0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как отключить или включить протокол SMBv1 в Windows 10/Server 2016

Как отключить или включить протокол SMBv1 в Windows 10/Server 2016?

date28.09.2020
useritpro
directoryWindows 10, Windows Server 2016, Windows Server 2019, Групповые политики
commentsкомментариев 25

По-умолчанию в Windows Server 2016/2019 и Windows 10 (начиная с билда 1709) отключена поддержка сетевого протокола для общего доступа к файлам в сетевых папках Server Message Block 1.0 (SMBv1). Этот протокол в большинстве случаев нужно только для обеспечения работы устаревших систем, например снятых с поддержки Windows XP, Windows Server 2003 и т.д. В этой статье мы рассмотрим, как включить или корректно отключить поддержку клиента и сервера SMBv1 в Windows 10 и Windows Server 2016/2019.

В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно этой таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD) и клиентских станциях.

В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента – SMB клиент и SMB сервер, которые можно включать/отключать отдельно.

Характеристики SMB / CIFS в разных версиях

SMB — это сетевой протокол, который позволяет нам обмениваться файлами, папками и принтерами по локальной сети между различными операционными системами, включая Windows, Linux, MacOS и любую операционную систему Unix, которая включает Samba. Этот протокол находится на уровне приложений, а ниже он использует TCP-порт 445, поэтому передача данных надежна, поскольку в случае возникновения проблемы происходит повторная передача данных. С момента появления SMB / CIFS и до настоящего времени у нас есть несколько версий, которые включают улучшения в работе, а также в безопасности протокола, однако не все серверы, работающие с SMB / CIFS, используют последние версии протокола. , поэтому мы можем столкнуться с неожиданными сбоями при попытке подключиться к локальному SMB-серверу.

Доступ к ресурсам SMB / CIFS может осуществляться посредством аутентификации с помощью локальных пользователей, посредством аутентификации на основе сервера RADIUS или LDAP и, конечно же, посредством аутентификации Active Directory. На уровне конфигурации мы могли бы настроить сервер, чтобы избежать использования нулевых паролей, мы также могли бы создать гостевые учетные записи, которые разрешат доступ к определенным ресурсам без какого-либо типа аутентификации. Другие особенности SMB / CIFS заключаются в том, что мы можем включить поддержку расширенных атрибутов OS / 2 в общем ресурсе, а также сохранить эти атрибуты DOS, если мы используем операционные системы Microsoft. Конечно, мы можем установить маску для создания файлов, а также каталогов, чтобы файлы или папки, которые мы собираемся создать, имели определенные разрешения.

Что касается производительности SMB / CIFS, мы можем включить асинхронный ввод-вывод, чтобы получить лучшую скорость чтения и записи в ресурсах Samba, более того, его можно было использовать только для файлов, размер которых превышает размер, определенный в конфигурации сервера. При настройке сервера SMB / CIFS очень важна используемая версия как на сервере, так и на клиенте. На уровне конфигурации мы можем установить различные параметры, чтобы установить максимальный поддерживаемый протокол уровня сервера, а также минимальный протокол уровня сервера, чтобы обеспечить наилучшую безопасность для клиентов. Например, очень безопасная установка должна поддерживать только протокол SMB3, однако у нас могут быть проблемы с некоторыми клиентами, которые поддерживают только SMB2,

Читайте так же:
Zipeg 2.9.4.1316 — Скачать бесплатно

PME / CIFS версия 1

Первая версия этого протокола родилась в 1983 году и была построена с использованием Microsoft NetBIOS, однако в более поздних версиях NetBIOS больше не использовался. Все более старые версии Microsoft Windows используют протокол SMBv1, однако в более новых версиях Windows 10 и Windows Server протокол SMBv1 не установлен в операционной системе по соображениям безопасности, поскольку этот протокол не работает. не рекомендуется использовать. Например, Windows Server 2016 и более поздние версии и Windows 10 Fall Creators Update не включают эту версию по умолчанию.

