Протокол SMBv1: суть и актуальность поддержки, методология включения и отключения
Компьютер подвержен вирусным атакам, нередко выводящим его из строя. Для обеспечения безопасности используются антивирусные программы, а разработчики операционных систем снабжают свои продукты защитными компонентами, обеспечивающими базовую защиту. Кроме защитных инструментов, в системе имеются и «проблемные» компоненты, которыми злоумышленники могут воспользоваться с целью выполнения мошеннических операций. Об одном из инструментов такого класса, а именно о его надёжности и соответствии требованиям времени по защите устройств, пойдёт речь в этом повествовании. В этой статье расскажем, что собой являет протокол SMBv1, входящий в состав операционной системы Windows, проанализируем потребность в нём, актуальность его работы, и методы его включения или отключения.
Потребность в поддержке SMBv1 в ОС Windows
Для многих пользователей ПК словосочетание «Протокол SMBv1» является непонятным и непонятно, нужен ли этот компонент в системе для выполнения конкретных задач. Протокол SMB первой серии является по умолчанию системным компонентом ОС Windows, независимо от её версии, отвечает за файлообменные процессы на ПК, причём его «возраст» составляет около тридцати лет. Естественно, по меркам компьютерных технологий, согласно возрасту протокола, его можно смело назвать устаревшим, но поддержка SMBv1 по непонятным причинам, применяется не только в седьмой или восьмой версии ОС, но и в Windows 10. Причина этого кроется далеко не в некомпетентности разработчиков Microsoft, а в банальном применении файловых продуктов в обиходе, с которыми невозможно будет работать без этого протокола.
Через аналогичную лазейку попадают на ПК и не менее известные программы-вымогатели, к примеру, WannaCry, Satana и подобные им вирусы, способные полностью парализовать функционирование компьютерного устройства. Суть заражения заключается в полной блокировке работоспособности системы, что предусматривает возможную переустановку ОС, в то время как для глобальных компаний такой метод является недопустимым.
Разобравшись в сути проблемы, стоит переходить к вопросу, нужен ли протокол SMB, отвечающий за файлообменные процессы в локальной сети и возможность работы с файлами, надо ли его деактивировать или включить на своём ПК поддержку SMBv1. Если пользователь эксплуатирует приложения, для работы с которыми необходим протокол SMBv1, тогда поддержку надо активизировать, так как в ином случае работать с ними будет невозможно. На официальном сайте Microsoft пользователь самостоятельно может изучить список приложений, для работы с которыми необходима поддержка этого протокола. Если вашим программам не нужна поддержка этого протокола, тогда его нужно отключить, при этом можно оставить в рабочем состоянии последующие версии поддержки класса SMB. Рассмотрим метод включения и отключения протокола SMBv1, различающуюся по процессу выполнения, в зависимости от версии установленной ОС.
Как включить протокол SMBv1
Потребность в SMBv1 очень сомнительна, так как файлов в сети, для работы с которыми требуется этот формат всё меньше, с прогрессивным их сведением практически к нулю. Соответственно, более актуальной считается потребность в блокировании протокола, о чём будет рассказано позже.
Стоит отметить, что формат SMBv1 активирован во всех версиях ОС начиная с Windows 7. Исключением из правил является Windows 10, 1709 версии и выше, в которых убрана поддержка SMBv1. Иногда возникает потребность включить SMBv1 в Windows 10, при необходимости эксплуатации такого модуля для выполнения конкретных задач, в частности, снятия запрета на доступ к сетевым папкам. Для осуществления активации протокола потребуется зайти в Windows Features (Компоненты Windows), отыскать в каталоге SMB 1.0/CIFS File Sharing Support, развернуть папку, и проставить галочки напротив пунктов SMB 1.0/CIFS Client, SMB 1.0/CIFS Automatic Removal и SMB 1.0/CIFS Server. Активировать все позиции одновременно, можно, проставив флажок напротив названия каталога. После подтверждения изменений потребуется перезапустить ПК.
