs19smb_mount, но монтировать я буду ее по ip адресу. Принципиального вопроса как монтировать нет, просто не всегда есть возможность использовать имя.

С монтируемой папкой закончили, создадим папку куда будем монтировать. Я создал папку в /opt и назвал её F (по имени диска где лежит монтируемая папка) для удобства.

 sudo mkdir /opt/F 

Установим набор утилит для монтирования SMB

Для Ubuntu (и прочих Debian`ов)

 sudo apt-get install cifs-utils 

Для Centos 8 (и прочих RPM дистрибутивов на YUM)

 sudo yum install cifs-utils 
Монтирование SMB

Все необходимые папки мы создали, теперь приступим к монтированию файловой системы.

 sudo mount -t cifs -o username=smb,password=пароль //192.168.1.110/smb_mount /opt/F 

Пройдемся по параметрам:

  • -t cifs — тип файловой системы cifs (полностью совместим с SMB)
  • username — пользователь у которого есть доступ к монтируемой папке (на сетевом диске). Если разрешено, можно использовать гостя, без пароля. В таком случае указываем username=guest
  • password — пароль от учетной записи этого пользователя
  • //192.168.1.110/smb_mount — общая папка на сервере которую монтируем
  • /opt/F — папка куда монтируем.

Посмотрим что все получилось, проверим свободное место в сетевой папке

 df -h 

Можно использовать дополнительные возможности при монтировании, используя ключи после параметра -o. Вот некоторые из них

  • rw — запись и чтение
  • ro — только чтение
  • iocharset=utf8 — в данной кодировке будет выводится информация;
  • codepage=cp866 — кодировка используемая на сервере с общей папкой. Обычно Windows устанавливает кодировку cp866.
  • vers=3.0 — принудительно указать версию подключения SMB протокола. Для безопасного подключения используйте последнюю версию.

Используя команду mount мы монтируем папку в ручном режиме и после перезагрузки монтирования не произойдет. Для автоматического монтирования папки читаем следующий раздел.

Автоматическое монтирование SMB

Для постоянного монтирования папке при старте системы необходимо внести изменения в файл /etc/fstab. При монтировании сетевого диска с SMB используется пароль. Для большей сохранности не будем указывать его в файле fstab, а сохраним в директории root.

Создадим файл с учетными данными

 sudo nano /root/.cifsmnt 

Добавим в файл строки: имя пользователя, пароль, домен (если используется). У меня домена нет, поэтому добавлю только имя и пароль

 username=smb password=пароль domain=mydomain 

Откроем файл /etc/fstab для редактирования

 sudo nano /etc/fstab 

Добавим новую строку в конец файла

 //192.168.1.110/smb_mount /opt/F   cifs   user,rw,credentials=/root/.cifsmnt 0 0 

Сохраним файл и перезагрузим компьютер. После этого сетевая папка будет монтироваться автоматически.

Разберем указанные параметры

  • //192.168.1.110 — ip адрес сервера где находится сетевая папка
  • /smb_mount — сетевая папка на указанном выше сервере
  • /opt/F — папка на локальном компьютере куда будем монтировать сетевую папку
  • cifs — тип монтируемой файловой системы
  • user — разрешение монтировать для любого пользователя
  • rw — разрешения на чтение/запись на диск при монтировании
  • credentials — путь к файлу с данными учетной записи используемых для подключения по SMB
  • — не проверять файловую систему при старте программой fsck
Права на папки и файлы

Примонтированный диск по умолчанию монтируется от root и разрешает запись на диск только под ним. Рассмотрим опции позволяющие изменить доступ на примонтированные папки и файлы. Также рассмотрим настройки по смене владельца смонтированной папки.

  • uid — задает владельца каталога. Узнать uid пользователей можно в файле /etc/passwd
  • gid — задает группу владельца каталога. Узнать gid групп можно в файле /etc/passwd
  • file_mode=0777 — права на доступ к файлам. 0777 — разрешено запись/чтение всем.
  • dir_mode=0777 — права на доступ к папкам. 0777 — разрешено запись/чтение всем.