Также верно, что некоторые маршрутизаторы все еще используют первую версию протокола на своих серверах SMB / CIFS, в этом случае мало или ничего нельзя сделать, чтобы настроить его с более высокими версиями, так как это зависит от производителя в подавляющем большинстве случаев. . чехол. дело. Например, если у вас есть сторонняя прошивка, такая как OpenWRT или DD-WRT, вы можете отключить этот протокол SMBv1 и включить последние версии, потому что программное обеспечение в прошивке поддерживает его.

PME / CIFS версия 2

Microsoft выпустила версию SMBv2 для Windows Vista в 2006 году и для Windows Server 2008. Хотя этот протокол является частным, вся его спецификация была выпущена, чтобы позволить программам, таким как Samba для Linux и Unix, использовать его и взаимодействовать с различными операционными системами. В противном случае только операционные системы Windows могли обмениваться информацией друг с другом.

SMB2 — это большое изменение по сравнению с первой версией как в работе, так и в безопасности. SMB2 сокращает установление соединения по сравнению с SMB1.0, уменьшая количество команд и подкоманд, кроме того, он позволяет отправлять дополнительные запросы до получения ответа на предыдущий запрос, экономя время и повышая скорость, когда у нас большие задержки в соединениях , или когда мы хотим добиться максимальной производительности. Другими очень важными опциями являются возможность объединения нескольких действий в один запрос, что сокращает объем передаваемой информации. SMB 2.0 объединяет ряд идентификаторов, чтобы избежать повторного подключения с нуля в случае кратковременного сбоя сети, таким образом нам не придется восстанавливать связь.

Эта новая версия SMB 2.0 поддерживает символические ссылки, кэширование, подписывание сообщений с помощью HMAC-SHA256 и лучшую масштабируемость для одновременного использования нескольких пользователей на одном сервере, кроме того, она также помогает увеличить количество общих ресурсов и файлов, открытых сервером. . В то время как SMBv1 использует 16-битный размер данных, а максимальный размер блока составляет 64 КБ, в SMB2 для хранения используется 32- или 64-битный формат, что означает, что в сверхбыстрых сетевых соединениях, таких как гигабитные, мультигигабитные или 10G-сети, передача файлов намного быстрее при отправке очень больших файлов.

В RedesZone мы смогли достичь скорости 1,2 Гбит / с в сети 10G с использованием SMB2, с NAS-сервером QNAP TS-1277 с хранилищем SSD, а на исходном ПК у нас также было хранилище SSD, потому что хранилище Традиционные жесткие диски не поддерживают такие высокие скорости, если мы не используем некоторый RAID из многих дисков.

Windows Vista и Windows Server 2008 и более поздние операционные системы используют SMB2 по умолчанию, однако вы все равно можете встретить SMB1 на некоторых компьютерах, поэтому вам может потребоваться включить его специально для подключения к этим более старым серверам. Наконец, SMB 2.1, представленный в Windows 7 и Windows Server 2008 R2, еще больше повысил производительность за счет нового механизма гибкой блокировки.

Читайте так же:
Как установить шрифты в Фотошоп?

PME / CIFS версия 3

Эта версия SMB 3.0 ранее называлась SMB 2.2, она была представлена ​​в Windows 8 и Windows Server 2012 с некоторыми очень важными новыми изменениями, направленными на добавление новых функций и повышение производительности SMB2 в виртуализированных центрах обработки данных. Некоторые из внесенных изменений заключались в следующем:

  • SMB Direct Protocol: это позволяет использовать SMB для прямого доступа к удаленной памяти RDMA, любой сервер с этой версией включает эту функцию для значительного повышения производительности.
  • Многоканальный SMB: эта функция позволяет нам устанавливать несколько подключений за сеанс SMB, максимально усиливать связь и сжимать локальную сеть, в которой мы запускаем сервер и клиентов.
  • Полностью прозрачный наклон.

Однако наиболее важной функцией является аутентификация пользователя в SMB, теперь она полностью зашифрована, прежде чем она всегда будет выполняться в виде открытого текста, чтобы злоумышленник мог установить сетевой сниффер и захват учетных данных пользователя. Благодаря этому аутентификация выполняется безопасно. Возможность иметь сквозное шифрование с помощью AES также была включена для шифрования или шифрования передачи файлов и папок. Таким образом, с SMB 3.0 у нас есть две возможности конфигурации:

  • Безопасная аутентификация с шифрованием и передачей файлов и папок в незашифрованном виде.
  • Аутентификация и обмен файлами и папками с симметричным шифрованием, это обеспечит нам максимальную безопасность, но производительность может быть снижена.

