Настройка Lanman для Windows 10

Обновлено: 18.05.2024

В Windows 10 версии 1709, Windows 10 версии 1903, Windows Server версии 1709, Windows Server версии 1903 и Windows Server 2019 клиент SMB2 больше не позволяет выполнять следующие действия:

Доступ гостевой учетной записи к удаленному серверу
Возврат к гостевой учетной записи после предоставления неверных учетных данных

Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
Выпуски Windows Server 2016 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
Выпуски Windows 10 Домашняя и Профессиональная не изменились по сравнению с предыдущим поведением по умолчанию.

Если вы попытаетесь подключиться к Nodeum с локальным определением пользователя, а ваш пользователь для входа в Nodeum не определен, вы можете получить следующее сообщение об ошибке:

Вы не можете получить доступ к этой общей папке, поскольку политики безопасности вашей организации блокируют неавторизованный гостевой доступ. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

Решения

Решение 1

Вам необходимо сопоставить общую папку Nodeum с буквой локальной сети, используя разные учетные данные (имя пользователя-пароль). Вы должны использовать имя пользователя, которое определено в Nodeum. После этого это сопоставление будет определено, и вы получите доступ к Nodeum с этим письмом. Но в совокупности эти учетные данные будут запоминаться Windows и позволят отображать все доступные общие сетевые папки и получать к ним доступ.

Решение 2

Повторно включите резервный гостевой аккаунт

Перейдите в редактор локальной групповой политики.
Перейдите в Административные шаблоны — Сеть — Рабочая станция Lanman.
Затем для параметра «Включить небезопасный гостевой вход» необходимо установить значение «Включить».
1. Включить: разрешить гостевое использование и решить проблему.
2. Отключить : не разрешает использование гостей и создает эту проблему.
Решение 3

Измените параметр Samba "сопоставить с гостем" на Nodeum. Стандартная настройка по умолчанию: «сопоставить с гостем = плохой пользователь». Этот параметр устанавливает флаг гостевого сеанса во время первоначального подключения к дереву SMB, и перечисленные версии Windows могут в конечном итоге не установить сеанс.

При изменении на "map to guest = Never" клиент Windows не прерывает подключение, а запрашивает пароль.

Это изменение работает, даже если для параметра «Разрешить небезопасный гостевой вход» установлено значение «Отключить».

В этой статье содержится информация о том, как Windows отключает гостевой доступ в SMB2 и SMB3 по умолчанию, а также приводятся параметры для включения небезопасного гостевого входа в групповую политику. Однако обычно это делать не рекомендуется.

Применимо к: Windows 10 — все выпуски, Windows Server 2019
Исходный номер базы знаний: 4046019

Симптомы

Начиная с Windows 10 версии 1709 и Windows Server 2019 клиенты SMB2 и SMB3 больше не позволяют выполнять следующие действия по умолчанию:
- Доступ гостевой учетной записи к удаленному серверу.
- Возврат к гостевой учетной записи после предоставления неверных учетных данных.
SMB2 и SMB3 ведут себя в этих версиях Windows следующим образом:
- Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
- Выпуски Windows Server 2019 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
- Windows 10 Home и Pro не изменились по сравнению с предыдущим поведением по умолчанию; они разрешают гостевую аутентификацию по умолчанию.
Это поведение Windows 10 наблюдается в Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, а также в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, если установлено обновление KB5003173. Это поведение по умолчанию ранее было реализовано в Windows 10 1709, но позже ухудшилось в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, где гостевая аутентификация не была отключена по умолчанию, но по-прежнему могла быть отключена администратором. Подробнее о том, как отключить гостевую аутентификацию, см. ниже.