Пример записи в файле /etc/fstab монтирования от моего пользователя (не root) с полным доступом ко всем файлам и папкам

 //192.168.1.110/smb_mount /opt/F   cifs   user,rw,credentials=/root/.cifsmnt,file_mode=0777,dir_mode=0777,uid=1000,gid=1000 0 0 
Размонтирование SMB

Размонтировать сетевую папку SMB можно используя команду umount

 sudo umount /opt/F 

В параметрах команды umount указываем директорию куда была смонтирована сетевая папка. В моем случае это /opt/F

Если смонтированная файловая система сейчас занята, появится сообщение umount: target is busy . В таком случае размонтировать получиться с ключом -l

 umount /opt/F -l 
Решение проблем монтирования

Если по какой либо причине после ваших попыток папка все же не монтируется, необходимо смотреть системный журнал.

 grep "cifs" /var/log/syslog 

В системном журнале будет указана причина ошибки монтирования. Как пример не верный логин/пароль, не установленные утилиты cifs и т.п.

Хотите отблагодарить автора статьи? Это даст ему дополнительный стимул к написанию новых статей.

Поделиться:

Вы, наверное, не раз сталкивались с проблемой, что Ubuntu не видит сеть Windows или Windows не видит сетевую шару Linux. Такая проблема характерна для многих дистрибутивов с окружением Gnome. Ситуация довольно неоднозначная, раньше причиной этому был баг в GVFS, потом появилось ещё несколько осложняющих дело факторов.

Нужно разобраться почему Ubuntu не может увидеть сеть Windows. Начиная с Windows 10 в компании Microsoft решили отказаться от старого протокола SMB1 и использовать только SMB2 и SMB3. Но в этих протоколах нет сетевого обнаружения. Для сетевого обнаружения в Windows теперь используется новый сервис WS-Discovery. В Nautilus для отображения сетевых ресурсов используется либо avahi либо протокол SMB1. Поэтому увидеть шару Windows не получится, не включив обратно устаревший протокол в реестре. Windows по умолчанию шары Samba тоже видеть не будет, потому что новый WS-Discovery в Samba не поддерживается. Ещё в 2015 году были предложены патчи для Samba добавляющие эту функциональность, но разработчики решили, что оно им не нужно. Поэтому если вы хотите чтобы Windows видела Samba, нужно отдельно установить сервис WSDD.

Но это ещё не всё. Начиная с версии Samba 4.11 разработчики решили, что они ничем не хуже Microsoft и отключили по умолчанию поддержку протокола SMB1. Теперь Nautils и Dolphin перестали видеть не только Windows шары, но и Linux тоже. Решается проблема либо установкой на Samba сервер Avahi, либо включением поддержки старого протокола SMB1 на сервере Samba.

Для того чтобы активировать протокол SMB1 в Samba необходимо добавить такие строчки в /etc/samba/smb.conf в секцию global:

server min protocol = NT1 client min protocol = NT1 min protocol = NT1

После этого надо перезапустить Samba.

Хочу обратить ваше внимание, что у меня всё заработало только после того как я перезагрузил и сервер и клиент. Видимо что-то где-то кэшируется.

Имя хоста вашего компьютера, выводимое командой hostname должно совпадать со значением в файле /etc/hosts и со значением параметра netbios name в файле /etc/samba/smb.conf. Например:

Регистр букв не имеет значения.

Если предыдущий способ не поможет, то установка Avahi должна помочь. Samba не будет отображаться в сетях Windows, но зато появится в сетевом окружении в Nautilus. Для установки Avahi выполните:

После этого сервис стоит запустить и добавить в автозагрузку:

Проверить доступные сервисы можно командой:

Среди них должна быть ваша шара, обозначенная как Microsoft Windows Network local.

Сервис WSDD нужен для того чтобы вашу шару было видно из Windows. Можно использовать сервис wsdd2 из этого репозитория. Его надо собрать из исходников, но в этом нет ничего сложного. Сначала склонируйте репозиторий:

Затем перейдите в папку с проектом:

Выполните make для сборки:

Затем установите программу, она только скопирует исполняемый файл и службу systemd в нужные директории:

Осталось запустить службу:

Теперь Windows сможет видеть ваш сервер Samba. Таким образом если всё сделать правильно, то все всех будут видеть.