Если сервер SMB не поддерживает AES-NI в своем процессоре, вполне вероятно, что производительность, которую мы получаем при передаче файлов и папок, действительно низкая, поэтому настоятельно рекомендуется иметь мощный процессор с механизмом аппаратного шифрования. В настоящее время все процессоры с 2015 года используют эту технологию, но вы должны учитывать это в ее технических характеристиках.

Помимо SMB версии 3.0, SMB версии 3.0.2 также был представлен в Windows 8.1 и Windows Server 2012 R2, улучшая функциональность и производительность. Кроме того, в этих операционных системах уже можно отключить SMB версии 1.0 для повышения безопасности, поскольку во время подключения клиенты могут согласовывать, какой протокол SMB использовать.

Наконец, Microsoft представила SMB версии 3.1.1 в Windows 10 и Windows Server 2016 и более поздних версиях. Эта новая версия включает симметричное шифрование AES-128-GCM для обеспечения максимальной безопасности и наилучшей производительности чтения и записи, у нас также есть возможность настроить режим шифрования CCM. В дополнение к этому, он реализует предварительную проверку целостности с использованием хэша SHA2-512, одного из самых безопасных на сегодняшний день. Наконец, эта версия SMB 3.1.1 заставляет согласовывать клиентов, использующих SMB 2.0 или выше, с безопасностью, то есть аутентификацией с шифрованием.

Как отключить протокол SMBv1 в Windows 8, 8.1 и 10

Итак, вот как отключить протокол SMBv1 в Windows 8, 8.1 и 10:

  1. Откройте «Панель управления» (где находится панель управления)
  2. Перейдите в «Программы»
  3. Нажмите на ссылку «Включение или отключение компонентов Windows»
  4. Прокрутите список вниз и найдите опцию «Поддержка общего доступа к файлам SMB 1.0 / CIFS». Снимите галочку с чекбоксов, чтобы отключить эту функцию, и нажмите «ОК».
Читайте так же:
Функция автозамены в Microsoft Word – как ее настроить и использовать

отключение smbv1 windows 10

После внесения изменений потребуется перезагрузка компьютера.

Включение SMB2

Сначала давайте проверим статус SMBv2. Для это откройте «PowerShell» с правами админа, нажав ПКМ по кнопке «Пуск».

SMB Windows 10: настройка и как включить SMB1 и SMB2

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Если вы видите значение «True», то значит протокол работает. Если стоит значение «False», то включить параметр можно также с помощью команды:

Set-SmbServerConfiguration -EnableSMB2Protocol $true

ПРИМЕЧАНИЕ! Таким же образом можно включить или выключить SMB1 – просто замените в команде одну цифру (2 на 1).

Далее кликаем по «Y» и на «Enter», чтобы подтвердить свои действия. Если же вы хотите отключить SMB2, то вместо «true» ставим «false». В конце не забываем перезагрузить систему.

Почему и как необходимо отключить SMB1 в Windows 10/8/7

SMB или Server Message Block это протокол обмена по сети, предназначенный для совместного использования файлов, принтеров и других различных устройств. Существует три версии SMB – SMBv1, SMBv2 и SMBv3. Из соображений безопасности Microsoft рекомендует отключить SMB версии 1, так как он устарел и использует технологию, которой почти 30 лет. Чтобы избежать заражения вирусами-вымогателями типа WannaCrypt нужно отключить SMB1 и установить обновления для операционной системы. Этот протокол используется Windows 2000, Windows XP, Windows Server 2003 и Windows Server 2003 R2 – поэтому сетевой файловый доступ к данным версиям ОС будет не доступен. Тоже самое относится к некоторым сетевым хранилищам, сканерам и т.п.

Отключение SMB1 из Панели управления

Пуск -> Панель управления -> Программы и компоненты -> Включение и отключение компонентов Windows

Отключаем ‘Поддержка общего доступа к файлам SMB 1.0/CIFS’

Отключение SMB1 через Powershell

Откройте консоль Powershell с правами администратора и введите следующую команду:

Отключить SMB1 с помощью реестра Windows

Также можно отключить SMBv1 запустив regedit.exe и перейдя к следующему разделу:

Создайте в этом разделе DWORD SMB1 со значением .

