Если вы из Windows 10 или 11 не можете открыть сетевые папки на других сетевых устройствах (NAS, Samba сервера Linux) или на компьютерах со старыми версиями Windows (Windows 7/ XP /2003), скорее всего проблема связана с тем, что в вашей версии Windows отключена поддержка устаревших и небезопасных версий протокола SMB (используется в Windows для доступа к общим сетевым папкам и файлам). В современных версиях Windows 10 и в Windows 11 по-умолчанию отключен протокол SMBv1 и анонимный (гостевой) доступ к сетевым папкам по протоколу SMBv2 и SMBv3.
Конкретные действия, которые нужно предпринять зависят от ошибки, которая появляется в Windows при доступе к общей сетевой папке и от настроек удаленного SMB сервера, на котором хранятся общие папки.
Вы не можете получить гостевой доступ к общей папке без проверки подлинности
Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:
Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
An error occurred while reconnecting Y: to \\nas1\share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
При этом на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Причина в том, что в современных билдах Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.
При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:
Log Name: Microsoft-Windows-SmbClient/Security Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.
Данная ошибка говорит о том, что ваш компьютер (клиент) блокирует не аутентифицированный доступ под аккаунтом guest.
Чаще всего с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).
Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, тогда нужно настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.
В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.
- NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
- Samba сервер на Linux — если вы раздаете SMB папку с Linux, добавьте в в секции [global] конфигурационного файла smb.conf строку:
map to guest = never
А в секции с описанием сетевой папки запретить анонимный доступ:guest ok = no
- В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) измените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для сетевого доступа к общим папкам на этом компьютере..
Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.
Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор локальных групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).
Обновите настройки групповых политик в Windows с помощью команды:
gpupdate /force
В Windows 10 Home, в которой нет редактора локальной GPO,вы можете внести аналогичное изменение через редактор реестра вручную::
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters “AllowInsecureGuestAuth”=dword:1
Или такими командами:
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
reg add HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
Вашей системе необходимо использовать SMB2 или более позднюю
Другая возможная проблема при доступе к сетевой папке из Windows 10 – поддержка на стороне сервера только протокола SMBv1. Т.к. клиент SMBv1 по умолчанию отключен в Windows 10, то при попытке открыть шару или подключить сетевой диск вы можете получить ошибку:
Не удалось выполнить сопоставление сетевого диска из-за следующей ошибки. Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.
При этом соседние устройства SMB могут не отображаться в сетевом окружении и при открытии сетевых папок по UNC пути может появляться ошибка 0x80070035.
Сообщение об ошибки явно указывает, что сетевая папка поддерживает только SMBv1 для доступа к файлам. В этом случае нужно попытаться перенастроить удаленное SMB устройство для поддержки как минимум SMBv2 (правильный и безопасный путь).
Если сетевые папки раздает Samba сервер на Linux, вы можете указать минимально поддерживаемую версию SMB в файле smb.conf так:
[global] server min protocol = SMB2_10 client max protocol = SMB3 client min protocol = SMB2_10 encrypt passwords = true restrict anonymous = 2
В Windows 7/Windows Server 2008 R2 вы можете отключить SMBv1 и разрешить SMBv2 так через реестр:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force
В Windows 8.1 отключите SMBv1, разрешите SMBv2 и SMBv3 и проверьте что для вашего сетевого подключения используется частный или доменный профиль:
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true
Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003), поддерживает только протокол SMB1, в Windows 10 вы можете включить отдельный компонент SMB1Protocol-Client. Но это не рекомендуется!!!
Log Name: Microsoft-Windows-SmbClient/Security Source: Microsoft-Windows-SMBClient Event ID: 32000 Description: SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Запустите консоль PowerShell и проверьте, что SMB1Protocol-Client отключен (
State: Disabled
):
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Включите поддержку протокола SMBv1 (потребуется перезагрузка):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Также вы можете включить/отключить SMBv1 в Windows 10 и 11 из меню
optionalfeatures.exe
-> SMB 1.0/CIFS File Sharing Support –> SMB 1.0/CIFS Client.
В Windows 10 1709 и выше клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).
После установке клиента SMBv1, вы должны без проблем подключиться к общей сетевой папке или принтеру. Однако, нужно понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает снижает уровень безопасности.
Нет доступа к сетевой папке, у вас нет прав доступа
При подключении к сетевой папке на другом компьютере может появится ошибка:
Нет доступа к \\ComputerName\Share. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к системному администратору этого сервера для получения соответствующих прав доступа.