Убедитесь, что в Windows общий доступ был включён. Если общий доступ отключен, то вы не сможете никак получить доступ к ресурсам. Откройте проводник и перейдите в пункт Сеть. Если сетевой доступ отключён, то система выдаст соответствующее предупреждение:

Кликните по нему чтобы включить общий доступ, затем выберите Включить сетевое обнаружение и общий доступ к файлам.

После этого система ещё раз спросит надо ли разрешить доступ для всех общественных сетей. Ответьте утвердительно:

После этого вы сможете получить доступ к общим ресурсам этого компьютера.

Для того чтобы включить поддержку протокола SMB1 в Windows 10 откройте поиск и наберите Включение компонентов. Затем откройте утилиту Включение и выключение компонентов Windows:

Дальше найдите пункт SMB1.0 CIFS File Sharing Support и установите напротив него галочку:

Затем необходимо перезапустить компьютер:

После этого Ubuntu начнёт видеть вашу шару Windows и вы сможете к ней подключится.

Исходя из выше перечисленного, клиент скорее всего не виноват, но можно попробовать его настроить чтобы быть уверенным точно. Как я уже написал выше Nautilus для подключения и просмотра общих папок Windows и Samba использует виртуальную файловую систему gvfs. А та, в свою очередь использует библиотеку libsmbclient для получения необходимых данных. Поэтому мы можем попытаться исправить ситуацию переопределив некоторые параметры в /etc/samba/smb.conf. Но работает это далеко не всегда.

Если файловый сервер Samba у вас не установлен, то его надо установить для того чтобы был создан файл /etc/samba/smb.conf с параметрами по умолчанию. Они потом будут использоваться библиотекой libsmbclient и самой утилитой smbclient, которую вы можете применять для тестирования. Для установки выполните:

Проверьте конфигурационный файл Samba на ошибки с помощью такой команды:

По умолчанию используется рабочая группа WORKGROUP. Убедитесь, что ваша рабочая группа имеет именно это имя, также убедитесь, что в /etc/samba/smb.conf задано правильное имя рабочей группы в параметре workgroup:

workgroup = WORKGROUP

В современных системах Windows для общего доступа к папкам используется файловая система CIFS, использующая современные версии протоколов SMB2 и SMB3. Эти протоколы не поддерживают обзор доступных общих папок так, как это ожидает получить Nautilus. Для того чтобы всё работало надо использовать старый протокол NT1. Чтобы его включить добавьте параметр client max protocol после параметра workgroup:

client max protocol = NT1

После этого сохраните изменения и перезагрузите компьютер и проверьте.

Неверный порядок разрешения сетевых имен тоже может стать проблемой. Чтобы исправить его найдите в smb.conf параметр и приведите его к такому виду:

name resolve order = bcast lmhosts host wins

Здесь первым используется bcast, широковещательные сообщения, которые рассылаются по вашей локальной сети и ищут компьютеры с общими папками.

Если в вашем компьютере несколько сетевых интерфейсов, возможно smbclient пытается использовать не тот интерфейс. Чтобы посмотреть список интерфейсов используйте команду:

Затем найдите в /etc/samba/smb.conf параметр interface и замените в его значении eth0 на имя вашего интерфейса, который обеспечивает связь с нужной локальной сетью. Например на enp0s8:

interfaces = 127.0.0.0/8 enp0s8

После этого надо перезапустить службы Samba:

Если сеть Windows всё ещё не работает, вы можете попытаться отлаживать GVFS чтобы понять где именно возникает проблема и в чём её суть. Для этого надо завершить текущий сервер GVFS и запустить свой в терминале с включённой опцией отладки. Для этого выполните:

GVFS_DEBUG=all GVFS_SMB_DEBUG=10 $(find /usr/lib* -name gvfsd 2>/dev/null) --replace 2>&1 | tee gvfsd.log

Затем откройте Nautils и войдите в сетевое окружение, сеть Windows. При этом в терминале будут выводится сообщения об ошибках работы службы. Вы можете использовать эти сообщения чтобы искать информацию в Google или попросить помощи на форумах.

