Πλοήγηση μεταξύ συσκευών SMBv1 και SMBv2/SMBv3 στα Windows
Το πρωτόκολλο Server Message Block (SMB) επιτρέπει στις συσκευές Windows να μοιράζονται αρχεία, εκτυπωτές και άλλους πόρους μέσω ενός δικτύου. Ωστόσο, η SMB έχει περάσει από πολλές εκδόσεις όλα αυτά τα χρόνια, οι οποίες μπορεί να προκαλέσουν προβλήματα συμβατότητας κατά τη σύνδεση παλαιότερων και νεότερων συσκευών. Συγκεκριμένα, η παρωχημένη έκδοση SMB 1 (SMBv1) εξακολουθεί να χρησιμοποιείται από παλαιού τύπου συστήματα όπως τα Windows XP, ενώ οι σύγχρονες εκδόσεις όπως τα Windows 10 βασίζονται στα πιο ασφαλή SMBv2 και SMBv3.
Η προσπάθεια σύνδεσης μιας συσκευής SMBv1 σε μια συσκευή που χρησιμοποιεί SMBv2/v3 συχνά οδηγεί σε σφάλματα σχετικά με μη υποστηριζόμενα ή μη ασφαλή πρωτόκολλα. Σε αυτήν την ανάρτηση, θα εξερευνήσουμε λύσεις για την πρόσβαση σε πόρους SMBv1 από συσκευές SMBv2/v3 στα Windows.
Οι κίνδυνοι από τη χρήση του SMBv1
Πριν εξετάσουμε τις λύσεις, είναι σημαντικό να κατανοήσουμε τους κινδύνους της ενεργοποίησης του SMBv1 σε σύγχρονα συστήματα. Το SMBv1 είναι γεμάτο με τρωτά σημεία και στερείται κρυπτογράφησης, καθιστώντας το ελκυστικό στόχο για επιθέσεις στον κυβερνοχώρο. Οι απειλές περιλαμβάνουν:
Τα Windows 10 υποστηρίζουν SMB v2 v3;
Ωστόσο, παλαιότερες εκδόσεις των Windows και πολλές εφαρμογές που εκτελούνται σε Android και Linux δεν υποστηρίζουν πρόσφατες εκδόσεις του SMB, καθιστώντας αδύνατη τη δικτύωση υπολογιστή με Windows με τέτοιες συσκευές, εάν είναι ενεργοποιημένα μόνο τα SMB v2/v3. Το SMB1 είναι απενεργοποιημένο από προεπιλογή ξεκινώντας από την έκδοση 1709 των Windows 10 “Fall Creators Update”.
Πώς μπορώ να ενεργοποιήσω ή να απενεργοποιήσω τα πρωτόκολλα SMB σε έναν διακομιστή SMB;
Για να ενεργοποιήσετε ή να απενεργοποιήσετε τα πρωτόκολλα SMB σε έναν διακομιστή SMB που εκτελεί Windows 7, Windows Server 2008 R2, Windows Vista ή Windows Server 2008, χρησιμοποιήστε το Windows PowerShell ή τον Επεξεργαστή Μητρώου. Αυτή η μέθοδος απαιτεί PowerShell 2.0 ή νεότερη έκδοση. Προεπιλεγμένη διαμόρφωση = Ενεργοποιημένη (Δεν δημιουργείται τιμή με όνομα μητρώου), επομένως δεν θα επιστραφεί τιμή SMB1
- Απομακρυσμένη εκτέλεση κώδικα – οι χάκερ μπορούν να εκτελούν εξ αποστάσεως κακόβουλο λογισμικό.
- Διάδοση κακόβουλου λογισμικού – Το SMBv1 επιτρέπει την εξάπλωση του κακόβουλου λογισμικού μέσω του δικτύου.
- Κλοπή δεδομένων – η έλλειψη κρυπτογράφησης επιτρέπει την υποκλοπή ευαίσθητων δεδομένων.
- Αστάθεια δικτύου – Το SMBv1 μπορεί να υποβαθμίσει την απόδοση.