Если вы попытаетесь подключиться к устройствам, которые запрашивают учетные данные гостя вместо соответствующих участников, прошедших проверку подлинности, вы можете получить следующее сообщение об ошибке:

Вы не можете получить доступ к этой общей папке, поскольку политики безопасности вашей организации блокируют неавторизованный гостевой доступ. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

Кроме того, если удаленный сервер пытается заставить вас использовать гостевой доступ или если администратор разрешает гостевой доступ, в журнале событий SMB-клиента регистрируются следующие записи:

Запись журнала 1

Руководство

Это событие указывает на то, что сервер попытался войти в систему как не прошедший проверку подлинности гость, но клиент отклонил эту попытку. Гостевые входы не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, гостевой вход в систему уязвим для атак «человек посередине», которые могут раскрыть конфиденциальные данные в сети. Windows по умолчанию отключает небезопасные (небезопасные) гостевые входы в систему. Мы рекомендуем не разрешать небезопасный гостевой вход.

Запись журнала 2

Значение реестра по умолчанию:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Настроенное значение реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Руководство

Это событие означает, что администратор включил небезопасный гостевой вход в систему. Небезопасный гостевой вход происходит, когда сервер регистрирует пользователя как неаутентифицированного гостя. Обычно это происходит в ответ на сбой аутентификации. Гостевые входы в систему не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, разрешение гостевого входа в систему делает клиент уязвимым для атак типа «злоумышленник посередине», которые могут раскрыть конфиденциальные данные в сети. Windows по умолчанию отключает небезопасный гостевой вход в систему. Мы рекомендуем не разрешать небезопасный гостевой вход.

Причина

Это изменение в поведении по умолчанию разработано и рекомендовано корпорацией Майкрософт из соображений безопасности.

Вредоносный компьютер, выдающий себя за законный файловый сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Мы рекомендуем не изменять этот параметр по умолчанию. Если удаленное устройство настроено на использование гостевых учетных данных, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную аутентификацию и авторизацию.

Windows и Windows Server не разрешают гостевой доступ и не разрешают удаленным пользователям подключаться в качестве гостей или анонимных пользователей, начиная с Windows 2000. По умолчанию гостевой доступ может требоваться только для сторонних удаленных устройств. Операционные системы, предоставляемые корпорацией Майкрософт, не поддерживаются.

Разрешение

Если вы хотите включить небезопасный гостевой доступ, вы можете настроить следующие параметры групповой политики:
1. Откройте редактор локальной групповой политики (gpedit.msc).
2. В дереве консоли выберите Конфигурация компьютера > Административные шаблоны > Сеть > Рабочая станция Lanman.
3. Для этого параметра щелкните правой кнопкой мыши Включить небезопасный гостевой вход и выберите Изменить.
4. Выберите «Включено» и нажмите «ОК».
При изменении групповой политики домена Active Directory используйте управление групповыми политиками (gpmc.msc).

В целях мониторинга и инвентаризации: эта групповая политика устанавливает для следующего значения реестра DWORD значение 1 (небезопасная гостевая аутентификация включена) или 0 (небезопасная гостевая аутентификация отключена):

Чтобы задать значение без использования групповой политики, установите для следующего параметра реестра DWORD значение 1 (небезопасная гостевая аутентификация включена) или 0 (небезопасная гостевая аутентификация отключена):

Как обычно, параметр значения в групповой политике переопределяет параметр значения в значении реестра, не относящемся к групповой политике.

В Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 и Windows Server 2019 гостевая аутентификация отключена, если AllowInsecureGuestAuth существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters ] Алловинсекурегуестаутс .

В выпусках Windows 10 2004, Windows 10 20H2 и Windows 10 21H1 Enterprise и Education с установленным обновлением KB5003173 гостевая аутентификация отключается, если AllowInsecureGuestAuth не существует или существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth . Редакции Home и Pro по умолчанию разрешают гостевую аутентификацию, если вы не отключите ее с помощью групповой политики или настроек реестра.

Включив небезопасный гостевой вход, этот параметр снижает безопасность клиентов Windows.

Подробнее

Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и резервный гостевой доступ.