Баг в GVFS, о котором я писал выше наблюдался для Samba версии 4.8 и ниже. Если сервер поддерживает протокол более высокого уровня, то клиент пытается использовать этот протокол, например SMB2 или SMB3, но на этих протоколах не работает отображение доступных ресурсов. Если у вас именно эта проблема, то для полного решения придется ждать обновления или использовать обходное решение описанное ниже.

Даже если у вас не работает обнаружение сетевых ресурсов Windows, вы все ещё можете подключится к нужному компьютеру и получить с него файлы. Откройте пункт Другие места на левой панели Nautilus. Внизу окна вы увидите надпись Подключится к серверу введите smb://адрес_сервера в поле слева и нажмите Enter:

После этого система предложит ввести имя пользователя и пароль для доступа к общему ресурсу. Этот пользователь должен реально существовать на машине, к которой вы собираетесь подключится.

Введите пароль и вы увидите доступные общие папки:

Если всё будет сделано правильно то Linux увидит вашу шару Windows или Samba:

–> Главная » windows 7 » Как включить smbv1 в windows 7

Как отключить поддержку по протоколу SMBv1 в windows 7, 8, 10?

SMBv1 является устаревшим протоколом, который подвергается атакам вирусов вымогателей, например, WannaCry. Рассмотрим, как отключить протокол SMBv1 в windows и полностью его заблокировать.

Зачем нужна поддержка SMBv1 в windows

SMBv1 это устаревший протокол обмена файлами, которому уже приблизительно 30 лет. В связи с чем может быть использоваться различными видами вирусов, как калитка, предоставляющая доступ к нашему компьютеру. Нашумевшим подтверждением этому является вирус вымогатель WannaCry, который заразил десятки тысяч операционных систем, зашифровал на них файлы и требовал оплату за расшифровку данных.

Проблемы можно было избежать, если бы протокол был выключен на компьютере. И все-таки, стоит его отключить. Несмотря на то, что Майкрософт выпустил патчи для устранения уязвимости даже для старых систем, неизвестно что через некоторое время не появится еще одна итерация вируса WannaCry, который использует дырявый протокол SMBv1 иным образом. Рассмотрим, как полностью отключить протокол в windows XP, 7, 8, 8.1 и 10?

Выключение SMBv1 в windows 7, Server 2008, Server 2008 R2

Откройте меню Пуск, а затем с помощью поисковой системы найдите программу PowerShell. В списке результатов поиска кликните на нее правой кнопкой мыши и выберите «запуск от имени администратора».

В окне PowerShell введите следующую команду для отключения SMBv1:

Set-ItemProperty -Path «HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters» SMB2 -Type DWORD -Value 0 -Force

После выполнения команды перезапустите windows. Таким образом можно блокировать проникновение вирусов полностью отключив поддержку smbv1.

Выключение SMBv1 в windows 8 и выше

Зайдите в Панель управления, а затем в «Программы – Удаление Программ». Откроется список программ, установленных в системе. В левом меню кликните на кнопку «Включение или отключение компонентов windows».

Отобразится окно, в котором у нас появляется возможность управлять отдельными функциями windows. Здесь нужно найти SMBv1 и отключить его.

image

Поддержка общего доступа к файлам SMB1.0/CIFS

По умолчанию напротив этой записи установлен флажок, это означает, что функция активирована. Снимите его и нажмите на ОК, чтобы ее отключить.

Появится индикатор хода выключения функции. Затем нажмите на кнопку «Перезагрузка», чтобы завершить отключение через перезапуск компьютера. После перезагрузки протокол будет полностью отключен.

Дополнительная блокировка портов с помощью Брандмауэра

Если хотите обезопасить себя еще больше хорошей идеей является блокирование портов, которые использует SMBv1. Это 445 TCP и 137-139 UDP. Их можно легко отключить с помощью встроенного в систему Брандмауэра.