Για αυτούς τους λόγους, η Microsoft κατήργησε επίσημα το SMBv1 με Windows 10 και Windows Server 2016. Αν και εξακολουθεί να είναι δυνατό να ενεργοποιηθεί, δεν συνιστάται να το κάνετε. Εξετάστε το ενδεχόμενο αναβάθμισης συσκευών SMBv1 εάν είναι δυνατόν.
Πρόσβαση σε κοινόχρηστα στοιχεία SMBv1 από τα Windows 10
Εάν πρέπει να συνδέσετε συσκευές SMBv1 και SMBv2/3, υπάρχουν μερικές επιλογές:
Ενεργοποίηση SMB1 με μη αυτόματο τρόπο
- Ανοίξτε τον Πίνακα Ελέγχου > Προγράμματα > Ενεργοποίηση/Απενεργοποίηση δυνατοτήτων των Windows
- Επιλέξτε “Υποστήριξη κοινής χρήσης αρχείων SMB 1.0/CIFS”
- Κάντε κλικ στο OK και επανεκκινήστε
Αυτό επιτρέπει σε ένα σύστημα SMBv2/3 να συνδεθεί με πόρους SMBv1. Ωστόσο, εκθέτει επίσης το σύστημά σας σε τυχόν ευπάθειες στο SMBv1. Ενεργοποιήστε μόνο ως προσωρινό μέτρο με τις κατάλληλες προφυλάξεις δικτύου.
Αναβαθμίστε τον διακομιστή SMB
Στην ιδανική περίπτωση, οι ξεπερασμένοι διακομιστές SMBv1 θα πρέπει να ενημερωθούν σε SMBv2 ή SMBv3. Αυτό παρέχει πλήρη συμβατότητα με τις σύγχρονες εκδόσεις των Windows χωρίς πρόσθετους κινδύνους. Επικοινωνήστε με το λειτουργικό σύστημα του διακομιστή σας και τον προμηθευτή υλικού σχετικά με τις υποστηριζόμενες εκδόσεις SMB.
Πώς μπορώ να ενεργοποιήσω ή να απενεργοποιήσω το SMB v2 στα Windows 8;
Στο πλαίσιο Δυνατότητες των Windows, κάντε κύλιση προς τα κάτω στη λίστα, καταργήστε την επιλογή του πλαισίου ελέγχου για Υποστήριξη κοινής χρήσης αρχείων SMB 1.0/CIFS και επιλέξτε OK. Αφού τα Windows εφαρμόσουν την αλλαγή, στη σελίδα επιβεβαίωσης, επιλέξτε Επανεκκίνηση τώρα. Όταν ενεργοποιείτε ή απενεργοποιείτε το SMBv2 σε Windows 8 ή Windows Server 2012, το SMBv3 είναι επίσης ενεργοποιημένο ή απενεργοποιημένο.
Πώς μπορώ να ορίσω μια ελάχιστη και μέγιστη έκδοση του SMB;
Computer Configuration \ Administrative Templates \ Network \ Lanman Workstation\ Εντολή της ελάχιστης έκδοσης του SMB Computer Configuration \ Administrative Templates \ Network \ Lanman Workstation \ Εντολή της μέγιστης έκδοσης του SMB Επιλέξτε την ελάχιστη και μέγιστη έκδοση των διαλέκτων χρησιμοποιώντας ένα αναπτυσσόμενο μενού κατά την πολιτική είναι ενεργοποιημένο.
Πρέπει να απενεργοποιήσω ή να αφαιρέσω το SMBv1;
Ενώ η απενεργοποίηση ή η κατάργηση του SMBv1 μπορεί να προκαλέσει ορισμένα προβλήματα συμβατότητας με παλιούς υπολογιστές ή λογισμικό, το SMBv1 έχει σημαντικές ευπάθειες ασφαλείας και σας συνιστούμε θερμά να μην το χρησιμοποιήσει. Το SMB 1.0 δεν είναι εγκατεστημένο από προεπιλογή σε καμία έκδοση των Windows 11 ή Windows Server 2019 και νεότερες εκδόσεις.
Για οικιακά δίκτυα, η αντικατάσταση παλιών υπολογιστών και συσκευών με νεότερους μπορεί να καταργήσει σταδιακά τη χρήση του SMBv1 με την πάροδο του χρόνου.
Χρησιμοποιήστε εργαλεία τρίτων
Βοηθητικά προγράμματα όπως WinFsp μπορεί να προσθέσει υποστήριξη SMB1 στα Windows 10 περιορίζοντας παράλληλα τις σχετικές ευπάθειες. Αυτό απαιτεί εγκατάσταση πρόσθετου λογισμικού, αλλά μπορεί να είναι πιο ασφαλές από την απευθείας ενεργοποίηση του SMB1.
Πρόσβαση σε κοινόχρηστα στοιχεία SMBv1 μέσω άλλης συσκευής
Μια λύση είναι η πρόσβαση στο σύστημα SMBv1 μέσω μιας ενδιάμεσης συσκευής που υποστηρίζει τόσο SMBv1 όσο και SMBv2/3. Για παράδειγμα, μοιραστείτε τα αρχεία/εκτυπωτή SMBv1 σε έναν ξεχωριστό υπολογιστή που εξακολουθεί να εκτελεί Windows 7, ο οποίος μπορεί στη συνέχεια να μοιράζεται με μεγαλύτερη ασφάλεια στο δίκτυο SMBv2/3.
Αντιμετώπιση προβλημάτων σύνδεσης SMB
Εάν αντιμετωπίσετε σφάλματα κατά την αντιστοίχιση μονάδων δίσκου δικτύου, όπως “Δεν μπορείτε να συνδεθείτε στο κοινόχρηστο αρχείο αρχείου” ή “Δεν είναι δυνατή η αντιστοίχιση μονάδας δίσκου δικτύου”, διάφορα βήματα μπορεί να σας βοηθήσουν:
- Επιβεβαιώστε τις εκδόσεις SMB που είναι ενεργοποιημένες τόσο στον πελάτη όσο και στον διακομιστή.
- Απενεργοποιήστε προσωρινά τα τείχη προστασίας και το λογισμικό ασφαλείας και στις δύο συσκευές.
- Χρησιμοποιήστε telnet για να ελέγξετε εάν οι θύρες SMB (TCP 139, 445) είναι ανοιχτές.
- Στα Windows 10, επαναφέρετε το πρόγραμμα-πελάτη SMB χρησιμοποιώντας
επαναφορά netsh winsockκαι επανεκκίνηση.
Για πρόσθετες συμβουλές αντιμετώπισης προβλημάτων, ανατρέξτε στον οδηγό της Microsoft επίλυση προβλημάτων χαρτογράφησης SMB .
Λειτουργεί το SMB1 μετά την αναβάθμιση των Windows 10 20h2;
Δεν έγινε καμία αλλαγή μητρώου ή οποιαδήποτε άλλη τροποποίηση στο σύστημα. Μετά την εγκατάσταση της αναβάθμισης Win10 20H2 μέσω των Windows Updates. Το SMB1 λειτούργησε όπως πριν από την αναβάθμιση. Ευχαριστώ Microsoft. Ήταν χρήσιμη αυτή η απάντηση;
Ποια έκδοση του SMB χρησιμοποιείται στο Δίκτυό μου;
Μπορείτε να ελέγξετε ποια έκδοση του SMB χρησιμοποιείται στο δίκτυό σας χρησιμοποιώντας το Windows PowerShell Get-SMBConnection σε πελάτες και το Get-SMBSession | FL σε διακομιστές. SMB 3.0 εισήχθη στον Windows Server 2012 και βελτιώθηκε περαιτέρω στον Windows Server 2012 R2 (SMB 3.02) και στον Windows Server 2016 (SMB 3.1.1).
Πώς να ενεργοποιήσετε την κοινή χρήση αρχείων SMB 1.0/cifs στα Windows 10;
1. Το πρώτο βήμα είναι να ανοίξετε το Πίνακας Ελέγχου των Windows. 2. Στη συνέχεια, κάντε κλικ στο Προγράμματα και μετά στο Ενεργοποίηση ή απενεργοποίηση των δυνατοτήτων των Windows. 3. Στο νέο παράθυρο που θα ανοίξει, θα αναζητήσουμε και θα ελέγξουμε τη δυνατότητα Υποστήριξης για SMB 1.0/CIFS File Sharing. 4. Στο τέλος, κάντε κλικ στο OK.
Ζύγιση των ανταλλαγών της πρόσβασης SMBv1
Συνοπτικά, η σύνδεση συσκευών που χρησιμοποιούν μη αντιστοιχισμένες εκδόσεις SMB απαιτεί συμβιβασμούς σχετικά με την ασφάλεια και τη συμβατότητα. Αξιολογήστε τις συγκεκριμένες ανάγκες και τους κινδύνους σας πριν αποφασίσετε να ενεργοποιήσετε ξανά το SMBv1. Συχνά, η σταδιακή κατάργηση παλαιότερου υλικού ή η αναβάθμιση διακομιστών προσφέρει μια ασφαλέστερη μακροπρόθεσμη λύση.
Για περιβάλλοντα υψηλότερου κινδύνου, όπως τα επιχειρηματικά δίκτυα, ο περιορισμός της χρήσης SMBv1 θα πρέπει να έχει προτεραιότητα. Για οικιακούς χρήστες με λίγους υπολογιστές παλαιού τύπου, ενδέχεται να είναι αποδεκτές οι προσωρινές λύσεις. Σε κάθε περίπτωση, λάβετε μέτρα για την απομόνωση συσκευών SMBv1 και την παρακολούθηση για ύποπτη δραστηριότητα.
Ας ελπίσουμε ότι αυτό παρέχει κάποια σαφήνεια στη διαχείριση διαφορετικών εκδόσεων SMB στα Windows. Μοιραστείτε τις δικές σας συμβουλές και εμπειρίες στα σχόλια παρακάτω!
βιβλιογραφικές αναφορές
- https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows
- https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3
Τι είναι το Μπλοκ μηνυμάτων διακομιστή (SMB);
Το πρωτόκολλο Server Message Block (SMB) είναι α πρωτόκολλο κοινής χρήσης αρχείων δικτύου που επιτρέπει στις εφαρμογές σε έναν υπολογιστή να διαβάζουν και να γράφουν σε αρχεία και να ζητούν υπηρεσίες από προγράμματα διακομιστή σε ένα δίκτυο υπολογιστών. Το πρωτόκολλο SMB μπορεί να χρησιμοποιηθεί πάνω από το πρωτόκολλο TCP/IP ή άλλα πρωτόκολλα δικτύου.
Πώς μπορώ να αφαιρέσω το SMB από τα Windows 10;
Το SMB 1.0 δεν εγκαθίσταται από προεπιλογή ξεκινώντας από την έκδοση 1709 του Windows Server και την έκδοση 1709 των Windows 10.Για οδηγίες σχετικά με την κατάργηση του SMB1, συνδεθείτε στο διακομιστή με το Κέντρο διαχείρισης των Windows, ανοίξτε την επέκταση Αρχεία & Κοινή χρήση αρχείων και, στη συνέχεια, επιλέξτε την καρτέλα Κοινή χρήση αρχείων που θα σας ζητηθεί να απεγκαταστήσετε.
Απαιτεί τα Windows 10 SMB 1.0;
SMB 1.0 επίσης δεν είναι εγκατεστημένο από προεπιλογή στα Windows 10, εκτός από τις εκδόσεις Home και Pro. Συνιστούμε αντί να επανεγκαταστήσετε το SMB 1.0, να ενημερώσετε τον διακομιστή SMB που εξακολουθεί να το απαιτεί. Για μια λίστα τρίτων που απαιτούν SMB 1.0 και τις ενημερώσεις τους που καταργούν την απαίτηση, ανατρέξτε στο Κέντρο Εκκαθάρισης Προϊόντων SMB1.