Сняв ограничение по протоколу, пользователю стоит понимать, что риск заражения системы в этом случае значительно повышается.
Метод деактивации протокола SMBv1
Если работа с файловыми приложениями, требующими поддержки SMBv1, не предусматривается, то необходимо его деактивировать. Отключение SMBv1 – это не очень сложный процесс. Отключить протокол SMBv1 в Windows 7 можно внесением изменений в реестр. При работе с реестром стоит быть очень внимательным, так как некорректные операции в его структуре могут стать причиной нарушения целостности системы, с последующим выходом её из строя или же существенным нарушением работоспособности. Чтобы отключить протокол SMBv1 потребуется пошагово выполнить следующие манипуляции:
- Для начала необходимо найти в «Редактор реестра», через меню «Пуск», или введением команды Regedit в поисковой строке.
- Запустить «Редактор реестра» от имени «Администратора», щёлкнув правой кнопкой мышки по его названию.
- В левой области открывшегося окна потребуется найти пункт с названием HKEY_LOCAL_MACHINE в папку SYSTEM, где перейти CurrentControlSet/Services/LanmanServer.
- Развернув папку LanmanServer, пользователь получит доступ к подразделу Parameters, в котором потребуется создать новый компонент. Для этого щелчком правой кнопки мышки по папке Parameters разворачивается выпадающий список, дальше выбрать команду «Создать», выбрать «Параметр DWORD (32 бит)».
- Созданному элементу необходимо присвоить имя SMB1. По умолчанию, компонент формируется с нулевым значением, что сбрасывает необходимость редактирования параметра: цифра «0» в этом случае интерпретируется как «отключение протокола».
Дальше перезагружаем ПК, посредством чего активируем выполненные изменения, и тем самым отключаем SMBv1 в Windows 7. В деактивированном режиме модуль больше не будет выступать уязвимым местом для вирусных атак, использующих для внедрения в систему первый протокол связи категории SMB.
Для Windows 8 и последующих версий регламент операции отключения поддержки SMBv1, выглядит следующим образом:
- Через «Панель управления» необходимо зайти в пункт «Программы», с последующим переходом в конфигурацию «Программы и компоненты», где выбрать задачу «Включение и отключение компонентов Windows».
- В открывшемся окне потребуется отыскать компонент под названием «SMB 1.0 GIFS…», удалить напротив него «галочку», и подтвердить изменение нажатием кнопки ОК внизу экрана.
После подтверждения изменений система «предложит» перезагрузить ПК, чтобы внесённые обновления активизировались.
Подведение итогов
В статье дан метод отключения протокола SMBv1 для Windows 7, 8 и 10. При потребности обезопасить несколько компьютеров одновременно, работающих по сетевому принципу, потребуется описанные манипуляции выполнить посредством групповой политики безопасности. Помните, безопасность системы должна выступать приоритетным критерием для пользователя ПК, а так как отключение конфигурации рекомендуется даже разработчиками ОС, то игнорировать этот процесс не стоит.
Настройка домашней сети с серверами
Технический уровень : Средний
(Ручная настройка IP протокола в Windows 7/10. Имя компьютера, рабочая группа. SMB-протокол. Предоставление общего доступа к файлам и папкам).
В статье представлена информация о настройке статичного адреса и о первоначальной настройке SMB протокола для организации домашней компьютерной сети с серверами на основе компьютеров с Microsoft Windows. Описанные здесь сведения пригодятся для организации и гетерогенных домашних компьютерных сетей.
В случае возникновения ошибок в подключении или необходимости организации нестандартных конфигураций сетей (например, с серверами, предоставляющих общий доступ к своим файлам), необходимо будет настроить сетевые протоколы в локальной сети. Прежде всего, нужно настроить статичную адресацию IP адресов, как на маршрутизаторе, так и в настройках сетевой карты на компьютере.