С помощью системного поиска в меню Пуск найдите инструмент «Брандмауэр windows». В окне брандмауэра кликните правой кнопкой мыши на поле «Правила для входящих подключений» и выберите пункт «Новое правило».

Здесь укажите тип «Port» и нажмите «Далее». В следующем шаге нужно указать тип. Выберите «TCP», а затем в поле «Определенные локальные порты» введите 445.

Нажмите на кнопку «Далее». В следующем окне нужно выбрать действие с указанным портом. Установите флажок «Блокировать подключение».

Нажмите «Далее» и все остальные настройки оставьте без изменений. На последнем шаге введите название для созданного правила – например, «Блокировка 445» и нажмите «Готово».

Созданное правило будет блокировать порт 445. Теперь создайте правило для блокировки UDP-портов в диапазоне 137-139. Все сделайте точно также только тип укажите UDP, а поле «Определенные локальные порты» введите 137-139.

Таким образом, созданы два правила, которые блокируют соединение по портам и тем самым вирусные атаки, проникающие через этот протокол.

InstComputer.ru

Почему и как необходимо отключить SMB1 в windows 10/8/7

SMB или Server Message Block это протокол обмена по сети, предназначенный для совместного использования файлов, принтеров и других различных устройств. Существует три версии SMB – SMBv1, SMBv2 и SMBv3. Из соображений безопасности Microsoft рекомендует отключить SMB версии 1, так как он устарел и использует технологию, которой почти 30 лет.  Чтобы избежать заражения вирусами-вымогателями типа WannaCrypt нужно отключить SMB1 и установить обновления для операционной системы. Этот протокол используется windows 2000, windows XP, windows Server 2003 и windows Server 2003 R2 – поэтому сетевой файловый доступ к данным версиям ОС будет не доступен. Тоже самое относится к некоторым  сетевым хранилищам, сканерам и т.п.

Отключение SMB1 из Панели управления

Пуск -> Панель управления -> Программы и компоненты -> Включение и отключение компонентов windows

image

Отключаем ‘Поддержка общего доступа к файлам SMB 1.0/CIFS’

Отключение SMB1 через Powershell

Откройте консоль Powershell с правами администратора и введите следующую команду:

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Type DWORD -Value 0 –Force

Отключить SMB1 с помощью реестра windows

Также можно отключить SMBv1 запустив regedit.exe и перейдя к следующему разделу:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

Создайте в этом разделе DWORD SMB1  со значением 0.

Значения для включения и отключения SMB1:

  • 0 = Выключено
  • 1 = Включено

После этого необходимо установить обновление MS17-010. Обновление вышло подо все версии windows, включая не поддерживаемые больше windows XP и windows Server 2003.

И в заключении хочется сказать, что, не смотря на установленный антивирус и регулярные обновления операционной системы, если Вам дороги ваши данные, необходимо в первую очередь думать о резервном копировании.

admin812.ru

Поддержка SMB 1.0 в windows Server 2012 R2

В windows Server 2012 R2 была представлена новая версия протокола SMB 3 (технически это SMB 3.02, т.к. версия SMB 3.0 появлялась еще в windows Server 2012), а драйвер устаревшего протокола SMB 1.0 теперь по-умолчанию отключен и его компоненты не загружаются. Вследствие отсутствия поддержки SMB 1.0 устаревшие (windows XP, Server 2003 и ) и совместимые клиенты (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, старые версии Linux) не смогут получить доступ к файлам, расположенным файловом сервере  под управлением windows 2012 R2.

Различные версии протокола SMB появлялись в следующих версиях windows:

  • CIFS – windows NT 4.0
  • SMB 1.0 — windows 2000
  • SMB 2.0 — windows Server 2008 и WIndows Vista SP1
  • SMB 2.1 — windows Server 2008 R2 и windows 7
  • SMB 3.0 — windows Server 2012 и windows 8
  • SMB 3.02 — windows Server 2012 R2 и windows 8.1

При сетевом взаимодействии по SMB между клиентом и сервером используется максимальная версия протокола, поддерживаемая одновременно клиентом и сервером.