Значения для включения и отключения SMB1:

  • = Выключено
  • 1 = Включено

После этого необходимо установить обновление MS17-010. Обновление вышло подо все версии Windows, включая не поддерживаемые больше Windows XP и Windows Server 2003.

И в заключении хочется сказать, что, не смотря на установленный антивирус и регулярные обновления операционной системы, если Вам дороги ваши данные, необходимо в первую очередь думать о резервном копировании.

arbayten

киски с собаками по этому поводу все цапались, но киски утверждали, что смогли совместить mimo и bf (только они выделяли под bf отдельную антенну, например, в рамках 4×4:3), все это называлось clientlink, было implicit и считалось, что может работать почти с любыми клиентами (т.к. не требовало с их стороны никакой поддержки), однако, даже при таком раскладе некоторые исследования продакшн-сайтов показывали, что может быть существенное ухудшение клиентских линков при включении этой фичи.

для mu-mimo, видимо, научили железки демодулировать в рамках bf и mimo (оно и понятно, раз одновременно нескольким).

Giga KN-1010, глюки WiFi

разве что к практическому смыслу Beamforming

когда-то давно приходилось выбирать: либо BF либо MIMO в плане > 1SS, возможно, с тех пор ничего не изменилось на chip-based

Блокировка сайтов по домену.

Опубликовано: 23 января, 2018 · Изменено 23 января, 2018 пользователем arbayten
+1

Читайте так же:
Ошибка VIDEO_TDR_FAILURE Windows 10 — как исправить

Как говорится назло Майкрософту

эм, вам шашечки или ехать? простых способов хватает (+1).

Разные сайты через разные подключения (Интерфейсы).

основное «ограничение» для пользователя при этом подходе: все же разные домены на одном ip, сервинг в рамках cdn — со временем это может чувствоваться все больше и больше, пользователь должен понимать, что перенаправлению подвергнется все, что разрешается на один и тот же ip независимо от имени.

Разные сайты через разные подключения (Интерфейсы).

Мне кажется, там оно рассмотрено с точки зрения сесурити-составляющей, а не для роутинга, т.к. конкретно для этого, по сути, проблемы из пальца.

Ну а так, да, видимо и не надо никому, увы.

не, там PBR (ну и по списку слева можно слегка пробежаться и посмотреть что еще хотелось бы) на базе ACL, к которому в свою очередь прикручен резолв FQDN . source-based routing вроде как упоминался в планах @ndm так что м.б. нечто подобное и получите.

Разные сайты через разные подключения (Интерфейсы).

  • Спасибо1

2.11 — жуткие потери пакетов по Wi-Fi с техники Apple

техника Apple. iPhone, MacBook

запоминаем канал на 5ГГц, отключаем вифи на афоне, согласно видео проверяем теорию насколько успешно маки нативно захватывают 802.11ac в т.ч. в 80МГц: устанавливаем нужный захват согласно видео, запускаем, включаем вифи на афоне, репродуцируем жуткую потерю пакетов, согласно видео получаем .wcap или тп., выкладываем дамп в облако, ссылку на него сюда, иначе бесполезно.

2.11 — жуткие потери пакетов по Wi-Fi с техники Apple

как минимум бим-форминг

как максимум он тоже неале

2.11 — жуткие потери пакетов по Wi-Fi с техники Apple

гит — не показатель, работа кипит в другом месте

может, тогда из другого места и запитать а-ля:

2.11 — жуткие потери пакетов по Wi-Fi с техники Apple

наверное, еще не изобрели робота, который мог бы собирать прошивку на основе конкретных milestone/release с гита. работа кипит.

Ограничение скорости для группы устройств

сказать канальному уровню прости прощай (сетевого обнаружения не будет)

в целом, реально, тут вряд ли

Включить SMB23 в Windows 10

сети нет!
Как поправить?

А как именно «сети нет»?

В W10 PS под админом что выдает на Get-SmbClientConfiguration ?

