Не открываются общие сетевые SMB папки после установки Windows 10 Fall Creators Update 1709

Привет, админ! После установки осеннего обновления Fall Creators Update 1709 на Windows 10, с моего компьютера не удается получить доступ к общей сетевой папке. Что интересно, компьютер перестал заходить только на некоторые сетевые папки на NAS и некоторых других компьютерах в локальной сети (не домен).

При попытке открыть сетевую папку возникает такая ошибка:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

An error occurred while reconnecting Y: to
\\nas1\share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности
Другие компьютеры пока не обновлял до 1709, и на них сетевой доступ работает нормально. Что можно сделать в таком случае? Откатывать 1709?

Ответ

Скорее всего дело в том, что в рамках постепенного отключения старых небезопасных версий протокола SMB (помните атаку шифровальщика WannaCry, которая как раз и реализовалась через дыру в SMB 1), Microsoft в Windows 10 Fall Creators Update (редакции Windows 10 Enterprise и Windows 10 Education) и Windows Server  1709 (как в Datacenter так и в Standard редакциях) помимо полного отключения SMB1, по умолчанию стала блокировать также доступ под гостевой учетной записью на удаленный сервер по протоколу SMBv2. Дело в том, что при доступе под гостевой записью не применяются такие методы защиты трафика, как подписывание и шифрование, что делает уязвимым такой тип доступ против MiTM атак.

В Windows 10 Home и Pro 1709 данные изменения не применены

При попытке такого подключения как раз и появляется такая ошибка. А в журнале клиента SMB (Microsoft-Windows-SMBClient) при этом фиксируется:

Rejected an insecure guest logon.

Именно по этому при доступе к SMBv2 сетевым папкам под гостевой учетной (в большинстве случаев на NAS включают именно гостевой доступ) или к шарам на старых версия ОС (согласно опубликованной ранее таблице поддерживаемых версий SMB в различных версиях Windows, SMB 2.0 используется в Windows Server 2008 и WIndows Vista SP1, а SMB 2.1 в Windows Server 2008 R2 и Windows 7).

Чтобы включить доступ под гостевой учетной записью, нужно с помощью редактора групповых политик (gpedit.msc) в разделе:

Computer Configuration ->Administrative templates -> Network (Сеть)-> Lanman Workstation (Рабочая станция Lanman) включить политику Enable insecure guest logons (Включить небезопасные гостевые входы).

Enable insecure guest logons (Включить небезопасные гостевые входы).

Либо создать следующий ключ реестра:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\ParametersAllowInsecureGuestAuth”=dword:1

Если данное решение не помогло, возможно ваш NAS (или другое удаленное устройство, которое предоставляет доступ к сетевым папкам по SMB), поддерживают только SMBv1. Попробуйте включить этот протокол на клиенте (Windows Features -> SMB 1.0/CIFS File Sharing Support -> SMB 1.0/CIFS Client).

Turn on SMBv1 Client

Однако, вы должны понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает вашу систему опасности.


Предыдущая статья Следующая статья


Комментариев: 15 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)