A Windows Server 2012 R2 rendszerben bevezették az SMB 3 protokoll új verzióját (technikailag ez SMB 3.02, mert Az SMB 3.0 verziója megjelent a Windows Server 2012-ben), és a régi protokoll illesztőprogram SMB 1.0 Most letilthatja és blokkolhatja az alkatrészek betöltését. Az SMB 1.0 támogatásának hiánya miatt a régi (Windows XP, Server 2003) és a kompatibilis ügyfelek (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, a Linux régebbi verziói) nem férhetnek hozzá a Windows 2012 R2 / 2016 rendszert futtató fájlkiszolgálón található fájlokhoz..
Tartalom:
- Windows SMB Protocol verziók
- Az SMB1 használatának veszélyeiről
- SMB 1.0 protokoll a Windows Server 2012 R2 rendszerben
- SMB 1.0 protokoll a Windows Server 2016-ban
Windows SMB Protocol verziók
SMB A (Server Message Block, más néven LAN-Manager) hálózati protokoll a fájlok, nyomtatók és más szolgáltatások távoli elérésére. A csatlakozáshoz a TCP 445 portot kell használni. Az SMB protokoll különféle verziói jelentek meg a Windows következő verzióiban:
- CIFS - Windows NT 4.0
- SMB 1.0 - Windows 2000
- SMB 2.0 - Windows Server 2008 és WIndows Vista SP1
- SMB 2.1 - Windows Server 2008 R2 és Windows 7
- SMB 3.0 - Windows Server 2012 és Windows 8 (az SMB titkosítás támogatása)
- SMB 3.02 - Windows Server 2012 R2 és Windows 8.1
- SMB 3.1.1 - Windows Server 2016 és Windows 10
Az ügyfél és a szerver közötti SMB protokollt használó hálózati kommunikációhoz a protokoll maximális verzióját kell használni, amelyet mind az ügyfél, mind a szerver támogat..
Az alábbiakban összefoglaló táblázat található, amely segítségével meghatározhatja az SMB protokoll verzióját, amelyet akkor választanak ki, ha a Windows különféle verzióival működik együtt:
| Operációs rendszer | Win 10, Server 2016 | Windows 8.1, Server 2012 R2 | Windows 8, 2012-es szerver | Windows 7, Server 2008 R2 | Windows Vista, Server 2008 | Windows XP, Server 2003 és újabb |
| Windows 10 , Windows Server 2016 | SMB 3.1.1 | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
| Windows 8.1 , Server 2012 R2 | SMB 3.02 | SMB 3.02 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
| Windows 8 , 2012-es szerver | SMB 3.0 | SMB 3.0 | SMB 3.0 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
| Windows 7, Server 2008 R2 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.1 | SMB 2.0 | SMB 1.0 |
| Windows Vista, Server 2008 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 2.0 | SMB 1.0 |
| Windows XP, 2003 és újabb verziók | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 | SMB 1.0 |
Például, ha egy ügyfélszámítógépet összekapcsol a Windows 7 rendszerrel egy fájlkiszolgálóval a Windows Server 2012 R2 segítségével, akkor az SMB 2.1 protokollt fogja használni..
tanács. Meghatározhatja az SMB protokoll verzióját, amelyben az ügyfél a kiszolgálóval lép kapcsolatba a Powershell paranccsal:Get-SmbConnection
Az SMB protokoll ügyfelek által használt verzióinak és az SMB protokoll adott verziójának kiszolgálóoldalon használt kliensek számának felsorolásához futtassa a következő parancsot:
Get-SmbSession | Select-Object -ExpandProperty Dialect | Sort-Object -Unique
Példánkban 825 ügyfél kapcsolódik a kiszolgálóhoz az SMB 2.1 (Win 7/2008 r2) használatával és 12 ügyfél kapcsolódik az SMB 3.02 (Win 8.1 / 2012 r2) használatával..
A Windows XP táblázata szerint a Windows Server 2003 csak az SMB 1.0 használatával férhet hozzá a kiszolgálón megosztott fájlokhoz és mappákhoz, amelyeket a Windows Server új verzióiban (2012 R2 / 2016) le lehet tiltani. Így ha az infrastruktúrája egyidejűleg a Windows XP (megszűnt), a Windows Server 2003 / R2 és a Windows Server 2012 R2 / Server 2016 operációs rendszert futtató számítógépeket használja, akkor meg kell értenie, hogy a régi ügyfelek nem férhetnek hozzá a fájlokhoz és mappákhoz fájlkiszolgáló új operációs rendszerrel. És abban az esetben, ha a Windows Server 2016/2012 R2-ben a letiltott SMB 1.0-t használják tartományvezérlőként, ez azt jelenti, hogy a Windows XP / Server 2003 ügyfelek nem tudnak futtatni bejelentkezési szkripteket (NETLOGON) és néhány, a hálózati mappák a tartományvezérlőkön (például az admx sablonok központosított tárolásakor). Régebbi ügyfeleknél, amikor egy erőforráshoz csatlakozni próbálnak egy fájlkiszolgálón, ha az SMB v1 le van tiltva, hibaüzenet jelenik meg:
A megadott hálózati név már nem érhető elAz SMB1 használatának veszélyeiről
Jelenleg az SMB 1.0 protokoll elavult, és számos kritikus sérülékenységgel rendelkezik (emlékezzünk a wannacrypt és petya ransomware vírusok előzményeire, amelyek az SMBv1 protokoll biztonsági rését használják). A Microsoft és más informatikai vállalatok határozottan javasolják annak használatának lemondását.