Сводная таблица о совместимости версии SMB на стороне клиента и сервера выглядит так:

Операционная система windows 8.1, Server 2012 R2 windows 8, Server 2012 windows 7, Server 2008 R2 windows Vista, Server 2008 windows XP, Server 2003 и ниже
windows 8.1 , Server 2012 R2 SMB 3.02 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
windows 8 , Server 2012 SMB 3.0 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
windows 7, Server 2008 R2 SMB 2.1 SMB 2.1 SMB 2.1 SMB 2.0 SMB 1.0
windows Vista, Server 2008 SMB 2.0 SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
windows XP, 2003 и ниже SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0

Так, например, при подключении клиентского компьютера с windows 7 к файловому серверу с windows Server 2012 будет использоваться протокол SMB 2.1

Согласно таблице windows XP, windows Server 2003 для доступа к общим файлам и папкам могут использовать только SMB 1.0, который по-умолчанию в windows Server 2012 R2 отключен.  Таким образом, если в вашей инфраструктуре одновременно оказались машины с windows XP (снятой с поддержки), windows Server 2003 / R2 и сервера с windows Server 2012 R2 нужно понимать, что устаревшие клиенты не смогут получить доступ к файлам и папкам на файловом сервере с новой ОС. А в том случае, если в windows 2012 R2 используется в качестве контроллера домена, то это означает, что клиенты на windows XP / Server 2003 не смогут выполнить логон скрипты (NETLOGON) и некоторые групповые политики, хранящиеся в сетевых папках на контроллерах домена (например, при использовании централизованного хранилища adm-шаблонов). На клиентах при попытке подключится к ресурсу на файловом сервере появляется ошибка

The specified network name is no longer available

Если посмотреть набор установленных по-умолчанию фич windows Server 2012 R2, среди них можно заметить установленную функцию с именем SMB 1.0/CIFS File Sharing Support. При установке данной роли в системе появляется служба Обозревателя компьютеров (Computer Browser), но сам драйвер SMB 1.0 не активен. image

Совет. Если в сети не требуется поддерживать старую версию SMB для компьютеров с windows XP или windows Server 2003, этот функционал с целью уменьшения нагрузки на систему и  повышений безопасности можно отключить командой

В windows Server 2012  по-умолчанию загружаются драйверы как SMB 1, так и SMB 2. Чтобы удостоверится в этом, откроем свойства системной службы Server (LanmanServer) и на вкладке Dependencies убедимся, что на сервере одновременно работают драйвера Server SMB 1.xxx Driver и  SMB 2.xxx Driver.

image

Если открыть свойства этой же службы на windows 2012 R2 мы увидим, что драйвер, обеспечивающий поддержку SMB 1.0, отсутствует и исключен из зависимостей. image

Чтобы восстановить доступ клиентов XP / 2003 по SMB к файловым серверам / контроллерам домена на windows Server 2012 R2 можно активировать поддержку SMB 1 через реестр.

Чтобы включить поддержку SMB 1.0 на windows Server 2012 R2 откройте редактор реестра,  перейдите в ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer и измените значение параметра DependOnService с SamSS Srv2 на SamSS Srv. image

После этого сервер нужно перезагрузить и убедится, что драйвер SMB 1.0 вновь работает. image

Эту операцию нужно выполнить на всех файловых серверах и контроллерах домена, к которым подключаются старые версии ОС.

winitpro.ru

Закрываемся от массированной атаки вирусом-шифровальщиком Wana decrypt0r 2.0 » MS windows » Блог полезных статей о разработке и раскрутке сайтов

image

Начиная с 12 мая 2017 года началась массированная атака вируса-вымогателя “Wana decrypt0r 2.0″. Если вы работаете на операционной системе windows — сохраните важные данные на внешний накопитель, а лучше в облако и не в одно. Атаки производятся на разные сети, которые совершенно никак не связанных между собой.

Как отключить брешь в безопасности без обновления от Microsoft

Уязвимость можно прикрыть несколькими способами отключив поддержку протокола SMBv1.