Если права не настроены, то м.б. поможет (но это не айс):
Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

Или же все заходит, но не видит в окружении, бо NBT при откидывании копыт, а WS-D заново не изобрели?

Это же придется копать в сторону реанимации для нужных интерфейсов (можно под консолью):
wmic nicconfig get caption,index,TcpipNetbiosOptions

— смотреть где TcpipNetbiosOptions 0 или 2, а если 0, то могут прилетать по DHCP, а там пес его знает по конфликтам, может, проще закопать пока теплое?
wmic nicconfig where index=число_в_столбике_индекса_нужного_интерфейса call SetTcpipNetbios 2

— ну или напалмом из серии:
wmic /interactive:off nicconfig where TcpipNetbiosOptions=0 call SetTcpipNetbios 2

— и потом как-нибудь проверить / удобно включить WS-D, чтобы наверняка:

sc.exe config fdPHost start= delayed-auto
sc.exe config FDResPub start= delayed-auto

— и заодно прочекать network discovery для соответствующего профиля.

  • Лайк1

Падение физ. скорости 2.10 на АС Ultra II

Честно говоря не понял какой вывод я должен был сделать))

теоретические ограничения для tcp-соединения при rtt в 400 ms при желании наполнить среднюю эффективность 802.11ac в 867Mbps, нижний bottleneck для одного если хоть что-то будет негативно влиять на receive window auto-tuning, а там под капотом еще много всего, например: Get-SmbClientConfiguration, netsh int tcp show global итд. что поддается выпестованию со стороны W.

Читайте так же:
25 советов как ускорить Windows XP.

в целом вывод такой:

124e84a94e69c34033ac9d691cea62aa.png

Падение физ. скорости 2.10 на АС Ultra II

до 400мс до кинетика

Включить SMB23 в Windows 10

Опубликовано: 8 декабря, 2017 · Изменено 8 декабря, 2017 пользователем arbayten

Вы о чем, в текущем релизе 2.11 ответ роутера

если есть подозрение на аффилированность, то всегда стоит проверять самому, т.к. даже дамп могут подменить и удобно, например, сюда выложить в том же триале, особенно, когда терзает нелогичность некоторых моментов; и так понятно почти все; отвлеченно: чем больше репортов и способов диагностики — тем лучше для того самого молчаливого читателя (а такие существуют, наверное).

Все примочки только на SMB3

SMBv2:
Request compounding — allows for sending multiple SMB 2 requests as a single network request;
Larger reads and writes — better use of faster networks;
Caching of folder and file properties — clients keep local copies of folders and files;
Durable handles — allow for connection to transparently reconnect to the server if there is a temporary disconnection;
Improved message signing — HMAC SHA-256 replaces MD5 as hashing algorithm;
Improved scalability for file sharing — number of users, shares, and open files per server greatly increased;
Support for symbolic links;
Client oplock leasing model — limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability;
Large MTU support — for full use of 10-gigabye (GB) Ethernet;
Improved energy efficiency — clients that have open files to a server can sleep.

SMBv3:
Transparent Failover — clients reconnect without interruption to cluster nodes during maintenance or failover;
Scale Out – concurrent access to shared data on all file cluster nodes;
Multichannel — aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server;
SMB Direct – adds RDMA networking support for very high performance, with low latency and low CPU utilization;
Encryption – Provides end-to-end encryption and protects from eavesdropping on untrustworthy networks;
Directory Leasing — Improves application response times in branch offices through caching;
Performance Optimizations — optimizations for small random read/write I/O.

-> фишек достаточно и для 2й и 3й (по сравнению с 1й) . а тот же мультичэннел в разных вкусах есть.

По моему и так уж максимум выжимают по отзывам (текущим) что есть при SMB fastpath

а nqe тогда уже обновили? мне вот интересно: ndm — как network direct memory? т.е. можно было бы предположить, что крутятся некие проприетарные дрова (которые и разрабатываются), которые все стараются разгружать при входе на конкретное железо по нужным местам большей частью в обход ядра лунохода (молодцы, т.к. большой труд, да и косяки понятны); с другой стороны, много стрелок на винду, т.к. *овно, — непонятно, а иногда даже начинаешь сомневаться, что проприетарные дрова, большой труд итп.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector