Windows Server 2012 — Управление резервным копированием

SMBv1 является устаревшим протоколом, который подвергается атакам вирусов вымогателей, например, WannaCry. Рассмотрим, как отключить протокол SMBv1 в Windows и полностью его заблокировать.

Зачем нужна поддержка SMBvв Windows

SMBv1 это устаревший протокол обмена файлами, которому уже приблизительно 30 лет. В связи с чем может быть использоваться различными видами вирусов, как калитка, предоставляющая доступ к нашему компьютеру. Нашумевшим подтверждением этому является вирус вымогатель WannaCry, который заразил десятки тысяч операционных систем, зашифровал на них файлы и требовал оплату за расшифровку данных.

Проблемы можно было избежать, если бы протокол был выключен на компьютере. И все-таки, стоит его отключить. Несмотря на то, что Майкрософт выпустил патчи для устранения уязвимости даже для старых систем, неизвестно что через некоторое время не появится еще одна итерация вируса WannaCry, который использует дырявый протокол SMBv1 иным образом. Рассмотрим, как полностью отключить протокол в Windows XP, 7, 8, 8.1 и 10?

Описание курса

Цель курса — предоставить слушателям знания и навыки, необходимые для настройки безопасности ИТ-инфраструктуры. В курсе рассказывается о значимости настроек безопасности и демонстрируются средства обнаружения сетевых вторжений, описываются методы защиты административных учетных записей и распределение прав доступа для делегирования определённых задач.

Также подробно рассмотрены угрозы со стороны вредоносных программ, описаны процессы обнаружения проблем безопасности с помощью аудита и средства расширенного анализа угроз (Advanced Threat Analysis) в Windows Server 2016, рассмотрены способы повышения безопасности за счёт использование платформы виртуализации и новых параметров развертывания ОС, таких как Nano Server и контейнеры. Курс также описывает способы защиты доступа к файлам с помощью шифрования и динамического контроля доступа (Dynamic Access Control), а также средства для повышения безопасности сети.

Курс предназначен для IT-специалистов, которые администрируют доменную среду Windows Server, управляют доступом к интернет и облачным службам.

Также курс позволяет подготовиться к сдаче экзамена 70-744 Securing Windows Server 2016.

Узнать больше

Улучшения в Windows Server 2012

Основные улучшения в этой версии:

  • Он готов к интеграции с облачными системами и по-прежнему может поддерживать классические функции локальных центров обработки данных. В результате в Hyper-V Virtualization появились новые функции реплик Hyper-v , которые позволяют создавать репликации виртуальных машин между кластерами и системами хранения.

  • Виртуальные диски миграции хранилища можно перемещать в разные физические хранилища, снимки виртуальных машин, виртуальные машины можно удалять из Hyper-v, а также из виртуальных дисков, и их можно использовать напрямую, без необходимости выключать виртуальную машину.

  • Установка основного сервера легко переключается на установку с графическим интерфейсом без необходимости переустановки.

  • Усовершенствование файлового сервера и службы хранения заключается в том, что он устраняет идентичные копии на том же томе и экономит место.

  • Пулы хранения и области хранения позволяют группировать жесткие диски в один или несколько пулов хранения, а затем создавать виртуальные диски. Он может добавлять другие диски в пулы хранения и делать их доступными для пользователей, не влияя на них.

  • Целевой сервер iSCSI может предложить блочное хранилище для других серверов и приложений в сети, используя стандарт iSCSI.

  • Клонирование Active Directory может развернуть дополнительные контроллеры домена путем клонирования существующего виртуального контроллера домена.

Читайте также:  Преобразование жесткого диска GPT в MBR

Windows Server 2012 имеет четыре редакции: Foundation, Essentials, Standard и Datacenter . У каждого из них есть свои ограничения, примите версию Datacenter, которая также является самой дорогой.

Следующая таблица покажет, что является правильным для ваших потребностей бизнеса —

Чтобы узнать стоимость лицензирования, вы можете перейти по следующей ссылке — -us/server-cloud/products/windows-server-2012-r2/

Windows Server 2012 — установка

В этой главе мы обсудим требования и предпосылки Windows Server 2012.

Проверка параметров общего доступа в Windows 10

Возможно, конечно, на вашем компьютере отключен, или неправильно настроен общий доступ. Из-за чего Windows 10 не может обнаружить другие компьютеры и накопители в локальной сети. Сейчас покажу, как проверить эти настройки.

Проверка параметров общего доступа в Windows 10

В Windows 10 (версия 1803) домашняя группа была удалена. Достаточно просто настроить общий доступ к принтерам и файлам.

Открываем меню «Пуск» (или нажав на кнопку поиска) и пишем «общего доступа». Открываем «Управление расширенными параметрами общего доступа».

Проверка параметров общего доступа в Windows 10

Или можно открыть это окно в параметрах «Сеть и Интернет» – «Параметры общего доступа».

Дальше для текущего профиля (скорее всего это будет частная сеть) установите переключатель возле «Включить сетевое обнаружение» и «Включить общий доступ к файлам и принтерам». А так же поставьте галочку возле «Включить автоматическую настройку на сетевых устройствах».