Панель управления -> Установка и удаление программ -> Включение или отключение компонентов windows -> Отключить то, где упоминается SMB.

или выполните следующую команду в командной строке если ваша версии windows выше 8:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

или

  1. Заходим в центр управления сетями и общим доступом
  2. Заходим в свойства сетевого адаптера и убираем галочки напротив строчек
    • “Клиент для сетей Microsoft”
    • “Служба доступа к файлам и принтерам сетей Microsoft”
  3. Заходим в “изменить дополнительные параметры общего доступа” и везде ставим отключить.
  4. Все! Протокол SMB отключён.

Еще для перестраховки можно добавить правила блокировки портов виндоус-фаервол:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=”Block_virus_TCP-135″ netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=”Block_virus_TCP-445″

Как уберечь себя от вируса Wana decrypt0r 2.0?

Еще в марте 2017 года компания Microsoft выпустила заплатку в накопительном обновлении безопасности – ее нужно обязательно установить! Она закрывает уязвимость, через которую проникает шифровальщик. Вирус эксплуатирует уязвимость в протоколе SMBv1 (доступ к компьютеру из сети).

Ссылки на официальные патчи (MS17-010) с сайта микрософт

windows 10 x64 windows 10 x86 windows 8.1 x64 windows 8.1 x86 windows 7 x64 SP1 windows 7 x86 SP1 windows Server 2008 R2 x64 windows Server 2008 x64 windows Server 2008 x86 windows Vista x64 Edition SP 2 windows Vista x86 SP 2 windows Server 2003 x64 windows Server 2003 x86 windows XP SP3 windows XP SP2 x64

Уязвимости поддаются все известные версии ОС windows – это от XP до windows 10 и все серверные решения начиная от windows Server 2000.

Обязательно используйте антивирус (желательно проверенный временем и с позитивной репутацией), а еще лучше – фаервол. Регулярно обновляйте антивирусные базы и вашу ОС.

Если вы заметили подозрительное поведение своего ПК (торможение, постоянно работает винчестер) просмотрите в процессах нет ли файла с именем @[email protected] или tasksche.exe.

Если вы уже подверглись вирусу и он зашифровал ваши файлы, готовьтесь морально к их потере. Пока не существует дешифратора, но специалисты уже работают над его созданием. Надеемся, что в ближайшее время он обязательно появится.

Вирус также имеет и другие названия: WCry, WannaCry, Wanna decrypt0r, WannaCrypt0r и WannaCrypt.

Уже найден набор эксплоитов, который, якобы, был украден у АНБ. Название инструмента для эксплуатации этой уязвимости – FuzzBunch. Еще одна плохая новость в том, что в этом наборе есть DoublePulsar, который эксплуатирует уязвимость системы если открыт 445 порт, внедряя через него вредоносный код прямо в память ОС. По этому, обязательно, следуйте рекомендациям изложенным в этом посте.

artkiev.com

Как отключить протокол SMB

Эта документация перемещена в архив и не поддерживается.

SQL Server 2008

  • SQL Server 2008 R2
  • SQL Server 2005

На серверах в демилитаризованной зоне сети необходимо отключить все ненужные протоколы, в том числе протокол SMB. Веб-серверам и DNS-серверам не нужен протокол SMB. Этот протокол необходимо отключить, чтобы противостоять угрозе сбора сведений о пользователях.

  1. В меню Пуск выберите Настройки и щелкните Сетевые подключения.

    Щелкните правой кнопкой мыши подключение к Интернету и выберите пункт Свойства.

  2. Установите флажок Клиент для сетей Microsoft и нажмите кнопку Удалить.

  3. Выполните шаги для удаления.

  4. Выберите Службу доступа к файлам и принтерам сетей Microsoft и нажмите кнопку Удалить.

  5. Выполните шаги для удаления.

  • В окне «Подключение по локальной сети — свойства» используйте диалоговое окно Свойства: Протокол Интернета (TCP/IP), чтобы удалить компоненты Совместный доступ к файлам и принтерам сетей Microsoft и Клиент для сетей Microsoft.

technet.microsoft.com

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий