Порт общего доступа к файлам и принтерам Smb не настроен для приема подключений

Обновлено: 24.11.2024

Обсудите и поддержите Невозможно подключиться к удаленному компьютеру с помощью SMB 1.0 в Windows 10 Network and Sharing для решения проблемы; В течение многих лет мне удавалось создать сетевую папку для удаленного диска, работающего в Linux-системе Humax HDR Fox T2 PVR. Это поддерживает только SMB. Обсуждение в разделе «Сеть и общий доступ к Windows 10», начатое MymsMan 21 ноября 2020 г.

Невозможно подключиться к удаленному компьютеру с помощью SMB 1.0

Невозможно подключиться к удаленному компьютеру с помощью SMB 1.0 – Похожие темы – Не удается подключиться к удаленному компьютеру

Не удается подключиться с помощью удаленного рабочего стола

Невозможно подключиться с помощью удаленного рабочего стола. У нас есть один пользователь в офисе, к компьютеру которого невозможно подключиться с помощью подключения к удаленному рабочему столу. Все рабочие станции других пользователей могут быть подключены без проблем. RDC работал нормально для этого пользователя до двух недель назад, после чего он просто не мог подключиться. Попытки сделать это.

Не удается подключиться с помощью удаленного рабочего стола

Не удается подключиться к удаленному серверу

Невозможно подключиться к удаленному серверу: Привет, я не могу использовать программное обеспечение моей компании для отправки отчетов, что удивительно, так это то, что я единственный человек в моей компании, который сталкивается с этой проблемой. Прикреплено изображение ошибки, которую я получаю. Пожалуйста, сообщите как можно скорее, спасибо.

Использование SMB 1 в Windows 10 Pro

Использование SMB 1 в Windows 10 Pro: я использую Windows 10 Pro. До 2020 года я мог подключать жесткие USB-накопители к своим маршрутизаторам Netgear и Netcomm для всех устройств, подключенных к моей частной сети. Теперь ни один из маршрутизаторов не может получить доступ к подключенному жесткому диску. Netcomm сообщила об этом Microsoft.

не удается удаленно подключиться к рабочему столу с личного компьютера

невозможно удаленно подключиться к рабочему столу с личного компьютера: пользователь не может удаленно подключиться к своему рабочему столу с личного компьютера, так как ошибка Windows 10 ваш компьютер не может подключиться к удаленному рабочему столу Сервер шлюза Появляется всплывающее окно с учетными данными сервера шлюза удаленных рабочих столов, попытка входа в систему не удалась. Аккаунт пользователя был заблокирован.

Удаленный рабочий стол подключается к удаленному компьютеру в одной сети, но не к другим.

обновление smb 1 до smb2

Обновление с smb 1 до smb2: я подключил диск USB 3 к своему маршрутизатору Linksys 7310, а затем подключил сетевой диск одного ноутбука с Win10 для загрузки нескольких ГБ файлов — без проблем. Когда я пытаюсь сопоставить этот общий ресурс с другим ноутбуком с Win 10, я получаю сообщение об ошибке, что общий ресурс использует SMB 1, а SMB 2.

Невозможно использовать функцию буфера обмена с удаленного рабочего стола на локальный компьютер

Невозможно использовать функцию буфера обмена с удаленного рабочего стола на локальный компьютер. Привет, служба поддержки! Раньше я мог без проблем использовать буфер обмена (копировать и вставлять) с удаленного рабочего стола на локальный компьютер. Однако вдруг функция не работает уже несколько дней. Он стал серым, когда я попытался вставить элемент с удаленного на локальный.

Если вы не можете открыть или сопоставить общие сетевые папки на вашем NAS, сервере Samba Linux, компьютерах с устаревшими версиями Windows (Windows 7/XP/Server 2003) из Windows 10 или 11, скорее всего, проблема заключается в том, что устаревшие и небезопасные версии протокола SMB отключены в текущих сборках Windows (протокол SMB используется в Windows для доступа к общим сетевым папкам и файлам).

Microsoft систематически отключает устаревшие и небезопасные версии протокола SMB во всех последних версиях Windows. Начиная с Windows 10 1709 и Windows Server 2019 (в выпусках Datacenter и Standard) по умолчанию отключен небезопасный протокол SMBv1, а также анонимный (гостевой) доступ к сетевым общим папкам.

