Smb сервер для windows 10

По-умолчанию в Windows Server 2016/2019 и Windows 10 (начиная с билда 1709) отключена поддержка сетевого протокола для общего доступа к файлам в сетевых папках Server Message Block 1.0 (SMBv1). Этот протокол в большинстве случаев нужно только для обеспечения работы устаревших систем, например снятых с поддержки Windows XP, Windows Server 2003 и т.д. В этой статье мы рассмотрим, как включить или корректно отключить поддержку клиента и сервера SMBv1 в Windows 10 и Windows Server 2016/2019.

В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно этой таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD) и клиентских станциях.

В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента – SMB клиент и SMB сервер, которые можно включать/отключать отдельно.

Аудит доступа к файловому серверу по SMB v1.0

Перед отключением и полным удалением драйвера SMB 1.0 на стороне файлового SMB сервера желательно убедится, что в сети не осталось устаревших клиентов, которые используют для подключения протокол SMB v1.0. Для этого, нужно включить аудит доступа к файловому серверу по SMB1 протоколу с помощью команды PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $true

Через пару дней откройте на сервере журнал событий Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit и проверьте, были ли зафиксированы попытки доступа к ресурсам сервера по протоколу SMB1.

В нашем примере в журнале обнаружено событие с EventID 3000 от источника SMBServer, в котором указано что клиент 192.168.1.10 пытается обратиться к сервереу по протоколу SMB1.

SMB1 access Client Address: 192.168.1.10  

Guidance: This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.

Вам нужно найти в сети этот компьютер или устройство, при необходимости обновить ОС или прошивку, до версии поддерживающий, более новые протоколы SMB: SMBv2 или SMBv3.

В данном случае, мы проигнорируем эту информацию, но нужно учитывать тот факт, что в дальнейшем данный клиент не сможет получить SMB доступ к общим папкам на этом сервере.

Включение/отключение SMB 1.0 в Windows Server 2016/2019

В Windows Server 2016, начиная с билда 1709, и Windows Server 2019 по умолчанию отключен протокол SMBv1. Чтобы включить поддержку клиентского протокола SMBv1в новых версиях Windows Server, нужно установить отдельный компонент SMB 1.0/CIFS File Sharing Support.

Вы можете установить компонент поддержки клиента SMBv1 с помощью Server Manager, или через PowerShell.

Проверить, что SMBv1 включен можно командой PowerShell:

Get-WindowsFeature | Where-Object {$_.name -eq "FS-SMB1"} | ft Name,Installstate

Чтобы установить компонент FS-SMB1, выполните:

Install-WindowsFeature FS-SMB1

Для удаления SMBv1 клиента (понадобится перезагрузка), выполните:

Uninstall-WindowsFeature –Name FS-SMB1 –Remove

Чтобы ваш сервер мог обрабатывать доступ клиентов по протоколу SMBv1, кроме компонента FS-SMB1 нужно, чтобы поддержка протокола SMBv1 была включена на уровне файлового сервера SMB. Чтобы проверить, что на вашем сервере включен доступ по SMBv1 к сетевым папкам, выполните:

Get-SmbServerConfiguration

Строка “
EnableSMB1Protocol: True
” говорит о том, что у вас разрешен доступ по протоколу SMBv1 к сетевым папкам на сервере. Чтобы отключить поддержку сервера SMBv1 в Windows Server, выполните команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Теперь с помощью командлета
Get-SmbServerConfiguration
убедитесь, что протокол SMB1 отключен.

Чтобы включить поддержку протокола SMBv1 на сервере, выполните команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $True -Force

Включить/отключить SMB 1.0 в Windows 10

Как мы уже говорили, начиная с Windows 10 1709, во всех новых билдах поддержка протокола SMB1 отключена (также отключен гостевой доступ по протоколу SMBv2).

