Computer >> Máy Tính >  >> Hệ thống >> máy chủ Windows

KB3161949 Phá vỡ SMB qua Quyền truy cập NETBIOS Bên ngoài Mạng Con Cục bộ

Chúng tôi vừa tìm hiểu phải làm gì với bản cập nhật MS16-072 phá vỡ cơ chế GPO quen thuộc và đã xuất hiện các sự cố mới với một bản tin bảo mật khác được phát hành vào tháng 6 - MS16-077 KB3161949 cập nhật. Sau khi bản cập nhật này được cài đặt trên hệ thống máy chủ, các máy khách từ các mạng con khác không thể kết nối chia sẻ bằng Netbios qua TCP / IP.

Trước hết, sự cố xuất hiện với máy quét mạng, máy quét tài liệu và lưu các bản sao vào mạng chia sẻ (SMB) trên máy chủ. Tài liệu không còn được lưu và máy quét trả về lỗi: Không thể kết nối với máy chủ . Cũng xuất hiện một số sự cố với kết nối của ứng dụng khách Samba với bộ điều khiển miền (lỗi Truy cập bị từ chối hoặc Không có máy chủ đăng nhập nào ). Điều thú vị nhất là các vấn đề về quyền truy cập chia sẻ Windows chỉ xuất hiện trên các máy khách nằm trong mạng con khác với máy chủ.

Sau khi bản cập nhật KB3165191 đã bị xóa, không có vấn đề gì về truy cập.

Hãy xem bản cập nhật KB3161949 có chức năng gì. Theo mô tả của nó, bản cập nhật hạn chế các kết nối NETBIOS bên ngoài mạng con cục bộ. Do đó, các tính năng mạng phụ thuộc vào NETBIOS (như SMB trên NETBIOS, cổng 137-139) sẽ không hoạt động đối với các máy khách của các mạng con khác. Giao thức SMB chung (cổng 445) khả dụng theo cả hai hướng.

Để thay đổi hành vi này, bạn sẽ phải thực hiện một trong những thao tác sau:

  • Gỡ cài đặt bản cập nhật bảo mật KB3161949 (không phải là cách tốt nhất)
  • Tạo thông số Dword với tên AllowNBToInternet và giá trị 1 (sau khi cài đặt bản cập nhật, nó được đặt thành 0) trong HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parameters chi nhánh của sổ đăng ký trên máy chủ của bạn KB3161949 Phá vỡ SMB qua Quyền truy cập NETBIOS Bên ngoài Mạng Con Cục bộ Ngoài ra, bạn có thể thực hiện hành động này thông qua cmd reg add "HKLM\System\CurrentControlSet\Services\NetBT\Parameters" /v "AllowNBToInternet" /t REG_DWORD /d 1 /f

    hoặc PowerShell

    Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters -Name AllowNBToInternet -Type DWord -Value 1

  • Sau khi thông số được tạo, hãy khởi động lại máy chủ.

Do đó, máy chủ sẽ có sẵn cho các máy khách NETBIOS từ các mạng con khác.