Конкретные действия зависят от ошибки, которая появляется в Windows при доступе к общей папке, и от настроек удаленного сервера SMB, на котором размещены общие сетевые ресурсы.

Не удается получить доступ к общей папке, так как политики безопасности блокируют гостевой доступ без аутентификации

Начиная с Windows 10 build 1709 Fall Creators Update (выпуски Enterprise и Education) пользователи стали жаловаться, что при попытке открыть общую сетевую папку на соседнем компьютере появлялась ошибка:

Кроме того, на других компьютерах с Windows 8.1, Windows 7 или Windows 10 со сборкой до 1709 те же общие сетевые папки открываются нормально. Дело в том, что в современных версиях Windows 10 (сборка 1709+) гостевой доступ к общим папкам по протоколу SMBv2 отключен по умолчанию. Гость (анонимный) означает доступ к общей сетевой папке без аутентификации. При доступе к сетевой папке под гостевой учетной записью по протоколу SMBv1/v2 не используются такие методы защиты трафика, как SMB-подпись и шифрование, что делает вашу сессию уязвимой для атак MiTM (man-in-the-middle).< /p>

Эти изменения не применяются в выпусках Windows 10 Home, и доступ к сети под гостевой учетной записью работает нормально.

Если вы попытаетесь открыть общую сетевую папку по протоколу SMB v2 под гостевой учетной записью, в средстве просмотра событий вашего компьютера (SMB-клиент) появится следующая ошибка:

Эта ошибка говорит о том, что ваш компьютер (клиент) блокирует неавторизованный доступ под гостевой учетной записью.

В большинстве случаев вы можете столкнуться с этой проблемой при доступе к старым устройствам NAS (обычно на них включен гостевой доступ для простоты настройки) или при открытии общих папок на устаревших устройствах Windows 7/2008 R2/Windows XP/2003 с анонимным доступом. (гостевой) доступ включен (см. таблицу поддерживаемых версий протокола SMB в разных редакциях Windows).

Microsoft рекомендует изменить настройки на удаленном компьютере или устройстве NAS, на котором размещены общие сетевые папки. Сетевую папку желательно перевести в режим SMBv3. Или настроить доступ с аутентификацией, если устройство поддерживает только протокол SMBv2. Это самый правильный и безопасный способ решить проблему.

Отключите гостевой доступ на устройстве, где хранятся ваши общие папки:

NAS-устройства — отключите гостевой доступ в настройках вашего NAS-устройства (в зависимости от производителя и модели);
Сервер Samba в Linux — если вы используете сетевую папку совместно с Samba в Linux, добавьте следующую строку в файл конфигурации smb.conf в разделе [global]: map to guest = never
И ограничьте анонимность доступ в раздел конфигурации общей папки: гость ок = нет
В Windows вы можете включить общий доступ к сетевым папкам и принтерам с защитой паролем через Панель управления -> Центр управления сетями и общим доступом -> Дополнительные параметры общего доступа. Для всех сетей в разделе «Общий доступ, защищенный паролем» измените значение на «Включить общий доступ, защищенный паролем». В этом случае анонимный (гостевой) доступ к сетевым общим папкам будет отключен, и вам придется создавать локальных пользователей, предоставлять им права доступа к общим папкам и принтерам и использовать эти учетные записи для подключения к общим папкам на удаленном компьютере. .

Есть еще один способ — вы можете изменить настройки на своем устройстве Windows, чтобы разрешить доступ к общим сетевым папкам под гостевой учетной записью. Этот метод следует использовать только как временный обходной путь (. ), поскольку доступ к папкам без аутентификации значительно снижает безопасность вашего компьютера.

Чтобы включить гостевой доступ с вашего компьютера, вам нужно использовать редактор групповой политики ( gpedit.msc ). Перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman. Найдите и включите политику Разрешить небезопасный гостевой вход. Этот параметр политики определяет, будет ли клиент SMB разрешать небезопасный гостевой вход на сервер SMB.

В Windows 10 Домашняя, в которой нет локального редактора GPO, вы можете внести аналогичные изменения вручную через редактор реестра:

Или с помощью этих команд:

reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
reg add HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation /v AllowInsecureGuestAuth /t reg_dword / д 00000001 / ф

Не удается подключиться к файловому ресурсу, поскольку он небезопасен и требует устаревшего протокола SMB1

Еще одна возможная проблема при доступе к сетевой папке из Windows 10 заключается в том, что на стороне сервера поддерживается только версия протокола SMBv1. Поскольку клиент SMBv1 по умолчанию отключен в Windows 10 1709+, при попытке открыть общую папку или подключить сетевой диск может появиться ошибка:

В этом случае соседние компьютеры могут не отображаться в локальной сети, а при открытии общей папки по UNC-пути может появиться ошибка 0x80070035.

Сообщение об ошибке ясно показывает, что общая сетевая папка поддерживает только протокол клиентского доступа SMBv1. В этом случае следует попытаться перенастроить удаленное SMB-устройство для использования как минимум SMBv2 (правильный и безопасный способ).

Если вы используете сервер Samba в Linux для обмена файлами, вы можете указать минимальную поддерживаемую версию протокола SMB в файле smb.conf следующим образом:

В Windows 7/Windows Server 2008 R2 вы можете отключить протокол SMB 1 и включить SMBv2 через реестр с помощью следующих команд PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\ LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

В Windows 8.1/Windows Server 2012 R2 вы можете отключить SMBv1, разрешить SMBv2 и SMBv3 с помощью следующей команды (убедитесь, что для вашего сетевого подключения используется частный профиль или профиль домена):

Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true

Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003) поддерживает только протокол SMB1, вы можете включить отдельную функцию SMB1Protocol-Client в Windows 10/11 или Windows Server. Но это не рекомендуется.

Если удаленному устройству для подключения требуется SMBv1, а этот протокол отключен на вашем устройстве Windows, в средстве просмотра событий появится сообщение об ошибке:

Запустите командную строку PowerShell с повышенными привилегиями и убедитесь, что SMB1Protocol-Client отключен (состояние: отключено):

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Включите клиентский протокол SMBv1 (требуется перезагрузка):

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Вы также можете включить/отключить дополнительные функции в Windows 10 и 11 в файле optionalfeatures.exe . Разверните поддержку общего доступа к файлам SMB 1.0/CIFS и включите клиент SMB 1.0/CIFS.

В Windows 10 1809 и новее клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).

В этом примере я включил только клиент SMBv1. Не включайте функцию SMB1Protocol-Server, если ваш компьютер не используется устаревшими клиентами в качестве SMB-сервера для размещения общих папок.

После установки клиента SMBv1 вы сможете без проблем подключиться к общей папке или принтеру. Однако вы должны понимать, что этот обходной путь не рекомендуется, поскольку он снижает безопасность вашего компьютера.

Windows не может получить доступ к общей папке: у вас нет разрешений

При подключении к общей сетевой папке на удаленном компьютере может появиться ошибка:

При возникновении этой ошибки необходимо:

Убедитесь, что пользователю, которого вы используете для доступа к общей папке, предоставлены права доступа к удаленной общей папке. Откройте свойства общей папки на сервере и убедитесь, что у вашего пользователя есть как минимум права на чтение. Кроме того, вы можете проверить права доступа к общему ресурсу на удаленном узле с помощью PowerShell:
Get-SmbShareAccess -Name "tools"
Затем проверьте права доступа к папке NTFS:
get-acl C:\tools\ |fl При необходимости отредактируйте разрешения в свойствах папки и/или общего ресурса;
Убедитесь, что вы используете правильное имя пользователя и пароль для доступа к сетевой папке. Если вам не предлагается ввести имя пользователя и пароль, попробуйте удалить сохраненные (кэшированные) учетные данные для удаленных общих ресурсов в диспетчере учетных данных Windows. Запустите команду rundll32.exe keymgr.dll, KRShowKeyMgr и удалите кэшированные учетные данные для удаленного компьютера, к которому вы пытаетесь получить доступ.
При следующем подключении к общей папке вам будет предложено ввести имя пользователя и пароль. Укажите учетные данные для доступа к общей сетевой папке на удаленном компьютере. Вы можете сохранить его в диспетчере учетных данных или добавить вручную.

Другие исправления: Windows не может получить доступ к общим папкам

В этом разделе приведены дополнительные способы устранения неполадок при открытии сетевых папок в Windows:

Убедитесь, что удаленный компьютер разрешает входящие подключения к общим сетевым папкам с использованием протокола SMB (порт TCP 445). Проверить доступность порта 445 на удаленном компьютере можно с помощью команды Test-NetConnection: Test-NetConnection -ComputerName HomePC212 -Port 445
Если командлет возвращает TcpTestSucceeded : False, это означает, что доступ к сетевой папке на удаленный компьютер блокируется брандмауэром. Соединение может быть заблокировано антивирусом или брандмауэром (сторонним или встроенным брандмауэром Защитника Windows). Если вы используете Защитник Windows, включите правило общего доступа к файлам и принтерам (Панель управления\Система и безопасность\Брандмауэр Защитника Windows\Разрешенные приложения\Разрешить приложениям обмениваться данными через брандмауэр Windows) на узле общей папки для все три сетевых профиля.
Или создайте правило брандмауэра с помощью PowerShell: New-NetFirewallRule -DisplayName "Allow_SBM-FileSharing_In" -Direction Inbound -Protocol TCP –LocalPort 445 -Action Allow
Если вы не можете открыть сопоставленные сетевые диски (папки), попробуйте удалить сохраненные кэшированные учетные данные в диспетчере учетных данных Windows, удалите сопоставленные сетевые диски (с помощью команды Net Use * /delete) и снова подключите их;
Попробуйте использовать IP-адрес удаленного компьютера вместо его имени для доступа к папке. Например: Win+R -> \\192.168.12.20 -> ОК.
Убедитесь, что ваши компьютеры входят в одну рабочую группу. Имя рабочей группы на компьютере можно узнать с помощью PowerShell: Get-WmiObject Win32_ComputerSystem).domain
Сбросьте настройки стека TCP/IP и обновите IP-адрес на вашем компьютере:
netsh int ip reset
netsh winsock reset
ipconfig /flushdns
ipconfig /release
ipconfig /flushdns
ipconfig /release
/>ipconfig /обновить

В этом разделе описываются некоторые проблемы, связанные с устранением неполадок службы Oracle Solaris SMB. Дополнительные сведения об устранении неполадок см. в следующем:

Не удается присоединиться к домену Windows

Чтобы аутентифицировать пользователей из домена Windows, служба Oracle Solaris SMB должна найти контроллер домена, выполнить аутентификацию, а затем добавить учетную запись компьютера в домен.

Пользователи из домена не могут установить соединение со службой Oracle Solaris SMB, если этот процесс не завершится успешно.

Проверьте конфигурацию DNS

Для успешного выполнения команды smbadm join должна быть запущена служба Oracle Solaris SMB.

Если Active Directory (AD) настроена, служба Oracle Solaris SMB пытается найти контроллер домена с помощью DNS. Если службе не удается найти контроллер домена, необходимо использовать SMF для правильной настройки DNS.

Следующие проблемы с конфигурацией могут помешать вам настроить службу Oracle Solaris SMB в режиме домена:

Отсутствует домен DNS. Убедитесь, что полное доменное имя AD добавлено в список поиска или в качестве локального домена.

Если ваша конфигурация неверна, вы можете увидеть ошибку Не удалось присоединиться к домену доменное имя (INVALID_PARAMETER) при попытке присоединиться к домену.

Отсутствует DNS-сервер. Убедитесь, что IP-адрес DNS-сервера AD добавлен в качестве сервера имен.

Если ваша конфигурация неверна, вы можете увидеть ошибку Не удалось найти контроллеры домена при попытке присоединиться к домену.

Поиск узлов DNS не используется. Убедитесь, что для поиска хоста используется DNS.

Используйте команду svccfg, чтобы обновить свойства для system/name-service/switch и network/dns/client. См. справочную страницу svccfg(8).

Не удается получить доступ к общим ресурсам SMB из клиента Windows 10, когда включен реестр TryIPSPN

Начиная с Windows 10, клиенты могут включить проверку подлинности Kerberos с именами участников-служб на основе IP-адресов (SPN), создав запись реестра TryIPSPN. Однако Oracle Solaris не поддерживает имена участников-служб на основе IP-адресов.

