Jeśli nie możesz otworzyć folderów sieciowych na innych urządzeniach sieciowych (NAS, serwer Samba Linux) lub na komputerach ze starszymi wersjami systemu Windows (Windows 7 / XP / 2003) z Windows 10, najprawdopodobniej problem polega na tym, że twoja nowa wersja systemu Windows 10 wyłączono obsługę przestarzałych i niepewnych wersji protokołu SMB (używanych w systemie Windows do uzyskiwania dostępu do udostępnionych folderów i plików sieciowych). Począwszy od systemu Windows 10 1709, protokół SMBv1 i anonimowy (gościnny) dostęp do folderów sieciowych za pośrednictwem protokołu SMBv2 zostały wyłączone.
Microsoft systematycznie wyłącza stare i niebezpieczne wersje protokołu SMB we wszystkich najnowszych wersjach systemu Windows. Począwszy od Windows 10 1709 i Windows Server 2019 (zarówno w wersjach Datacenter, jak i Standard), protokół SMBv1 jest domyślnie wyłączony w systemie operacyjnym (pamiętaj o ataku ransomware WannaCry, który został zaimplementowany przez dziurę w SMBv1).Konkretne działania, które należy podjąć, zależą od błędu występującego w systemie Windows 10 podczas uzyskiwania dostępu do folderu współdzielonego oraz od ustawień zdalnego serwera SMB, na którym przechowywane są foldery współdzielone.
Treść
- Nie można uzyskać dostępu do folderu gościa bez uwierzytelnienia
- Twój system musi używać SMB2 lub nowszego.
Nie można uzyskać dostępu do folderu gościa bez uwierzytelnienia
Począwszy od wersji Windows 10 1709 (Fall Creators Update) Enterprise and Education, użytkownicy zaczęli narzekać, że podczas próby otwarcia folderu sieciowego na pobliskim komputerze pojawił się błąd:
Nie możesz uzyskać dostępu do tego folderu współdzielonego, ponieważ zasady bezpieczeństwa organizacji blokują dostęp gości bez uwierzytelnienia. Te zasady pomagają chronić komputer przed niebezpiecznymi lub złośliwymi urządzeniami w sieci..
Wystąpił błąd podczas ponownego łączenia Y: z \\ nas1 \ share Microsoft Windows Network: Nie możesz uzyskać dostępu do tego folderu współdzielonego, ponieważ zasady bezpieczeństwa organizacji blokują nieuwierzytelniony dostęp dla gości. Te zasady pomagają chronić komputer przed niebezpiecznymi lub złośliwymi urządzeniami w sieci.
Ponadto na innych komputerach ze starszymi wersjami systemu Windows 8.1 / 7 lub Windows 10 z kompilacjami do 1709 te same katalogi sieciowe otwierają się normalnie. Ten problem wynika z faktu, że we współczesnych wersjach systemu Windows 10 (od 1709) dostęp sieciowy do folderów sieciowych na koncie gościa przy użyciu protokołu SMBv2 (i niższych) jest domyślnie zabroniony. Dostęp gościa (anonimowy) oznacza dostęp do folderu sieciowego bez uwierzytelnienia. Podczas uzyskiwania dostępu pod kontem gościa przy użyciu protokołu SMBv1 / v2 metody ochrony ruchu, takie jak podpisywanie i szyfrowanie SMB, nie są stosowane, co naraża sesję na ataki MiTM (man-in-the-middle).
Podczas próby otwarcia folderu sieciowego pod gościem przy użyciu protokołu SMB2 w dzienniku klienta SMB rejestrowany jest błąd (Microsoft-Windows-SMBClient):
Źródło: Microsoft-Windows-SMBClient Identyfikator zdarzenia: 31017 Odrzucono niepewne logowanie gościa.
W większości przypadków ten problem może wystąpić podczas korzystania ze starszych wersji NAS (zwykle dla uproszczenia, ustawienia obejmują dostęp gościa) lub podczas uzyskiwania dostępu do folderów sieciowych w starszych wersjach systemu Windows 7/2008 R2 lub Windows XP / 2003 ze skonfigurowanym dostępem anonimowym (gość) (patrz tabela obsługiwanych wersji SMB w różnych wersjach systemu Windows).
W takim przypadku firma Microsoft zaleca zmianę ustawień na komputerze zdalnym lub urządzeniu NAS, które dystrybuują foldery sieciowe. Wskazane jest przełączenie zasobu sieciowego na tryb SMBv3. A jeśli obsługiwany jest tylko protokół SMBv2, skonfiguruj dostęp z uwierzytelnianiem. To najlepszy i najbezpieczniejszy sposób rozwiązania problemu..
W zależności od urządzenia, na którym przechowywane są foldery sieciowe, musisz wyłączyć na nich dostęp gości.
- Urządzenie NAS - wyłącz dostęp gościa w ustawieniach urządzenia NAS (w zależności od modelu);
- Serwer Samba w systemie Linux - jeśli dystrybuujesz katalog SMB w systemie Linux, musisz dodać wiersz w sekcji [global] pliku konfiguracyjnego smb.conf:
mapa do gościa = nigdy
W sekcji z opisem folderu sieciowego zabroń dostępu anonimowego:gość ok = nie - W systemie Windows Możesz włączyć udostępnianie folderów sieciowych i drukarek z ochroną hasłem w sekcji Panel sterowania \ Wszystkie elementy Panelu sterowania \ Centrum sieci i udostępniania \ Zaawansowane ustawienia udostępniania. Dla wszystkich sieci w sekcji „Udostępnianie chronione hasłem” zmień wartość na „Włącz udostępnianie hasła”(Włącz udostępnianie chronione hasłem). W takim przypadku anonimowy (gościnny) dostęp do folderów zostanie wyłączony i będziesz musiał utworzyć lokalnych użytkowników, zapewnić im dostęp do folderów sieciowych i drukarek oraz używać tych kont do łączenia się z folderami współdzielonymi na tym komputerze.
Istnieje inny sposób - zmienić ustawienia klienta SMB i umożliwić mu dostęp do folderów sieciowych na koncie gościa.
Ta metoda powinna być używana tylko tymczasowo (!!!), ponieważ dostęp do folderów bez uwierzytelnienia znacznie obniża poziom bezpieczeństwa danych.Aby zezwolić na dostęp gości z komputera, otwórz Edytor zasad grupy (gpedit.msc) i przejdź do sekcji: Konfiguracja komputera -> Szablony administracyjne -> Sieć -> Stacja robocza Lanman (Konfiguracja komputera -> Szablony administracyjne -> Sieć -> Stacja robocza Lanman) Włącz zasady Włącz niepewne logowanie gości.
W systemie Windows 10 Home, który nie ma lokalnego edytora GPO, możesz dokonać podobnej zmiany ręcznie za pomocą edytora rejestru:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parametry „AllowInsecureGuestAuth” = dword: 1
Lub za pomocą tego polecenia:
reg dodaj HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation \ Parameters / v AllowInsecureGuestAuth / t reg_dword / d 00000001 / f
Twój system musi używać SMB2 lub nowszego.
Innym możliwym problemem podczas uzyskiwania dostępu do folderu sieciowego z systemu Windows 10 jest obsługa po stronie serwera tylko protokołu SMBv1. Ponieważ Klient SMBv1 jest domyślnie wyłączony w Windows 10 1709, gdy próbujesz otworzyć piłkę, może pojawić się błąd:
Nie można połączyć się z folderem współdzielonym, ponieważ nie jest on bezpieczny. Ten folder współdzielony korzysta z przestarzałego protokołu SMB1, co jest niebezpieczne i może narazić system na atak. Twój system musi używać SMB2 lub nowszego..
Nie możesz połączyć się z udziałem plików, ponieważ nie jest bezpieczny. Ten udział wymaga przestarzałego protokołu SMB1, który jest niebezpieczny i może narazić system na atak. Twój system wymaga SMB2 lub nowszego.
W takim przypadku sąsiednie urządzenia SMB mogą nie być wyświetlane w środowisku sieciowym i podczas otwierania ścieżki przez UNC może pojawić się błąd 0x80070035.
Tj. komunikat o błędzie wyraźnie pokazuje, że folder sieciowy obsługuje tylko protokół dostępu SMBv1. W takim przypadku musisz spróbować ponownie skonfigurować zdalne urządzenie SMB, aby obsługiwało przynajmniej SMBv2 (poprawny i bezpieczny sposób).
Jeśli Samba dystrybuuje foldery sieciowe w systemie Linux, możesz określić minimalną obsługiwaną wersję SMB w pliku smb.conf w następujący sposób:
[globalny] minimalny protokół serwera = maksymalny protokół klienta SMB2_10 = minimalny protokół klienta SMB3 = SMB2_10 szyfruj hasła = prawda ogranicz anonimowy = 2
W systemie Windows 7 / Windows Server 2008 R2 możesz wyłączyć SMBv1 i włączyć SMBv2 w następujący sposób:Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Typ DWORD -Wartość 0 -Force
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Typ DWORD -Wartość 1 -Force
W systemie Windows 8.1 wyłącz SMBv1, włącz SMBv2 i SMBv3 i sprawdź, czy do połączenia sieciowego używany jest profil prywatny lub domenowy:
Wyłącz-WindowsOptionalFeature -Online -FeatureName „SMB1Protocol”
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Jeśli twoje urządzenie sieciowe (NAS, Windows XP, Windows Server 2003) obsługuje tylko protokół SMB1, w Windows 10 możesz włączyć osobny składnik SMB1Protocol-Client. Ale nie jest to zalecane.!!!
Uruchom konsolę PowerShell i sprawdź, czy klient SMB1Protocol jest wyłączony (Stan: wyłączony):
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Włącz obsługę protokołu SMBv1 (wymagane jest ponowne uruchomienie):
Włącz-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Możesz także włączyć / wyłączyć dodatkowe składniki systemu Windows 10 (w tym SMBv1) z menu opcjonalnyfeatures.exe-> Obsługa udostępniania plików SMB 1.0 / CIFS
W systemie Windows 10 1709 i nowszych klient SMBv1 jest automatycznie usuwany, jeśli nie był używany przez więcej niż 15 dni (za to odpowiada składnik SMB 1.0 / CIFS Automatic Removal).
W tym przykładzie włączyłem tylko klienta SMBv1. Nie włączaj składnika SMB1Protocol-Server, jeśli Twój komputer nie jest używany przez starszych klientów jako serwer do przechowywania folderów publicznych.Po zainstalowaniu klienta SMBv1 powinieneś być w stanie połączyć się z folderem sieciowym lub drukarką bez żadnych problemów. Musisz jednak zrozumieć, że użycie tego obejścia nie jest zalecane, ponieważ zagraża Twojemu systemowi.