В Windows 10 вы можете проверить статус компонентов SMBv1 протокола командой DISM:

Dism /online /Get-Features /format:table | find "SMB1Protocol"

В нашем примере видно, что все компоненты SMBv1 отключены:

SMB1Protocol                                | Disabled
SMB1Protocol-Client                         | Disabled
 SMB1Protocol-Server                         | Disabled
SMB1Protocol-Deprecation                    | Disabled

В Windows 10 также можно управлять компонентами SMB 1 из панели управления компонентами (
optionalfeatures.exe
). Разверните ветку Поддержка общего доступа к файлам SMB 1.0 /CIFS. Как вы видите здесь также доступны 3 компонента:

• Клиент SMB0/CIFS
• Сервер SMB0/CIFS
• Автоматическое удаление протокола SMB0/CIFS

Вы можете включить клиент и сервер SMBv1 в Windows 10 из окна управления компонентами или командой:

Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"

Если после включения SMBv1 клиента, он не используется более 15 дней, он автоматически отключается.

Автоматическое отключение клиента SMBv1 это разовая операция. Если администратор включит SMBv1 вручную еще раз, он не будет отключаться автоматически.

Чтобы отключить поддержку клиента и сервера SMB1 в Windows 10, выполните следующие команды DISM:

Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"

Если вы отключили поддержку SMBv1 клиента в Windows 10, то при доступе к сетевой папке на файловом сервере, который поддерживает только SMBv1 (протоколы SMBv2 и v3 отключены или не поддерживаются), появятся ошибки вида:

• 0x80070035 — не найден сетевой путь;

• Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.

   Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks

  ;

• Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколуSMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.

  You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher).

Также при отключении клиента SMBv1 на компьютере перестает работать служба Computer Browser (Обозреватель компьютеров), которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети. Для корректгого отобрражения соседних компьютеров в сети Windows 10 нужно настроить службу Function Discovery Provider Host (см. статью).

Отключение SMBv1 с помощью групповых политик

В доменной среде Active Directory вы можете отключить протокол SMBv1 на всех серверах и компьютеров с помощью групповой политики. Т.к. в стандартных политиках Windows нет политики настройки компонентов SMB, придется отключать его через политику реестра.

1. Откройте консоль управления Group Policy Management (gpmc.msc), создайте новый объект GPO (disableSMBv1) и назначьте его на OU с компьютерами, на которых нужно отключить SMB1;
2. Перейдите в режим редактирования политики. Выберите Computer Configuration -> Preferences -> Windows Settings -> Registry;
3. Создайте новый параметр реестра (Registry Item) со следующими настройками:
   Action:
   Update
   
   Hive:
   HKEY_LOCAL_MACHINE
   
   Key Path:
   SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
   
   Value name:
   SMB1
   
   Value type:
   REG_DWORD
   
   Value data:
   0
   
   Данная политика отключит через реестр поддержку компонента сервер SMBv1 на всех компьютерах.

   Если в вашем домене остались компьютеры с Windows XP/Server 2003, можно использовать отдельный WMI фильтр политики, чтобы исключить эти версии Windows из-под действия политики.

Если вы хотите через GPO отключить на компьютерах SMB клиент, создайте дополнительно два параметра реестра:

• Параметр Start (типа REG_DWORD) со значением 4 в ветке реестра HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10;
• Параметр DependOnService (типа REG_MULTI_SZ) со значением Bowser, MRxSmb20, NSI (каждое значение с новой строки) в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.

Осталось обновить настройки групповых политик на клиентах и после перезагрузки проверить, что компоненты SMBv1 полностью отключены.

При работе в локальной сети часто возникает необходимость в передаче файлов между компьютерами. В таких случаях незаменимым решением станет программа Самба, которая поможет в настройке общедоступных директорий. Однако настройка Samba имеет ряд особенностей.

Настройка через терминал

Сама Samba – это программа, которая предназначена для обращения к различным сетевым интерфейсам, в том числе принтерам, с помощью особого протокола «SMB/CIFS». Состоит из серверной (работающей на Linux, MAC и других Unix-подобных OS) и клиентской части, которую можно установить даже на Windows 7, 8, 10.

Поскольку серверная часть программы предназначена для ОС Ubuntu, рассмотрим порядок ее настройки, а также затронем настройки Windows для обеспечения доступа.

