Trong Windows Server 2016/2019 và Windows 10 (bắt đầu từ bản dựng 1709), giao thức mạng Server Message Block 1.0 (SMBv1) được sử dụng để truy cập các thư mục chia sẻ bị tắt theo mặc định. Trong hầu hết các trường hợp, giao thức này được yêu cầu để truy cập các thư mục chia sẻ được lưu trữ trên các hệ thống cũ, chẳng hạn như Windows XP, Windows Server 2003 và các hệ điều hành cũ hơn không còn được hỗ trợ. Trong bài viết này, chúng ta sẽ xem xét cách bật hoặc tắt hỗ trợ máy khách và máy chủ SMBv1 trên Windows 10 và Windows Server 2016/2019.
Nếu không còn ứng dụng khách SMB 1.x nào trên mạng của bạn, bạn phải tắt hoàn toàn SMBv1 trên tất cả các thiết bị Windows. Bằng cách vô hiệu hóa SMB 1.0, bạn có thể bảo vệ máy tính Windows khỏi một loạt các lỗ hổng trong giao thức kế thừa này (cách khai thác công khai nổi tiếng nhất cho SMBv1 là EternalBlue). Do đó, thiết bị của bạn sẽ sử dụng các phiên bản mới, hiệu quả hơn, an toàn hơn và chức năng của giao thức SMB khi truy cập mạng chia sẻ.
Trong một trong các bài viết trước, chúng tôi đã trình bày bảng tương thích phiên bản SMB phía máy khách và máy chủ. Theo bảng, các phiên bản máy khách cũ (XP, Server 2003 và một số máy khách * nix) chỉ có thể truy cập các thư mục chia sẻ mạng bằng giao thức SMB v1.0. Nếu không có máy khách nào như vậy trong mạng, bạn có thể tắt hoàn toàn SMB 1.0 ở phía máy chủ tệp (bao gồm cả bộ điều khiển miền AD) và máy tính khách.
Trong Windows 10 và Windows Server 2016, giao thức SMBv1 được chia thành hai thành phần riêng biệt - SMB client và máy chủ SMB , có thể được bật / tắt một cách độc lập.
Nội dung:
- Kiểm tra quyền truy cập thư mục được chia sẻ qua SMB v1.0
- Bật / Tắt SMB 1.0 trên Windows Server 2016/2019
- Cách Bật / Tắt SMBv1 trên Windows 10?
- Tắt Máy khách và Máy chủ SMBv1 thông qua Chính sách Nhóm
Kiểm tra quyền truy cập thư mục được chia sẻ qua SMB v1.0
Trước khi tắt hoặc xóa hoàn toàn trình điều khiển SMB 1.0 ở phía máy chủ tệp SMB, bạn cần đảm bảo rằng không có ứng dụng khách kế thừa nào sử dụng trình điều khiển đó trong mạng của bạn. Để thực hiện việc này, hãy bật kiểm tra quyền truy cập máy chủ tệp qua SMB v1.0 bằng lệnh PowerShell sau:
Set-SmbServerConfiguration –AuditSmb1Access $true
Sau một vài ngày, hãy mở Trình xem sự kiện trên máy chủ, kiểm tra nhật ký Ứng dụng và dịch vụ -> Microsoft -> Windows -> SMBServer -> Audi t và xem liệu có khách hàng nào đã truy cập vào máy chủ tệp qua SMB1 hay không.
Mẹo. Bạn có thể hiển thị danh sách các sự kiện từ nhật ký sự kiện này bằng lệnh PowerShell sau:Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit Trong ví dụ của chúng tôi, một sự kiện có EventID 3000 từ SMBServer nguồn đã được tìm thấy trong nhật ký. Sự kiện chỉ ra rằng máy khách 192.168.1.10 đang cố gắng truy cập máy chủ bằng giao thức SMB1.
SMB1 access Client Address: 192.168.1.10 Guidance: This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.
Bạn cần tìm máy tính hoặc thiết bị này trên mạng và cập nhật hệ điều hành hoặc chương trình cơ sở lên phiên bản hỗ trợ các phiên bản giao thức SMB mới hơn:SMBv2 hoặc SMBv3.
Trong trường hợp của chúng tôi, chúng tôi sẽ bỏ qua thông tin này, nhưng bạn nên nhớ rằng sau này ứng dụng khách này sẽ không thể truy cập các thư mục được chia sẻ trên máy chủ SMB này.
Bật / Tắt SMB 1.0 trên Windows Server 2016/2019
Trong Windows Server 2016 bắt đầu với bản dựng 1709 và Windows Server 2019, SMBv1 bị tắt theo mặc định. Để bật hỗ trợ giao thức máy khách SMBv1 trong các phiên bản Windows Server mới hơn, bạn cần cài đặt Hỗ trợ chia sẻ tệp SMB 1.0 / CIFS riêng biệt tính năng.
Bạn có thể cài đặt tính năng SMBv1 bằng Trình quản lý máy chủ hoặc thông qua PowerShell.
Bạn có thể kiểm tra xem SMBv1 đã được bật hay chưa bằng lệnh PowerShell:
Get-WindowsFeature | Where-Object {$_.name -eq "FS-SMB1"} | ft Name,Installstate
Để cài đặt FS-SMB1 tính năng, chạy:
Install-WindowsFeature FS-SMB1
Để gỡ cài đặt tính năng máy khách SMBv1 (yêu cầu khởi động lại), hãy chạy lệnh:
Uninstall-WindowsFeature –Name FS-SMB1 –Remove
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Để máy chủ của bạn xử lý quyền truy cập máy khách SMBv1.0, bạn cần bật hỗ trợ SMBv1 ở cấp máy chủ tệp SMB ngoài FS-SMB1 thành phần. Để kiểm tra xem quyền truy cập SMBv1 có được bật cho chia sẻ mạng trên máy chủ của bạn hay không, hãy chạy:
Get-SmbServerConfiguration
Dòng “EnableSMB1Protocol: True ”Có nghĩa là bạn được phép truy cập các thư mục chia sẻ trên máy chủ này bằng giao thức SMBv1. Để tắt hỗ trợ máy chủ SMBv1 trong Windows Server, hãy chạy lệnh PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Bây giờ hãy sử dụng Get-SmbServerConfiguration lệnh ghép ngắn để đảm bảo máy chủ SMB1 bị vô hiệu hóa.
Để bật hỗ trợ SMBv1 trên máy chủ, hãy chạy lệnh:
Set-SmbServerConfiguration -EnableSMB1Protocol $True -Force
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Cách Bật / Tắt SMBv1 trên Windows 10?
Như chúng tôi đã nói, trong tất cả các phiên bản mới của Windows10 (bắt đầu từ năm 1709), hỗ trợ cho giao thức SMB1 bị vô hiệu hóa (quyền truy cập của khách qua giao thức SMBv2 cũng bị vô hiệu hóa).
Trong Windows 10, bạn có thể kiểm tra trạng thái của các thành phần giao thức SMBv1 bằng lệnh DISM:
Dism /online /Get-Features /format:table | find "SMB1Protocol"
Trong ví dụ của chúng tôi, bạn có thể thấy rằng tất cả các tính năng của SMBv1 đều bị tắt:
SMB1Protocol | Disabled SMB1Protocol-Client | Disabled SMB1Protocol-Server | Disabled SMB1Protocol-Deprecation | Disabled
Trong Windows 10, bạn cũng có thể quản lý các tính năng SMB 1 từ Bảng điều khiển (optionalfeatures.exe ). Mở rộng Hỗ trợ chia sẻ tệp SMB 1.0 / CIFS Lựa chọn. Như bạn có thể thấy, 3 thành phần SMBv1 cũng có sẵn tại đây:
- Loại bỏ tự động SMB 1.0 / CIFS
- Ứng dụng khách SMB 1.0 / CIFS
- Máy chủ SMB 1.0 / CIFS
Bạn có thể bật máy khách và máy chủ SMBv1 trên Windows 10 từ cửa sổ quản lý tính năng hoặc sử dụng các lệnh:
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Nếu sau khi bật ứng dụng SMBv1, nó không được sử dụng trong hơn 15 ngày, nó sẽ tự động bị vô hiệu hóa.