SMB1 удаляется по умолчанию в последних конфигурациях Windows 10 и Windows Server. Дополнительные сведения см. в статье SMBv1 по умолчанию не установлен в Windows 10 версии 1709, Windows Server версии 1709 и более поздних версиях.

Почему Windows 10 не запрашивает учетные данные при подключении к моему сетевому ресурсу? Распечатать

Изменено: вторник, 15 марта 2022 г., 8:00

Симптом:

Когда пользователь пытается получить доступ к общему ресурсу из проводника Windows, он получает следующую ошибку, не получая запроса на ввод своих учетных данных:

Причина:

В Windows 10 версии 1709 (обновление Fall Creator's Update) есть раздел реестра, который отключает гостевой доступ к SMB2 и называется «AllowInsecureGuestAuth». По умолчанию для этого ключа установлено значение 0.

Ключ находится по адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Эта функция разработана и рекомендована Microsoft в целях безопасности.

Решение:

Любое из приведенных ниже указаний решит проблему с доступом к сетевому ресурсу.

Рекомендация 1:

Убедитесь, что имя пользователя, используемое для входа в клиент Windows, существует в системе Morro Data. Имя пользователя может быть либо сетевым именем пользователя для режима пользователя или режима Active Directory, либо адресом электронной почты в Office365 Azure для режима Azure AD. Если имена пользователей существуют в системе Morro Data, пользователю будет предложено ввести свои учетные данные.

Рекомендация 2:

Измените значение AllowInsecureGuestAuth на 1, чтобы разрешить гостевой доступ к общим ресурсам SMB2.

Откройте редактор реестра, выполнив команду «regedit» в меню «Выполнить».

Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Найдите ключ AllowInsecureGuestAuth и измените значение на 1.

Рекомендация 3:

Удалить ключ "AllowInsecureGuestAuth"

Откройте редактор реестра, выполнив команду «regedit» в меню «Выполнить».

Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Найдите ключ AllowInsecureGuestAuth.

Щелкните правой кнопкой мыши ключ и выберите "Удалить".

Рекомендация 4:

Измените следующий параметр групповой политики, чтобы разрешить небезопасный гостевой доступ:
1. Откройте редактор локальной групповой политики.
2. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Сеть\Рабочая станция Lanman
3. Для параметра "Разрешить небезопасный гостевой вход" щелкните правой кнопкой мыши и выберите "Изменить".
4. Выберите «Включено» и нажмите «ОК».
Дополнительная информация:

Проблема связана с Windows 10 и Windows Server версии 1709. В Windows 10 версии 1803 ключ не существует.

Если вы не можете открыть или сопоставить общие сетевые папки на вашем NAS, сервере Samba Linux, компьютерах с устаревшими версиями Windows (Windows 7/XP/Server 2003) из Windows 10 или 11, скорее всего, проблема заключается в том, что устаревшие и небезопасные версии протокола SMB отключены в текущих сборках Windows (протокол SMB используется в Windows для доступа к общим сетевым папкам и файлам).

Microsoft систематически отключает устаревшие и небезопасные версии протокола SMB во всех последних версиях Windows. Начиная с Windows 10 1709 и Windows Server 2019 (в выпусках Datacenter и Standard) по умолчанию отключен небезопасный протокол SMBv1, а также анонимный (гостевой) доступ к сетевым общим папкам.

Конкретные действия зависят от ошибки, которая появляется в Windows при доступе к общей папке, и от настроек удаленного сервера SMB, на котором размещены общие сетевые ресурсы.