Настройки Windows

Для того, чтобы программа работала корректно, нужно убедиться в том, что все компьютеры сети подключены к одинаковой рабочей группе. Обычно, в поле «Название группы» внесено значение «WORKGROUP». Чтобы определить, в какую группу входит используемый ПК, необходимо использовать командную строку:

1. Нажать на клавиатуре комбинацию клавиш «WIN+R». В открывшемся окне ввести «cmd».
2. Далее, в окне консоли ввести «net config workstation».

Следует обратить внимание на пункт «Домен рабочей станции».

1. Если на ПК с ОС Ubuntu выставлен статический ip-адрес, следует указать его в файле «hosts». Найти его можно в папке «etc», которая, в свою очередь хранится в папке «Windows\system32».
2. После последнего адреса в списке написать нужный IP-адрес.

Настройка Виндоус окончена.

Настройка серверной части Самба

Теперь можно перейти к настройке операционной системы Samba на Ubuntu. В процессе будет использоваться консоль. Сам процесс настройки Samba Server несложен, но требует внимательности к деталям:

1. По окончании инсталляции необходимо используя консоль вписать следующую команду, которая установит недостающие модули Самбы:

   sudo apt-get install -y samba python-glade2

2. Вслед за этим нужно сделать бэкап существующего файла конфигурации:

   sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

3. Создать новый файл конфигурации:

   sudo gedit /etc/samba/smb.conf

4. В открывшийся документ нужно внести следующую информацию:

   [global]
   workgroup = WORKGROUPE
   netbios name = gate
   server string = %h server (Samba, Ubuntu)
   dns proxy = yes
   log file = /var/log/samba/log.%m
   max log size = 1000
   map to guest = bad user
   usershare allow guests = yes

5. Сохранить изменения кликом по кнопке в правом верхнем углу.

Также следует откорректировать файл «limits.conf»:

1. Открыть его с помощью текстового редактора:

   sudo gedit /etc/security/limits.conf

2. Прокрутить вниз и перед последней строчкой в документе добавить следующее:

   * - nofile 16384
   root - nofile 16384

3. Сохранить изменения.

Результат:

Создание общих папок

Затем следует создать общие папки на сетевом файловом сервере Samba:

1. Сперва следует создать обычную директорию, название которой может быть абсолютно любым. Команда для консоли:

   sudo mkdir -p /*выбранный путь*/share

2. Задать права для того чтобы все пользователи смогли проводить операции над вложенными файлами. При этом следует указать точный путь:

   sudo chmod 777 -R /*…*/share

3. Открыть конфигурационный файл, чтобы добавить в него некоторые данные:

   sudo gedit /etc/samba/smb.conf

4. После блока «Global» добавить следующее:

   [Share]
   comment = Full Share
   path = *…*/share
   guest ok = yes
   browsable = yes
   writable = yes
   read only = no
   force user = user
   force group = users

5. Сохранить изменения. В результате должно получиться следующее:
6. Перезапустить Самбу:

   sudo service smbd restart

Найти созданную директорию на ПК с Windows можно через «Проводник» — «Сеть».

Неизменяемые папки

Если есть нужда в директории, над которой нельзя будет проводить операции редактирования – создается таковая с правами «Для чтения». Процедура идентична, за исключением некоторых параметров:

1. Создать папку, назвать ее, например, «readonly». В терминале ввести:

   sudo mkdir -p /readonly

2. Дать папке необходимые права:

   sudo chmod 777 -R readonly

3. Следующей командой открыть конфигурацию:

   sudo gedit /etc/samba/smb.conf

4. Вновь добавить фрагмент текста в конец файла:

   [Read]
   comment = Only Read
   path = /readonly
   guest ok = yes
   browsable = yes
   writable = no
   read only = yes
   force user = user
   force group = users

5. Сохранить документ.

Папки с закрытым доступом

Для создания папки с аутентификацией и проверкой разрешений нужно:

1. Создать папку, к примеру «Auth»:

   sudo mkdir -p /Auth

2. Задать права:

   sudo chmod 777 -R /Auth

3. Задать группу пользователей на свой выбор, а затем и пользователя, которому дать права доступа по авторизации.
4. Добавить пользователя, например, «teacher»:

   sudo useradd -g smbuser teacher

5. Задать пароль для авторизации:

   sudo smbpasswd -a teacher

6. Внести изменения в файл конфигурации, добавив фрагмент:

   [Pasw]
   comment = Only password
   path = /auth
   valid users = teacher
   read only = no

Графический интерфейс System Config Samba

Установка интерфейса

Для удобства управления настройками файлового сервера Samba можно подключить графический интерфейс:

1. Для установки нужно ввести в консоли следующую команду:

   sudo apt install system-config-samba

2. Вместе с этим установить все сопутствующие компоненты Самба:

   sudo apt-get install -y samba samba-common python-glade2 system-config-samba

3. Перейти к запуску и настройке.