Network Error Windows cannot access \\PC12\Share You do not have permissions to access \\PC12\Share. Contact your network administrator to request access.
При появлении это ошибки нужно:
- Убедиться, что пользователю, под которым вы подключаетесь к сетевой папке, предоставлены права доступа на сервере. Откройте свойства общей папке на сервере и убедитесь что у вашего пользователя есть права доступа.
Проверьте разрешения сетевой шары на сервере с помощью PowerShell:
Get-SmbShareAccess -Name "tools"
Затем проверьте NTFS разрешения:
get-acl C:\tools\ |fl
Если нужно, отредактируйте разрешения в свойствах папки. - Проверьте, что вы используете правильные имя пользователя и пароль для доступа к сетевой папки. Если имя и пароль не запрашиваются, попробуйте удалить сохраненные пароли для доступа к сетевой папке в диспетчере учетных записей Windows. Выполните команду
rundll32.exe keymgr.dll, KRShowKeyMgr
и удалите сохраненные учетные данные для доступа к сетевой папке.
При следующем подключении к сетевой папки появится запрос имени и пароля. Укажите имя пользователя для доступа к папке. Можете сохранить его в Credential Manager или добавить вручную.
Дополнительные способы проверки доступа к сетевой папке в Windows
В этом разделе указаны дополнительные способы диагностики при проблема с открытием сетевые папок в Windows:
- Убедитесь, что удаленный разрешает входящие подключения к сетевым папкам по протоколу SMB (порт TCP 445). Проверить доступность порта 445 на удаленном компьютер можно с помощью команды Test-NetConnection:
Test-NetConnection -ComputerName ImyaKomputera -Port 445
Если командлет вернет,TcpTestSucceeded : True
, значит доступ к сетевым папка на удаленном компьютере блокируется файерволом. Подключение может блокироваться антивирусом или файерволом (сторонним или встроенным Windows Defender Firewall). Если используется Windows Defender, включите на сервере правило File and Printer Sharing (Control Panel\System and Security\Windows Defender Firewall\Allowed apps\Allow apps to communicate through Windows Firewall) для всех трех профилей.Или создайте правило файервола с помощью PowerShell:
New-NetFirewallRule -DisplayName "AllowFileSharingSMB" -Direction Inbound -Protocol TCP –LocalPort 445 -Action Allow
- Если вы не можете открыть сетевые папки, попробуйте очистить сохраненные пароли в Windows Credential, удалить сетевые папки (команда
Net Use * /delete
) и подключить их заново - Проверьте использовать для доступа IP адрес удаленного компьютера вместо его имени, например
Win+R
->\\192.168.120.12
-> Ok. - Убедитесь что ваши компьютер находятся в рабочей группе с одинаковым именем. Имя рабочей группы на компьютере можно узнать так:
Get-WmiObject Win32_ComputerSystem).domain
- Сбросьте настройки TCP/IP стека и обновите IP адрес на вашем компьютере:
netsh int ip reset
netsh winsock reset
ipconfig /flushdns
ipconfig /release
ipconfig /renew
Спасибо!
Помогло (Включить небезопасные гостевые входы).
Огромное спасибо!!!
Супер!
Огромное спасибо!!!! Очень выручили!!!
Спасибо огромное!!!!!!!!!!!!!!!!!!!!!!
Помогло включение SMB 1.0 в компонентах Windows10.
Большое вам спасибо! Помогло включение гостевого входа и смб 1.0!!!
Исчез расшареный принтер и диски NAS, все уже перепробовал, месяц бился, теперь все ок!
Спасибо! Помогло включение «Включить небезопасные гостевые входы»
Что я только до этого не пробовал…
Спасибо огромное !!!!
У меня была такая ошибка: «Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки.
Вашей системе необходимо использовать SMB2 или более позднюю версию»
Проблема решилась установкой клиента SMB 1. Спасибо!
Хочется кричать как Дженнифер Лоуренс из «Пассажиров» — под мою ответственность.
Такие приколы конечно печальны, когда это все в продакшене и нужен доступ. На линукс-машине в самбе (на машине), но машина в домене, тоже сейчас бьюсь, не пускает в себя виндовые машины. Локально все норм, как в домен ввел, началась канитель — отсутствуют серверы, которые могли бы обработать запрос в сеть. В общем, приколы и веселости.