Для настройки IP адреса необходимо осуществить следующие действия:
1. Найти значок «Сеть» в трее, и щёлкнуть по нему правой кнопкой мыши;
2. В контекстном меню необходимо выбрать пункт: «Центр управления сетями и общим доступом»;
3. В открывшемся диалоговом окне необходимо выбрать пункт: «Изменения параметров адаптера» (см. рисунок D.01, a и b);
b)
Рис. D.01. Вид диалогового окна «Центр управления сетями и общим доступом»
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
4. Щёлкните на нужном адаптере правой кнопкой мыши, и выберите в контекстном меню пункт «Свойства» (см. рисунок D.02, a и b);
b)
Рис. D.02. Вид диалогового окна «Сетевые адаптеры»
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
5. Затем выберите в новом диалоговом окне из списка «Протокол Интернета версии 4», и также щёлкните по нему правой клавишей мыши (см. рисунок D.03, a и b);
b)
Рис. D.03. Окно свойств сетевого адаптера
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
b)
Рис. D.04. Окно настройки IP протокола
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
4. Откроется диалоговое окно, показанное на рисунке D.04. Настройка динамического адреса показана на рисунке D.04, a и b. Этот режим выбирается по-умолчанию. Если же нужно указать статичный адрес для сетевого протокола, то нужно выбрать переключатель «Использовать следующий IP адрес» и указать следующие параметры:
- статичный IP адрес. Этот адрес выдаётся провайдером при подключению к Интернету, или в настройках Вашего Интернет-центра. Пожалуйста, запишите его, чтобы при восстановлении системы его не пришлось получать заново;
- маска сети. Для сетей класса C (смотри статью автора http://answers.microsoft.com/ru-ru/windows/wiki/windows_7-networking/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA/598c4708-af9c-44bc-8635-9f5e58f3267a) её значение безальтернативно «255.255.255.0»;
- Если сеть подключена к Интернету, то надо указать адрес шлюза для перехода к другим сетям. Обычно это адрес маршрутизатора (Интернет-центра) в локальной сети;
- Затем нужно указать адрес первичного и вторичного DNS сервера в сети. Его нужно указывать, если Вы планируете работать в Интернете и обращаться к другим компьютерам по URL. Если не указывать DNS сервера, то обращение к серверам в Интернете возможно только по IP адресам, что чрезвычайно неудобно. Если же вы не хотите выходить в Интернет, но хотите использовать URL адресацию внутри локальной сети, Вам нужно будет отредактировать файл hosts по адресу %SystemRoot%\system32\drivers\etc\hosts. В нём уже записаны примеры назначения URL конкретным IP адресам в сети. Само собой разумеется, чтобы эти адреса были статичными;
Примечание. Желательно использовать DNS сервера, рекомендованные провайдером. Однако если вы захотите использовать нестандартные DNS адреса, то вы можете указать их вручную (см. рисунок D.04) или программой DNSJumper (сторонняя программа, не сертифицированная Microsoft). Часто указание альтернативных DNS позволяет повысить скорость Интернет-соединения или снять ограничения доступа провайдера к определённым ресурсам.
Помимо настройки IP адресов при настройке «нестандартной конфигурации» сети Microsoft Windows необходимо также настроить протокол SMB для организации сети на пользовательском уровне. Она осуществляется только после настройки сетевых протоколов. Для этого необходимо:
1. Перейти к общей настройке операционной системы, нажав сочетание клавиш Win+Pause (работает на всех операционных системах);
2. Откроется диалоговое окно, показанное на рисунке D.05. В нём необходимо выбрать пункт «Дополнительные параметры системы», а в открывшемся диалоговом окне — вкладку «Имя компьютера» (см. рисунок D.06);
b)
Рис. D.05. Настройка свойств системы
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
b)
Рис. D.06. Диалоговое окно имени компьютера
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
3. В появившемся диалоговом окне (см. рисунок D.06) необходимо будет выбрать кнопку «Изменить», а в появившемся окне (см. рисунок D.07) указать:
b)
Рис. D.07. Настройка параметров компьютера для SMB протокола
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
- Имя компьютера (оно должно быть уникальным во всей локальной сети);
- Имя рабочей группы. Это имя должно быть одинаковым для всех компьютеров в локальной сети. Можно оставить значение по-умолчанию MSHOME;
4. После изменения этих параметров необходимо перезагрузить все компьютеры для применения этих параметров;
5. После этого можно переходить к настройке общего доступа на серверах локальной сети Microsoft Windows, и редактировать файлы hosts на всех компьютерах, если надо настроить обращение к ресурсам в локальной сети по URL. В сети же Microsoft Windows, работающей по SMB протоколу, доступ к разделяемым файлам будет производиться по адресу (UNC):
где Имя_компьютера — уникальное имя компьютера в локальной сети Windows, работающей по SMB протоколу (см. п. 3);
Имя_ресурса — Обычно это имя папки, к которой разрешён общий доступ в сети Microsoft Windows. Это имя должно быть уникальным на каждом сервере, и, если обе папки на сервере имеют одинаковые имена, эти имена ресурсов можно изменить при организации общего доступа;
Имя_файла — имя файла с расширением или относительный путь к этому файлу, начиная от папки с общим доступом, к которому обращается пользователь.
Примечание: во всех программах Microsoft Windows допустимой считается следующее указание пути к файлам:
причём в операционной системе Microsoft Windows эти обозначения пути к файлам равнозначные.
Примечание: операционные системы на основе UNIX (Gnu/Linux, Android, FreeNAS и т.д.) не поддерживают адресацию UNC. Вместо этого для доступа к сетям Windows используется следующее URL:
Само собой разумеется, что имени компьютера должен быть поставлен в соответствие IP адрес в локальной сети. Это делается в файле /etc/hosts на UNIX-компьютерах.
Чтобы предоставить общий доступ к папке на компьютерах Microsoft Windows 7 или 10, необходимо:
1. В проводнике Windows щёлкнуть правой клавишей по папке, к которой предполагается организовать общий доступ;
2. В контекстном меню выбрать пункт «Свойства», а в открывшемся окне — вкладку «Доступ»;
3. Выбрать на этой вкладке ссылку «Общий доступ» (см. рисунок D.08);
b)
Рис. D.08. Вкладка «Доступ» контекстного меню папки
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
b)
Рис. D.09. Диалоговое окно «Настройка общего доступа» для папки
a) Для Microsoft Windows 7; b) Для Microsoft Windows 10.
4. Если на этом компьютере не запущена служба общего доступа к файлам, то запустится мастер первоначальной настройки сети. Нужно будет ответить на все вопросы мастера (задание имени компьютера, имени рабочей группы, выбрать категорию сети), а после — перезагрузить компьютер. Если общий доступ к сети уже настроен, то переходите к следующему пункту;
5. Откроется диалоговое окно (см. рисунок D.09). В нём нужно указать имя разделяемого ресурса, а также назначить определённые права для пользователей или групп пользователей. Для этого нужно выбрать в диалоговом окне «Расширенная настройка общего доступа» кнопку «Разрешения», и в диалоговом окне (см. рисунок D.10) задать разрешения доступа для пользователей и групп. Доступ при этом может быть ограниченным (только чтение) и полным (чтение и запись).
Рис. D.10. Диалоговое окно «Разрешения для общего ресурса» в Microsoft Windows 7
Рис. D.11. Диалоговое окно «Общий доступ» в Microsoft Windows 10
Примечание. В целях безопасности для всех пользователей (группа «Все») задать доступ «только чтение», а для пользователей из групп «Администраторы» и «Пользователи» указать права «чтение и запись». Это гарантирует, что пользователи, зашедшие на компьютеры с «пустыми паролями», не смогут изменить или удалить файлы из этого каталога.