Не удается получить доступ к общей папке, так как политики безопасности блокируют гостевой доступ без аутентификации

Начиная с Windows 10 build 1709 Fall Creators Update (выпуски Enterprise и Education) пользователи стали жаловаться, что при попытке открыть общую сетевую папку на соседнем компьютере появлялась ошибка:

Кроме того, на других компьютерах с Windows 8.1, Windows 7 или Windows 10 со сборкой до 1709 те же общие сетевые папки открываются нормально. Дело в том, что в современных версиях Windows 10 (сборка 1709+) гостевой доступ к общим папкам по протоколу SMBv2 отключен по умолчанию. Гость (анонимный) означает доступ к общей сетевой папке без аутентификации. При доступе к сетевой папке под гостевой учетной записью по протоколу SMBv1/v2 не используются такие методы защиты трафика, как SMB-подпись и шифрование, что делает вашу сессию уязвимой для атак MiTM (man-in-the-middle).< /p>
Эти изменения не применяются в выпусках Windows 10 Home, и доступ к сети под гостевой учетной записью работает нормально.

Если вы попытаетесь открыть общую сетевую папку по протоколу SMB v2 под гостевой учетной записью, в средстве просмотра событий вашего компьютера (SMB-клиент) появится следующая ошибка:

Эта ошибка говорит о том, что ваш компьютер (клиент) блокирует неавторизованный доступ под гостевой учетной записью.

В большинстве случаев вы можете столкнуться с этой проблемой при доступе к старым устройствам NAS (обычно на них включен гостевой доступ для простоты настройки) или при открытии общих папок на устаревших устройствах Windows 7/2008 R2/Windows XP/2003 с анонимным доступом. (гостевой) доступ включен (см. таблицу поддерживаемых версий протокола SMB в разных редакциях Windows).

Microsoft рекомендует изменить настройки на удаленном компьютере или устройстве NAS, на котором размещены общие сетевые папки. Сетевую папку желательно перевести в режим SMBv3. Или настроить доступ с аутентификацией, если устройство поддерживает только протокол SMBv2. Это самый правильный и безопасный способ решить проблему.

Отключите гостевой доступ на устройстве, где хранятся ваши общие папки:
- NAS-устройства — отключите гостевой доступ в настройках вашего NAS-устройства (в зависимости от производителя и модели);
- Сервер Samba в Linux — если вы используете сетевую папку совместно с Samba в Linux, добавьте следующую строку в файл конфигурации smb.conf в разделе [global]: map to guest = never
  И ограничьте анонимность доступ в раздел конфигурации общей папки: гость ок = нет
- В Windows вы можете включить общий доступ к сетевым папкам и принтерам с защитой паролем через Панель управления -> Центр управления сетями и общим доступом -> Дополнительные параметры общего доступа. Для всех сетей в разделе «Общий доступ, защищенный паролем» измените значение на «Включить общий доступ, защищенный паролем». В этом случае анонимный (гостевой) доступ к сетевым общим папкам будет отключен, и вам придется создавать локальных пользователей, предоставлять им права доступа к общим папкам и принтерам и использовать эти учетные записи для подключения к общим папкам на удаленном компьютере. .
Есть еще один способ: вы можете изменить настройки на своем устройстве Windows, чтобы разрешить доступ к общим сетевым папкам под гостевой учетной записью. Этот метод следует использовать только как временный обходной путь (. ), поскольку доступ к папкам без аутентификации значительно снижает безопасность вашего компьютера.

Чтобы включить гостевой доступ с вашего компьютера, вам нужно использовать редактор групповой политики ( gpedit.msc ). Перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman. Найдите и включите политику Разрешить небезопасный гостевой вход. Этот параметр политики определяет, будет ли клиент SMB разрешать небезопасный гостевой вход на сервер SMB.

В Windows 10 Домашняя, в которой нет локального редактора GPO, вы можете внести аналогичные изменения вручную через редактор реестра:

Или с помощью этих команд:

reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
reg add HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation /v AllowInsecureGuestAuth /t reg_dword / д 00000001 / ф

Не удается подключиться к файловому ресурсу, поскольку он небезопасен и требует устаревшего протокола SMB1

Еще одна возможная проблема при доступе к сетевой папке из Windows 10 заключается в том, что на стороне сервера поддерживается только версия протокола SMBv1. Поскольку клиент SMBv1 по умолчанию отключен в Windows 10 1709+, при попытке открыть общую папку или подключить сетевой диск может появиться ошибка:

В этом случае соседние компьютеры могут не отображаться в локальной сети, а при открытии общей папки по UNC-пути может появиться ошибка 0x80070035.