Как и Windows, Oracle Solaris не регистрирует имена участников-служб на основе IP-адресов как часть присоединения к домену AD. Корпорация Майкрософт отмечает следующие потенциальные проблемы с именами участников-служб на основе IP-адресов: IP-адреса обычно не используются вместо имен хостов, поскольку IP-адреса часто являются временными. Использование IP-адресов может привести к конфликтам и сбоям аутентификации, поскольку срок действия аренды адреса истекает и продлевается. Таким образом, регистрация имени участника-службы на основе IP-адреса выполняется вручную и должна использоваться только в том случае, если невозможно переключиться на имя узла на основе DNS.

Если параметр реестра TryIPSPN включен, клиенты Windows 10 могут продолжать получать доступ к общим ресурсам SMB, экспортированным системой Oracle Solaris, через NTLMSSP. Если администратор домена вручную добавил имена участников-служб cifs\IP-адрес в атрибут ServicePrincipalName объекта компьютера AD, Windows KDC сможет выдавать билеты службы CIFS для системы Oracle Solaris с использованием IP-адреса. SPN. Однако если впоследствии клиент представит билет службы CIFS, который использует имена SPN на основе IP-адресов для доступа к ресурсам SMB в системе, подсистема Oracle Solaris Kerberos отклонит контекст безопасности из-за отсутствия поддержки SPN на основе IP-адресов. В результате syslog будет содержать следующие сообщения уровня уведомления:

Чтобы избежать этой проблемы, не публикуйте имена участников-служб на основе IP-адресов на сервере AD.

Убедитесь, что вы указали правильный пароль для пользователя домена

Пользователь, указанный в командной строке smbadm join, должен иметь правильный пароль и полномочия для создания учетных записей компьютеров.

Если вы укажете неверный пароль для администратора, появится следующее сообщение об ошибке:

Убедитесь, что программное обеспечение брандмауэра не отфильтровывает необходимые порты

Некоторые брандмауэры могут отфильтровывать определенные порты, что не позволит SMB-серверу успешно присоединиться к домену.

Следующие сетевые протоколы используются службой smbd во время операции присоединения к домену и должны быть доступны для службы Oracle Solaris SMB:

Протокол блоков сообщений сервера (протокол SMB) — это протокол связи клиент-сервер, используемый для совместного доступа к файлам, принтерам, последовательным портам и данным в сети. Он также может поддерживать протоколы транзакций для аутентификации межпроцессного взаимодействия.

Короче говоря, протокол SMB позволяет компьютерам взаимодействовать друг с другом.

Как работает протокол SMB?

SMB работает по принципу клиент-сервер, когда клиент отправляет определенные запросы, а сервер отвечает соответствующим образом. Это известно как протокол ответа-запроса. Этот протокол упрощает обмен файлами между сетевыми компьютерами.

После подключения он позволяет пользователям или приложениям отправлять запросы к файловому серверу и получать доступ к таким ресурсам, как общий доступ к принтеру, почтовые слоты и именованные каналы на удаленном сервере. Это означает, что пользователь приложения может открывать, читать, перемещать, создавать и обновлять файлы на удаленном сервере.

SMB изначально был разработан Барри Фейгенбаумом из IBM в 1983 году с целью превратить локальный доступ к файлам DOS INT 21h в сетевую файловую систему и изначально предназначался для работы поверх NetBIOS через TCP/IP (NBT) с использованием IP-порта. 139 и UDP-порты 137 и 138.

Программные приложения, работающие в службе сеансов NetBIOS, находят и идентифицируют друг друга по именам NetBIOS через TCP-порт 139.

Microsoft объединила протокол SMB со своим продуктом LAN Manager, разработку которого она начала в 1990 году, и продолжает добавлять функции в протокол в Windows для рабочих групп.

В 1996 году корпорация Майкрософт выступила с инициативой переименовать SMB в Common Internet File System (CIFS) и добавила дополнительные функции, в том числе поддержку символических ссылок, жестких ссылок, больших размеров файлов и первоначальную попытку поддержки прямых подключений через порт TCP. 445, не требуя NetBIOS в качестве транспорта (в значительной степени экспериментальная попытка, которая потребовала дальнейшей доработки).

В Microsoft Windows 2000 Microsoft изменила SMB, чтобы он работал через порт 445. SMB по-прежнему использует порт 445.

Это оказалось проблематичным, поскольку CIFS был печально известным протоколом болтливости, который мог снизить производительность сети из-за задержки и многочисленных подтверждений. По оценкам Microsoft, SMB/CIFS скомпрометировали менее 10 % сетевого трафика в средней корпоративной сети, но это все равно значительный объем трафика.