Tự động xóa ứng dụng SMBv1 là hoạt động một lần. Nếu quản trị viên bật lại SMBv1 theo cách thủ công, nó sẽ không tự động bị tắt.Để tắt hỗ trợ máy khách và máy chủ SMB1 trong Windows 10, hãy chạy các lệnh DISM sau:
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"
Nếu bạn đã tắt ứng dụng SMBv1 trong Windows 10, thì khi bạn truy cập vào một thư mục snared trên máy chủ tệp chỉ hỗ trợ SMBv1 (giao thức SMBv2 và v3 bị vô hiệu hóa hoặc không được hỗ trợ), bạn có thể nhận được các lỗi sau:
-
0x80070035 The network path was not found;
-
Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks;
-
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.
Đọc thêm về nó trong bài viết Không thể truy cập thư mục chia sẻ trên Windows 10.
Ngoài ra, nếu bạn tắt ứng dụng SMBv1, Trình duyệt máy tính dịch vụ được sử dụng bởi giao thức NetBIOS kế thừa để khám phá các thiết bị trên mạng, ngừng hoạt động trên máy tính. Để hiển thị chính xác các máy tính lân cận trên mạng Windows 10, bạn phải định cấu hình Máy chủ nhà cung cấp khám phá tính năng dịch vụ (kiểm tra bài viết này).
Tắt Máy khách và Máy chủ SMBv1 qua Chính sách Nhóm
Trong môi trường miền Active Directory, bạn có thể tắt SMBv1 trên tất cả các máy chủ và máy tính bằng Chính sách Nhóm (GPO). Vì không có chính sách cấu hình SMB riêng trong Chính sách nhóm Windows tiêu chuẩn, bạn sẽ phải tắt nó thông qua chính sách đăng ký.
- Mở bảng điều khiển Quản lý Chính sách Nhóm (
gpmc.msc), tạo GPO mới ( disableSMBv1 ) và liên kết nó với OU chứa các máy tính mà bạn muốn tắt SMB1; - Chuyển sang chế độ chỉnh sửa chính sách. Mở rộng phần GPO Cấu hình máy tính -> Tùy chọn -> Cài đặt Windows -> Đăng ký ;
- Tạo một Mục đăng ký mới với cài đặt sau:
Hành động:Update
Hive:HKEY_LOCAL_MACHINEĐường dẫn chính
:SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersTên giá trị
:SMB1Loại giá trị
:REG_DWORDDữ liệu giá trị
:0
Chính sách này sẽ vô hiệu hóa hỗ trợ cho cấu phần máy chủ SMBv1 thông qua sổ đăng ký trên tất cả các máy tính. Bạn có thể loại trừ một số phiên bản Windows khỏi chính sách này bằng cách sử dụng bộ lọc WMI.
Nếu bạn muốn vô hiệu hóa ứng dụng khách SMB trên máy tính miền qua GPO, hãy tạo hai tham số đăng ký bổ sung:
- Bắt đầu tham số (loại REG_DWORD) với giá trị 4 trong khóa đăng ký HKLM \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10;
- DependOnService tham số (loại REG_MULTI_SZ) với giá trị Bowser , MRxSmb20 , NSI (mỗi giá trị trên một dòng mới) trong khóa reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation.
Nó vẫn là cập nhật cài đặt Chính sách Nhóm trên máy khách (gpupdate /force ) sau khi khởi động lại, hãy đảm bảo rằng các thành phần SMBv1 đã hoàn toàn bị vô hiệu hóa.
SecGuide.adml và SecGuide.admx tệp) có các tùy chọn riêng biệt để tắt máy chủ và máy khách SMB: - Định cấu hình máy chủ SMB v1;
- Định cấu hình trình điều khiển ứng dụng khách SMB v1.