Запуск

Запустить System Config Samba из терминала:

1. Нажать сочетание клавиш «CTRL+ALT+T».
2. В окне консоли ввести:

   sudo system-config-samba

3. Нажать «Enter».
4. Ввести системный пароль.

Добавляем пользователей

Перед настройкой папок нужно создать пользователей:

1. На верхней панели выбрать вкладку «Настройка».
2. Выбрать пункт «Пользователи Samba».
3. В следующем окне выбрать пункт «Добавить пользователя».
4. В выпадающем списке выбрать имя пользователя, которому может быть предоставлен доступ.
5. Ввести имя пользователя в Windows.
6. Ввести пароль с подтверждением.
7. Нажать «ОК».

Настраиваем сервер

Настройка сервера упрощается через графический интерфейс:

1. Выбрать вкладку «Настройки».
2. Далее «Параметры сервера».
3. Вкладка «Основной», ввести название группы в поле «Рабочая группа».
4. Параметр описания не влияет ни на что, поэтому его значение можно не изменять.
5. Перейти к вкладке «Безопасность».
6. Выбрать режим аутентификации — «Пользователь».
7. Выбрать в пункте «Шифровать пароли» вариант «Да».
8. Выбрать учетную запись гостя.
9. Нажать «ОК».

Создаем папки

Если папки не были созданы ранее, главное окно будет пустым. Для создания нужно провести ряд действий:

1. Кликнуть по кнопке в виде плюса. Произойдет переход к окну создания.
2. Нажать «Обзор» в открывшемся окне.
3. Указать папку, к которой будет предоставлен общий доступ.
4. Отметить галочками пункты «Виден» и «Общедоступен».
5. Перейти к вкладке «Доступ».
6. На данной вкладке выбрать пользователей, которые получат доступ к папке.
7. Для создания общедоступной папки выбрать «Предоставить доступ всем».
8. Нажать на «ОК».

В главном окне отобразится созданная директория.

Файловый менеджер Nautilus

Также эти операции можно провести в популярном файловом менеджере Nautilus.

Установка

Прежде всего необходимо выполнить установку:

1. Открыть «Nautilus» кликом по иконке на панели задач.
2. Перейти в расположение с директорией для общего доступа. Нажать правой кнопкой мыши и выбрать пункт «Свойства».
3. Перейти на вкладку «Общедоступная папка локальной сети».
4. Выбрать пункт «Опубликовать эту папку».
5. Откроется окно, в котором кликнуть по кнопке «Установить службу» для начала установки Самбы.
6. Будет открыто окно, в котором можно просмотреть описание устанавливаемых пакетов. Нажать «Установить».
7. Ввести пароль пользователя для продолжения установки.

Дождаться завершения установки и перейти к настройке.

Основные настройки

Настройка Самба из Наутилуса намного упрощается, в сравнении с предыдущими способами.

Для добавления общедоступности директории нужно:

1. Перейти на вкладку «Права».
2. Определить права для всех типов пользователей.
3. Для ограничения доступа какой-либо группе выбрать из списка «Нет».
4. Далее перейти в меню «Изменить права на вложенные файлы».
5. Точно также, как и во втором пункте определить права на взаимодействие с файлами.
6. Нажать «Изменить», затем перейти к вкладке «Общедоступная папка локальной сети».
7. Отметить галочкой вариант «Опубликовать эту папку».
8. Ввести название папки.
9. Поставить, либо убрать галочки, позволяющие проводить операции и предоставлять общий доступ пользователю без учетной записи.
10. Нажать «Применить».

Стоит отметить, что без настройки Самбы папки могут не стать общедоступными.