Сообщение об ошибке ясно показывает, что общая сетевая папка поддерживает только протокол клиентского доступа SMBv1. В этом случае следует попытаться перенастроить удаленное SMB-устройство для использования как минимум SMBv2 (правильный и безопасный способ).

Если вы используете сервер Samba в Linux для обмена файлами, вы можете указать минимальную поддерживаемую версию протокола SMB в файле smb.conf следующим образом:

В Windows 7/Windows Server 2008 R2 вы можете отключить протокол SMB 1 и включить SMBv2 через реестр с помощью следующих команд PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\ LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

В Windows 8.1/Windows Server 2012 R2, вы можете отключить SMBv1, разрешить SMBv2 и SMBv3 с помощью следующей команды (убедитесь, что для вашего сетевого подключения используется частный или доменный профиль):

Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true

Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003) поддерживает только протокол SMB1, вы можете включить отдельную функцию SMB1Protocol-Client в Windows 10/11 или Windows Server. Но это не рекомендуется.

Если удаленному устройству для подключения требуется SMBv1, а этот протокол отключен на вашем устройстве Windows, в средстве просмотра событий появится сообщение об ошибке:

Запустите командную строку PowerShell с повышенными привилегиями и убедитесь, что SMB1Protocol-Client отключен (состояние: отключено):

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Включите клиентский протокол SMBv1 (требуется перезагрузка):

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Вы также можете включить/отключить дополнительные функции в Windows 10 и 11 в файле optionalfeatures.exe . Разверните поддержку общего доступа к файлам SMB 1.0/CIFS и включите клиент SMB 1.0/CIFS.

В Windows 10 1809 и новее клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).

В этом примере я включил только клиент SMBv1. Не включайте функцию SMB1Protocol-Server, если ваш компьютер не используется устаревшими клиентами в качестве SMB-сервера для размещения общих папок.

После установки клиента SMBv1 вы сможете без проблем подключиться к общей папке или принтеру. Однако вы должны понимать, что этот обходной путь не рекомендуется, поскольку он снижает безопасность вашего компьютера.

Windows не может получить доступ к общей папке: у вас нет разрешений

При подключении к общей сетевой папке на удаленном компьютере может появиться ошибка:

При возникновении этой ошибки необходимо:
1. Убедитесь, что пользователю, которого вы используете для доступа к общей папке, предоставлены права доступа к удаленной общей папке. Откройте свойства общей папки на сервере и убедитесь, что у вашего пользователя есть как минимум права на чтение. Кроме того, вы можете проверить права доступа к общему ресурсу на удаленном узле с помощью PowerShell:
  Get-SmbShareAccess -Name "tools"
  Затем проверьте права доступа к папке NTFS:
  get-acl C:\tools\ |fl При необходимости отредактируйте разрешения в свойствах папки и/или общего ресурса;
2. Убедитесь, что вы используете правильное имя пользователя и пароль для доступа к сетевой папке. Если вам не предлагается ввести имя пользователя и пароль, попробуйте удалить сохраненные (кэшированные) учетные данные для удаленных общих ресурсов в диспетчере учетных данных Windows. Запустите команду rundll32.exe keymgr.dll, KRShowKeyMgr и удалите кэшированные учетные данные для удаленного компьютера, к которому вы пытаетесь получить доступ.
  При следующем подключении к общей папке вам будет предложено ввести имя пользователя и пароль. Укажите учетные данные для доступа к общей сетевой папке на удаленном компьютере. Вы можете сохранить его в диспетчере учетных данных или добавить вручную.