Если нет редактора политик (Домашняя версия Windows 10), выполните команду:
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
Если после этого запрашивает сетевую учетную запись, вводите свой логин без пароля. в случае, если доступ к компьютеру через пароль, нужно указать пароль от локальноый учетки на удаленном компе.
Спасибо!
Спасибо!!!! Уже всю голову сломал… Помогло включение небезопасных входов!
Спасибо! Очень помогло. Респект.
Огромнейшее спасибо!!!
Спасибо. Включил протокол смб и все заработало.
ОГРОМНОЕ СПАСИБО!!!
Большое спасибо, инструкция помогла. Удачи автору!
Спасибо большое, помогло
Оооох, спасибо добрый человек!!! Очень выручил, 2 дня с бубном танцевал…спасиииибо огромное!!!! Может подскажешь еще, почему может отпадать соединение с интернетом у вай фай адаптера на win 10 enterprise полной, tp-link tl-wn781nd ?
Обычно стоит попробовать:
1) обновить/отактить на более старый драйвер wi-fi адаптера,
2) поднести устройство ближе к точке доступа,
3) Сменить wi-fi канал на роутере, если рядом много чужик точек доступа
Спасибо БОЛЬШОЕ!
Помогло включение — Enable insecure guest logons (Включить небезопасные гостевые входы).
Вместо того, чтоб по православному настроить свои шары, все побежали включать дырявые протоколы. Сказочные гении!))
Ну и как же православно настроить шару? А особенно для доступа к виндовой шаре с линуховой машины?
Диспозиция:
— хостовая машина на Вынь 10 про 1803 с мелкомягкой учеткой, СМБ 1.0 включен и в групповых политиках гостевой доступ разрешен;
— клиент — Роса Линукс
— ??????
— NO PROFIT
Я не про стороны клиентов: Вин->Линь или Линь-> Вин. Я про то, какой протокол и какой версии юзать. Samba сервер (последней версии) спокойно работает с SMB v.2 и 3. Не в курсе за твой дистриб линухи, но пакет smbfs есть практически у всех. Можно и сторонний поставить от того же Samba.
Суть в том, чтобы не бежали все разом включать СПЕЦИАЛЬНО отключенный протокол с гостевой у\з. Это глупо, небезопасно. У самбы я просто задал минимальный поддерживаемый протокол SMB v2 и у\з шары. Если линь не кушает вторую версию, то нужно копать в этом направлении.
Проблема то не в подключении компа с линуксом к виндовой шаре, а в том, что коробочка медиаплеера может только с первой самбой общаться.
Настраивал Openmediavault. С ноута мог открыть папки, а с десятки не открывались. Промучился долго, но нашёл вашу статью. Помогло изменение политики.
Спасибо БОЛЬШОЕ.
Ребята, а что делать если SMB вообще не отображается в компонентах. Её нет просто.
Какая версия и редакция Windows 10?
Покажите результаты команды (с правами админа):
Get-WindowsOptionalFeature -online -FeatureName "*SMB*"|ft
Чёртов Microsoft! Сначала искал почему не отображаются компьютеры в сети, а потом еще и почему не открываются сетевые папки. Хотелось бы сейчас приложить хорошенько лицом об стол этого хиппи, который всё сломал в десятке. One Drive видите ли используйте, сволочи. Спасибо за статью.
Да вот такой…Вот и переводи компанию на win 10! да все взвоют!
Спасибо!!!! Реально выручили!!!
Долбился три дня, пока Вашу статью не нашел.
Только раздел SMB 1.0 сейчас в «Поддержке общего доступа …» Поставил галочку только на «Клиент SMB 1.0» и все заработало.
Windows 10 корпоративная. После обновления пропал доступ к шарам, включение политики «небезопасные гостевые входы» не помогло.
Заработало только после внесения изменений в реестр “AllowInsecureGuestAuth”=dword:1
Спасибо!
Спасибо за подсказку, а то мы тоже голову сломали что еще нужно. Получается политика больше не отрабатывает что-ли?
У меня не сохранялась настройка. Тоже пришлось пойти в реестре руками поменять.
А мне помогло удалить этот параметр. В реестре стояло “AllowInsecureGuestAuth”=dword:0 и на настройки групповой политики не реагировало (dword:1 тоже прокатывает, но по дефолту на других компах этого параметра нету)
Божечки, спасибо. Благо залез в комменты и увидел ваш. А то в статье этот пункт как-то пропустил.
А то я уже вот чем занимался >_<
Включил доступ Allow Guesr. Не помогло. На обоих компах 10-ки. Диски видит друг друга, а при попытке войти, нет доступа к…
Победил у себя на 2004 выпуске.
Решение:
1. Запускаем «включение или отключение компонентов Windows», ставим две галки в разделе «поддержка общего доступа к файлам SMB 1.0/CIFS» на клиент и сервер.
2. Запускаем «Монитор брандмауэра Защитника Windows в режиме повышенной безопасности».
Правила для входящих подключений -> Общий доступ к файлам и принтерам (Входящий трафик SMB) — Профиль «Частный» — выделяем и справа жмём «Включить правило».
Готово!
супер! спасибо!
Спасибо огромное все заработало))) Пришлось танцы с бубном поплясать.
Автор, спасибо тебе, ЧЕЛОВЕК!
2 дня жизни потратил с бубном, а тут за 5 минут все сделал по инструкции и заработало!
Вот представьте, вы переставляете винду на ноуте, подключаетесь к домашней локалке и пытаетесь получить со стационарного компа остальные установочники, а тут ЭТО! 1% эффективности усложняет настройку в 10 раз. Криворукие обновляторы….
Благодарю за развернутый материал.
Помогло!
Благодарю!
Помогло
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters “AllowInsecureGuestAuth”=dword:1
У большинства РУССКИЙ windows.
Вы же для русскоязычных статьи пишете?
Извольте …
Спасибо большое! помогла операция с gpedid.msc
Капец, я так и не починил. После переустановки Вин10 на основном ПК ни через какие бубны не хочет заходить на сетевой компьютер с Win7 в общую папку. При чем до переустановки заходил, тоже что-то шаманил. Сейчас вроде бы всё так же сделал — ни в какую.Я теперь в качестве временного экстренного решения захожу через эмулятор андройд(!) в программе X-Plore в Lan и между двумя компами спокойно перекидываю файлы, удаляю, копирую, создаю. Через эмулятор! С первой попытки! Без шаманства! Костыль дикий, но ведь работает без танцев с бубном вообще. Они там в MS вообще долбанулись со своими обновлениями безопасности!
Спасибо! Только на Вашем сайте нужный совет, который помог. Не работало сканирование с Bizhub 284 на комп с Win 10. На комп с вин 7 все хорошо работало. Помогло включить SMB через optionalfeatures.exe.
Спасибо! компоненты SBM 1.0 включил и заработало
Они что специально все усложняют? Я как понял, они манипулируют, специально делают ошибки, специально внедряют их для своей личной выгоды. Только свежую виндовс 10 установил работает, перезагрузил уже не работает сетевая папка, то видят остальные компьютеры, то нет. А если все в вай фае подключены, то сетевые папки мгновенно видны. Видимо специально сделали, что бы шпионы могли подключаться к ноутбукам через радиоволны.
Вроде должны все упрощать, а на самом деле усложняют и портят.
Я пока на данный момент не разобрался. Думаю может линукс поставить. Там хоть дал команду и все работает. А здесь сделал обще доступной и ничего не работает.
Не могу отключить «Автоматическое удаление протокола SMB 1.0/CIFS» Пишет: «Произошла ошибка. Некоторые компоненты установить не удалось»
Сайт который выручает не первый раз. Админам отдельное спасибо!
Samba сервер на Linux — если вы раздаете SMB папку с Linux, добавьте в в секции [global] конфигурационного файла smb.conf строку: map to guest = never
А в секции с описанием сетевой папки запретить анонимный доступ: guest ok = no
Помогло!!!
Спасибо. добрый человек
кому ничего не помогло, есть еще тема с Remote UAC
reg add «HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System» /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
https://winitpro.ru/index.php/2016/07/06/kak-vklyuchit-udalennyj-dostup-k-administrativnym-sharam-v-windows-10/
тут подробнее
Маэстро, прошу указаний, куда копать.
Из одной подсети пользователь не может открыть папку в DFS с ошибкой «Расположение недоступно». При попытке открыть ресурс по прямому unc-пути с указанием имени сервера — также, если указываю ip-адрес сервера — открывается. Имя сервера разрешается без проблем, как-то после волшебной перезагрузки стало всё открываться и по имени, потом опять сломалось. В других подсетях с открытием этого ресурса проблем не наблюдалось.
Посмотрите во что резолвится DFS на клиенте:
dfsutil /PktInfo
Ну и посмотрите, к какому сайту AD относится IP клиент-а. возможно просто он пытается идти на другой сервер согласно тополонии AD