Microsoft объяснила, что проблемы с производительностью в первую очередь связаны с тем, что SMB 1.0 — это блочный, а не потоковый протокол, который был разработан для небольших локальных сетей.

Следующий диалект, SMB 2.0, улучшил эффективность протокола, уменьшив количество сотен команд и подкоманд до 19.

Microsoft продолжает вкладывать средства в повышение производительности и безопасности малого и среднего бизнеса. SMB 3.0, представленный в Windows 8 и Windows Server 2012, принес несколько существенных изменений, которые добавили функциональность и повысили производительность SMB2, особенно в виртуализированных центрах обработки данных.

Кроме того, он представил несколько улучшений безопасности, таких как сквозное шифрование и новый алгоритм подписи на основе AES.

Что такое диалекты протокола SMB?

Протокол SMB был создан в 1980-х годах компанией IBM и породил несколько диалектов, предназначенных для удовлетворения меняющихся сетевых требований.Например, упомянутая выше общая файловая система Интернета (CIFS) представляет собой конкретную реализацию SMB, позволяющую обмениваться файлами.

Важные реализации SMB включают:

SMB 1.0 (1984 г.)

‍Создано IBM для обмена файлами в DOS. Он представил уступающую блокировку как механизм кэширования на стороне клиента, предназначенный для уменьшения сетевого трафика.

Самба (1992)

‍Samba — это реализация протокола SMB и Microsoft Active Directory с открытым исходным кодом для систем Unix и дистрибутивов Linux, которая поддерживает общий доступ к файлам и службы печати, аутентификацию и авторизацию, разрешение имен и служебные объявления между серверами Linux/Unix и клиентами Windows. .

CIFS (1996 г.)

‍Разработанный Microsoft диалект SMB, который впервые появился в Windows 95 и добавил поддержку файлов большего размера, прямой передачи через TCP/IP, символических и жестких ссылок.

NQ (1998)

‍NQ — это семейство переносимых клиентских и серверных реализаций SMB, разработанных Visuality Systems. NQ переносится на платформы, отличные от Windows, такие как Linux, iOS и Android, и поддерживает диалект SMB 3.1.1.

Нетсмб (2004 г.)

‍Netsmb — это семейство встроенных в ядро реализаций SMB-клиента и сервера в операционных системах BSD.

SMB 2.0 (2006 г.)

‍Выпущенная вместе с Windows Vista и Windows Server 2008, она уменьшила количество болтовни для повышения производительности, повышения масштабируемости и отказоустойчивости, а также добавила поддержку ускорения WAN.

Tuxera SMB (2009 г.)

‍Tuxera также является проприетарной реализацией SMB, которая работает либо в ядре, либо в пользовательском пространстве.

Аналогично (2009 г.)

‍Аналогичным образом была разработана реализация CIFS/SMB, которая предоставила многопротокольную платформу с идентификацией для сетевого доступа к файлам в OEM-продуктах хранения, созданных на платформах на базе Linux/Unix.

SMB 2.1 (2010 г.)

‍Введено в Windows Server 2008 R2 и Windows 7. Модель аренды клиентской непредвиденной блокировки заменила уступающую блокировку для улучшения кэширования и повышения производительности. Также была введена поддержка больших максимальных единиц передачи (MTU) и улучшена энергоэффективность, что позволяет клиентам открывать файлы с сервера SMB для перехода в спящий режим.

SMB 3.0 (2012 г.)

‍Выпущено в Windows 8 и Windows Server 2012. В нем представлено несколько значительных улучшений доступности, производительности, резервного копирования, безопасности и управления.

МоСМБ (2012 г.)

‍MoSMB — это запатентованная реализация SMB для Linux и других Unix-подобных систем, разработанная Ryussi Technologies. Он поддерживает только SMB 2.x и SMB 3.x.‍

SMB 3.02 (2014 г.)

‍Введено в Windows 8.1 и Windows Server 2012 R2 и включает обновления производительности и возможность отключения поддержки CIFS/SMB 1.0, включая удаление связанных двоичных файлов.

SMB 3.1.1 (2015 г.)