Проверка параметров общего доступа в Windows 10

Нажмите на кнопку «Сохранить изменения».

Если это не поможет – попробуйте установить такие настройки для вкладки «Все сети».

Проверка параметров общего доступа в Windows 10

Но не рекомендую составлять такие настройки, особенно если вы часто подключаетесь к общественным Wi-Fi сетям.

Еще несколько решений:

Проверка параметров общего доступа в Windows 10
  • Убедитесь, что ваш компьютер и другие компьютеры с которыми вы хотите настроить локальную сеть подключены через один роутер.
  • Отключите антивирус (встроенный в нем брандмауэр) и защитник Windows. Если это не решит проблему – включите обратно.
  • Если ваш компьютер с Windows 10 (который не видит общие папки и компьютеры в локальной сети) подключен к роутеру по Wi-Fi, то присвойте этой беспроводной сети статус частной (домашней).
  • Убедитесь, что на других компьютерах в локальной сети правильно заданы настройки общего доступа. Или на роутере настроен общий доступ к подключенному USB-накопителю.
Читайте также:  Windows 7: как перенести файлы и настройки на новый компьютер?

Буду рад видеть ваши комментарии с другими решениями и вопросами по теме данной статьи!

Как отключить протокол SMB версии в Windows и Windows Server 2016

sh: 1: —format=html: not found

По-умолчанию в Windows 10 и в Windows Server 2016 все-еще включена  поддержка SMB 1.0.  В большинстве случаев он требуется только для обеспечения работы устаревших систем: снятых с поддержки Windows XP, Windows Server 2003 и старше.

В том случае, если в вашей сети не осталось таких клиентов, в новых версиях Windows желательно отключить протокол SMB 1.x, либо полностью удалить драйвер.

Тем самым вы оградитесь от большого количества уязвимостей, которые свойственны этому устаревшему протоколу (о чем лишний раз свидетельствует последняя атака шифровальщика WannaCry) , и все клиенты при доступе к SMB шарам будут использовать новые более производительные, безопасные и функциональные  версии протокола SMB.

В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD)  и клиентских станциях.

Аудит доступа к файловому серверу по SMB v1.0

Перед отключением и полным удалением драйвера SMB стороне файлового SMB сервера желательно убедится, что в сети не осталось устаревших клиентов, подключающихся к нему по SMB v1.0. Для этого, включим аудит доступа к файловому серверу по этому протоколу с помощью команды  PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $true

Через некоторое время изучите события в  журнале Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit на предмет доступа клиентов с помощью протокола SMB1.

Читайте также:  Lenovo не устанавливается windows 7. Сервисный центр lenovo

Совет. Список событий из данного журнала можно вывести командой:

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

В нашем примере в журнале зафиксировался доступ с клиента по протоколу SMB1. Об этом свидетельствуют события с EventID 3000 от источника SMBServer и описанием:

SMB1 accessClient Address: :

This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.

В данном случае, мы проигнорируем эту информацию, но нужно учитывать тот факт, что в дальнейшем данный клиент не сможет подключаться к данному SMB серверу.

Отключение SMB 1.0 на стороне сервера

Протокол SMB 1.0 может быть отключен как на стороне клиента, так и на стороне сервера. На стороне сервера  протокол SMB 1.0 обеспечивает доступ к сетевым папкам SMB (файловым шарам) по сети, а на стороне клиента – нужен для подключения к таким ресурсам.

С помощью следующей команды PowerShell  проверим включен ли протокол SMB1 на стороне сервера:

Get-SmbServerConfiguration

Как вы видите, значение переменной EnableSMB1Protocol = True.

Итак, отключим поддержку данного протокола:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

И с помощью командлета Get-SmbServerConfiguration убедимся, что протокол SMB1 теперь выключен.

Чтобы полностью удалить драйвер, обрабатывающий доступ клиентов по протоколу SMB v1, выполните следующую команду:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Осталось перезагрузить систему и убедиться, что поддержка протокола SMB1 полностью отключена.

Get-WindowsOptionalFeature –Online -FeatureName SMB1Protocol

Отключение SMB 1.0 на стороне клиента

Отключив SMB 1.0 на стороне сервера, мы добились того, что клиенты не смогут подключаться к нему по этому протоколу. Однако, они могут использовать устаревший протокол для доступа к сторонним (в том числе внешним) ресурсам. Чтобы отключить поддержку SMB v1 на стороне клиента, выполните команды:

config lanmanworkstation depend= bowser/mrxsmb20/ config mrxsmb10 start= disabled

Итак, отключив поддержку устаревшего SMB 1.0 на стороне клиентов и серверов вы полостью защитите свою сеть от всех известных  и пока не найденных уязвимостей в нем. А уязвимости в Microsoft Server Message Block 1.0 находят довольно регулярно. Последняя существенная уязвимость в SMBv1, позволяющая злоумышленнику удаленно выполнить произвольный код, была исправлена в марте 2017 года.

Источник