Abban az esetben, ha a Windows XP és a Windows Server 2003 kliensek továbbra is a hálózaton maradnak, akkor a lehető leghamarabb át kell helyeznie őket a Microsoft OS újabb verzióira, vagy óvatosan el kell különíteni őket..
SMB 1.0 protokoll a Windows Server 2012 R2 rendszerben
Ha megnyitja a Windows Server 2012 R2 összetevőinek listáját, közöttük láthat egy nevű funkciót SMB 1.0 / CIFS fájl megosztása támogatás, amely nincs telepítve. De az SMB 1.0 illesztőprogram maga is működik. Amikor ez a szerep telepítve van, a Computer Browser szolgáltatás (számítógép böngésző). Ez egy SMB 1.0 ügyfél, amely nélkül nem lehet csatlakozni más számítógépekhez, amelyek csak ezt a protokollt támogatják ebből a kiszolgálóból..
tanács. Ha a hálózatnak nem kell az SMB 1.0 régi verzióját támogatnia a Windows XP vagy a Windows Server 2003 operációs rendszerű számítógépeknél, ezt a funkciót a rendszer terhelésének csökkentése és a biztonság növelése érdekében a következő paranccsal lehet letiltani:Eltávolítás-WindowsFeature FS-SMB1
Ezután a kiszolgálóbeállításokban teljesen le kell tiltania az SMB 1.0-ot a következő paranccsal:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
A Windows Server 2012 rendszerben alapértelmezés szerint mind az SMB 1, mind az SMB 2 illesztőprogramok betöltődnek. Ennek ellenőrzéséhez nyissa meg a rendszerszolgáltatás tulajdonságait szerver (LanmanServer) és a fül Dependencies győződjön meg arról, hogy az illesztőprogramok egyidejűleg futnak a szerveren Szerver SMB 1.xxx illesztőprogram és SMB 2.xxx illesztőprogram.
Ha megnyitjuk a LanmanServer szolgáltatás tulajdonságait a Windows 2012 R2 rendszeren, látni fogjuk, hogy az SMB 1.0-t támogató illesztőprogram ki van zárva a függőségekből.
De ez nem azt jelenti, hogy az SMB 1.0 illesztőprogram nem működik. Ellenőrizheti, hogy az SMB 1.0 protokoll engedélyezve van-e a szerver oldalán a következő paranccsal:
Get-SmbServerConfiguration | Válassza az EnableSMB1Protocol lehetőséget
Mint láthatja, az SMB1 protokoll engedélyezve van a WS 2012 R2-ben annak ellenére, hogy nincs az SMB 1.0 / CIFS fájlmegosztási támogató összetevő és a LanmanServer függőségei.
Abban az esetben, ha a régi ügyfelek (XP / Server 2003 stb.) Elveszítették az SMB hozzáférését a Windows Server 2012 R2 fájlkiszolgálókhoz / tartományvezérlőkhöz, aktiválhatja az SMB 1 támogatást az alábbiak szerint. Először engedélyezze a protokollt a kiszolgáló beállításaiban:
Set-SmbServerConfiguration -EnableSMB1Protocol $ true
Ezután engedélyezze az SMB 1.0 protokollfüggőségeket a Windows Server 2012 R2 rendszerben a nyilvántartáson keresztül. Menj az ághoz HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer és változtassa meg a paraméter értékét DependOnService a SamSS Srv2-től SamSS Srv. 
Ezt követően a kiszolgálót újra kell indítani, és ellenőrizze, hogy az SMB 1.0 illesztőprogramja újra működik-e. 
Ezt a műveletet minden fájlkiszolgálón és tartományvezérlőn végre kell hajtani, amelyhez a régi kliens verziók kapcsolódnak..
SMB 1.0 protokoll a Windows Server 2016-ban
A Windows Server 2016 operációs rendszerben az ügyféloldali SMB 1.0 támogatás különálló összetevőként szerepel, amely megtalálható a Szolgáltatások hozzáadása / eltávolítása varázsló listájában. Ezt az összetevőt hívják SMB 1.0 / CIFS fájl megosztása támogatás.
Az SMB v1 támogatást letilthatja, és az összetevőt teljesen eltávolíthatja a következő parancsok segítségével:
Eltávolítás-WindowsFeature FS-SMB1
sc.exe config lanmanworkstation atkarīgs = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = letiltva
A Windows Server 2016 1709-rel (és a Windows 10 őszi alkotóival) kezdve az SMBv1 összetevő (mind az ügyfél, mind a kiszolgáló) az alapértelmezett mozgássérült (A vendég hozzáférés az SMBv2 protokollon keresztül is le van tiltva). A régebbi rendszerekhez a protokoll elavult verziójának eléréséhez külön telepítenie kell. Telepítenie kell az SMB 1.0 / CIFS fájlmegosztási támogató összetevőt, és engedélyeznie kell az SMB 1.0-t a következő parancsokkal:
Add-WindowsFeature FS-SMB1
Set-SmbServerConfiguration -EnableSMB1Protocol $ true