‍Выпущено с Windows 10 и Windows Server 2016 и дополнено поддержкой расширенного шифрования, целостности предварительной проверки подлинности для предотвращения атак "человек посередине" и ограждения диалектов кластера.

Что такое порты 139 и 445?

SMB — это сетевой протокол обмена файлами, для которого требуется открытый порт на компьютере или сервере для связи с другими системами. Порты SMB обычно имеют номера портов 139 и 445.

Порт 139 используется диалектами SMB, которые взаимодействуют через NetBIOS. Это протокол транспортного уровня, предназначенный для использования в операционных системах Windows по сети.

Порт 445 используется более новыми версиями SMB (после Windows 2000) поверх стека TCP, что позволяет SMB обмениваться данными через Интернет. Это также означает, что вы можете использовать IP-адреса для использования SMB, такого как общий доступ к файлам.

Опасны ли открытые порты?

Хотя порты 139 и 445 не являются опасными по своей сути, существуют известные проблемы с раскрытием этих портов в Интернете. Проверить, открыт ли порт, можно с помощью команды netstat.

Существует распространенное заблуждение, что открытый порт опасен. Во многом это вызвано непониманием того, как работают открытые порты, почему они открыты и какие из них открывать не следует.

Открытые порты необходимы для связи через Интернет. Однако открытый порт может стать угрозой безопасности, если служба, прослушивающая порт, неправильно настроена, не имеет исправлений, уязвима для эксплойтов или имеет плохие правила сетевой безопасности.

Наиболее опасными открытыми портами являются порты, которые могут быть заражены червем, например тот, который использует протокол SMB, который по умолчанию открыт в некоторых операционных системах.

Ранние версии протокола SMB использовались во время атаки программы-вымогателя WannaCry с помощью эксплойта нулевого дня под названием EternalBlue.

WannaCry использовала устаревшие версии компьютеров Windows, в которых использовалась устаревшая версия протокола SMB. WannaCry — это сетевой червь с транспортным механизмом, предназначенным для автоматического распространения. Транспортный код сканирует системы, уязвимые для эксплойта EternalBlue, а затем устанавливает DoublePulsar, лазейку, и запускает свою копию.

Зараженный компьютер будет искать в своей сети Windows устройства, принимающие трафик через TCP-порты 135–139 или 445, что указывает на то, что система настроена для запуска SMB.

Затем он инициирует подключение к устройству по протоколу SMBv1 и использует переполнение буфера, чтобы получить контроль над системой и установить атакующий компонент программы-вымогателя.

Это означает, что WannaCry может распространяться автоматически без участия жертвы.

Хорошей новостью является то, что с тех пор Windows выпустила обновление безопасности для Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server. 2012 и Windows Server 2016, чтобы предотвратить эту уязвимость.

Как обеспечить безопасность портов 139 и 445

Вот еще несколько способов защитить порты 139 и 445.

Избегайте раскрытия портов SMB

‍Порты 135–139 и 445 небезопасны для публичного доступа и не были безопасными уже десять лет.

Исправить все

‍Обновляйте свои системы, чтобы избежать использования известных уязвимостей.

Нет единой точки отказа

‍Будь то программа-вымогатель, вредоносное ПО, аппаратный сбой, ошибка базы данных или что-то еще. Если ваши данные важны, то их следует сделать резервную копию, по крайней мере, в одном другом безопасном месте. ‍

Используйте брандмауэр или Endpoint Protection

‍Большинство решений включают черный список IP-адресов известных злоумышленников.

Использовать виртуальную частную сеть (VPN)

Внедрение виртуальных локальных сетей (VLAN)

‍VLAN можно использовать для изоляции внутреннего сетевого трафика

Использовать фильтрацию MAC-адресов

‍Это может предотвратить доступ неизвестных систем к вашей сети.

UpGuard может защитить ваши открытые порты

UpGuard может защитить ваш бизнес от утечек данных, выявить все утечки ваших данных и помочь вам постоянно отслеживать состояние безопасности всех ваших поставщиков.

UpGuard также поддерживает соответствие множеству систем безопасности, включая новые требования, установленные Исполнительным указом Байдена о кибербезопасности.

Проверьте безопасность своего веб-сайта. НАЖМИТЕ ЗДЕСЬ, чтобы получить мгновенную оценку безопасности прямо сейчас!

Читайте также: