Если вы из Windows 10 или 11 не можете открыть сетевые папки на других сетевых устройствах (NAS, Samba сервера Linux) или на компьютерах со старыми версиями Windows (Windows 7/ XP /2003), скорее всего проблема связана с тем, что в вашей версии Windows отключена поддержка устаревших и небезопасных версий протокола SMB (используется в Windows для доступа к общим сетевым папкам и файлам). В современных версиях Windows 10 и в Windows 11 по-умолчанию отключен протокол SMBv1 и анонимный (гостевой) доступ к сетевым папкам по протоколу SMBv2 и SMBv3.
Microsoft планомерно отключает старые и небезопасные версии протокола SMB во всех последний версиях Windows. Начиная с Windows 10 1709 и Windows Server 2019 (как в Datacenter так и в Standard редакциях) в операционной системе по умолчанию отключен протокол SMBv1 (помните атаку шифровальщика WannaCry, которая как раз и реализовалась через дыру в SMBv1).
Конкретные действия, которые нужно предпринять зависят от ошибки, которая появляется в Windows при доступе к общей сетевой папке и от настроек удаленного SMB сервера, на котором хранятся общие папки.
Содержание:
- Вы не можете получить гостевой доступ к общей папке без проверки подлинности
- Вашей системе необходимо использовать SMB2 или более позднюю
- Нет доступа к сетевой папке, у вас нет прав доступа
- Дополнительные способы проверки доступа к сетевой папке в Windows
Вы не можете получить гостевой доступ к общей папке без проверки подлинности
Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:
Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
An error occurred while reconnecting Y: to \\nas1\share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
При этом на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Причина в том, что в современных билдах Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.
При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:
Log Name: Microsoft-Windows-SmbClient/Security Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.
Данная ошибка говорит о том, что ваш компьютер (клиент) блокирует не аутентифицированный доступ под аккаунтом guest.
Чаще всего с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).
Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, тогда нужно настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.
В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.
- NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
- Samba сервер на Linux — если вы раздаете SMB папку с Linux, добавьте в в секции [global] конфигурационного файла smb.conf строку:
map to guest = never
А в секции с описанием сетевой папки запретить анонимный доступ:
guest ok = no - В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) измените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для сетевого доступа к общим папкам на этом компьютере..
Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.
Этот способ нужно использовать только как временный (!!!), т.к. доступ к папкам без проверки подлинности существенно снижает уровень безопасности ваших данных.
Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор локальных групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).
Обновите настройки групповых политик в Windows с помощью команды:
gpupdate /force
В Windows 10 Home, в которой нет редактора локальной GPO,вы можете внести аналогичное изменение через редактор реестра вручную::
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters “AllowInsecureGuestAuth”=dword:1
Или такими командами:
reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
reg add HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
Вашей системе необходимо использовать SMB2 или более позднюю
Другая возможная проблема при доступе к сетевой папке из Windows 10 – поддержка на стороне сервера только протокола SMBv1. Т.к. клиент SMBv1 по умолчанию отключен в Windows 10, то при попытке открыть шару или подключить сетевой диск вы можете получить ошибку:
Не удалось выполнить сопоставление сетевого диска из-за следующей ошибки. Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.
При этом соседние устройства SMB могут не отображаться в сетевом окружении и при открытии сетевых папок по UNC пути может появляться ошибка 0x80070035.
Сообщение об ошибки явно указывает, что сетевая папка поддерживает только SMBv1 для доступа к файлам. В этом случае нужно попытаться перенастроить удаленное SMB устройство для поддержки как минимум SMBv2 (правильный и безопасный путь).
Если сетевые папки раздает Samba сервер на Linux, вы можете указать минимально поддерживаемую версию SMB в файле smb.conf так:
[global] server min protocol = SMB2_10 client max protocol = SMB3 client min protocol = SMB2_10 encrypt passwords = true restrict anonymous = 2
В Windows 7/Windows Server 2008 R2 вы можете отключить SMBv1 и разрешить SMBv2 так через реестр:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force
В Windows 8.1 отключите SMBv1, разрешите SMBv2 и SMBv3 и проверьте что для вашего сетевого подключения используется частный или доменный профиль:
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true
Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003), поддерживает только протокол SMB1, в Windows 10 вы можете включить отдельный компонент SMB1Protocol-Client. Но это не рекомендуется!!!
Если удаленное устройство требует использовать SMBv1 для подключения, и этот протокол отключен в вашем устройстве Windows, в Event Viewer появляется ошибка:
Log Name: Microsoft-Windows-SmbClient/Security Source: Microsoft-Windows-SMBClient Event ID: 32000 Description: SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Запустите консоль PowerShell и проверьте, что SMB1Protocol-Client отключен (
State: Disabled
):
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Включите поддержку протокола SMBv1 (потребуется перезагрузка):
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Также вы можете включить/отключить SMBv1 в Windows 10 и 11 из меню
optionalfeatures.exe
-> SMB 1.0/CIFS File Sharing Support –> SMB 1.0/CIFS Client.
В Windows 10 1709 и выше клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).
В этом примере я включил только SMBv1 клиент. Не включайте компонент SMB1Protocol-Server, если ваш компьютер не используется устаревшими клиентами в качестве сервера для хранения общих папок.
После установке клиента SMBv1, вы должны без проблем подключиться к общей сетевой папке или принтеру. Однако, нужно понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает снижает уровень безопасности.
Нет доступа к сетевой папке, у вас нет прав доступа
При подключении к сетевой папке на другом компьютере может появится ошибка:
Нет доступа к \\ComputerName\Share. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к системному администратору этого сервера для получения соответствующих прав доступа.
Network Error Windows cannot access \\PC12\Share You do not have permissions to access \\PC12\Share. Contact your network administrator to request access.
При появлении это ошибки нужно:
- Убедиться, что пользователю, под которым вы подключаетесь к сетевой папке, предоставлены права доступа на сервере. Откройте свойства общей папке на сервере и убедитесь что у вашего пользователя есть права доступа.
Проверьте разрешения сетевой шары на сервере с помощью PowerShell:
Get-SmbShareAccess -Name "tools"
Затем проверьте NTFS разрешения:
get-acl C:\tools\ |fl
Если нужно, отредактируйте разрешения в свойствах папки.
- Проверьте, что вы используете правильные имя пользователя и пароль для доступа к сетевой папки. Если имя и пароль не запрашиваются, попробуйте удалить сохраненные пароли для доступа к сетевой папке в диспетчере учетных записей Windows. Выполните команду
rundll32.exe keymgr.dll, KRShowKeyMgr
и удалите сохраненные учетные данные для доступа к сетевой папке.
При следующем подключении к сетевой папки появится запрос имени и пароля. Укажите имя пользователя для доступа к папке. Можете сохранить его в Credential Manager или добавить вручную.
Дополнительные способы проверки доступа к сетевой папке в Windows
В этом разделе указаны дополнительные способы диагностики при проблема с открытием сетевые папок в Windows:
Проблемы с SMB в Windows 11
> Windows
Дата обновления: 22 апреля 2025 г.
Дата публикации: 22 апреля 2025 г.
Автор: Лаврентьев Степан
В Windows 11, версия 24H2 наблюдается сбой подключения к некоторым сторонним NAS по SMB
Windows 11, версия 24H2 содержит два важных изменения в области безопасности:
теперь требуется SMB-подпись для всех подключений, чтобы предотвратить подмену данных в сети,
теперь отключена гостевая авторизация в Windows 11 Pro для повышения безопасности при подключении к ненадежным устройствам.
Microsoft утверждает, что эти два изменения сделают «миллиарды устройств более безопасными», но ценой некоторых неудобств для существующих пользователей.
Согласно сообщению Microsoft, пользователи могут столкнуться с следующими проблемами в системах с Windows 11, версия 24H2 при подключении к стороннему сетевому хранилищу:
| Если подпись не поддерживается | Если требуется гостевой доступ |
|---|---|
| 0xc000a000 | Вы не можете получить доступ к этой общей папке, так как политика безопасности вашей организации блокирует неаутентифицированный гостевой доступ. Эти политики помогают защитить ваш ПК от небезопасных или вредоносных устройств в сети. |
| -1073700864 | 0x80070035 |
| STATUS_INVALID_SIGNATURE | 0x800704f8 |
| Криптографическая подпись недействительна | Сетевой путь не найден |
| Произошла системная ошибка 3227320323 |
Решение
Можно отключить подпись SMB.
Запускаем PowerShell от имени Администратора и выполняем данную команду:
Set-SmbClientConfiguration -RequireSecuritySignature $false
543
В этой статье я покажу как включить и при необходимости отключить поддержку протокола SMB 1.0 в Windows 11 или Windows 10. Через Компоненты Windows, командную строку или PowerShell.
SMB 1 – это устаревший протокол, который по умолчанию уже отключен в Windows 11 и Windows 10 и считается небезопасным. Из-за этого иногда бывают проблемы с доступом к локальной сети. Если в сети есть устаревшие устройства, которые используют протокол SMB 1, то без поддержки этого протокола в Windows 11/10 вы не сможете получить доступ к такому серверу. И соответственно другие устройства с SMB 1 не смогут получить доступ к вашему компьютеру для обмена файлами, использования сетевого принтера и т. д., если ваш компьютер выступает в роли сервера и на нем отключен протокол SMB первой версии.
Управление протоколом SMB 1 через Компоненты Windows 11/10
Чтобы открыть окно Компоненты Windows нажмите сочетание клавиш Win + R, введите команду appwiz.cpl и нажмите Ok. Дальше слева нажмите на Включение или отключение компонентов Windows. Откроется окно, в котором нужно найти и развернуть пункт Поддержка общего доступа к файлам SMB 1.0 /CIFS. Он состоит из трех компонентов. Если вы не знаете что конкретно вам нужно (ниже я поясню), то установите галочки возле всех трех компонентов (как у меня на скриншоте) и нажмите OK.
- Автоматическое удаление протокола SMB 1.0 /CIFS. Если данный протокол не используется более 15 дней в Windows 11 и Windows 10, он автоматически отключается. Это сделано для безопасности, так как сам протокол уже устаревший. Чтобы запретить автоматическое отключение – не устанавливайте галочку возле этого пункта.
- Клиент SMB 1.0 /CIFS. Нужно включать, если ваш компьютер выступает в роли клиента. Чтобы была возможность получить доступ к общим папкам на других компьютерах, NAS, роутерах и т. д.
- Сервер SMB 1.0 /CIFS. Нужно включать, когда другие устройства с поддержкой SMB 1 будут подключаться к общим папкам на вашем компьютере.
Перезагрузите компьютер.
Чтобы отключить поддержку SMB 1 вручную, просто снимите галочку возле пункта Поддержка общего доступа к файлам SMB 1.0 /CIFS и нажмите на кнопку OK.
Через командную строку или PowerShell
Есть ряд команд, с помощью которых можно можно включить или отключить SMB 1 в Windows 11/10. Можно включать и отключать отдельно как клиент, так и сервер. Для этого нужно открыть командную строку или Терминал от имени администратора.
- Чтобы запустить командную строку откройте меню Пуск и наберите на клавиатуре «командная строка». Нажмите на нее правой кнопкой мыши и выберите Запуск от имени администратора.
- Для запуска PowerShell нажмите правой кнопкой мыши на меню Пуск и выберите Терминал (администратор).
Команды для включения SMB 1
Для включения SMB 1 выполните по очереди эти команды:
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"
После выполнения каждой команды Windows будет предлагать перезагрузить компьютер. Чтобы отказаться нажмите на клавишу N.
Если необходимо, можно выполнить команду только для включения SMB 1 клиент (когда вы подключаетесь) или сервер (когда к вам подключаются). Перезагрузите компьютер.
Команды для PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Команды для отключения SMB 1
Для командной строки:
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"
Для PowerShell (команда удаляет протокол SMB 1):
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Как проверить статус протокола SMB 1?
Если вы запутались и не знаете, включен или отключен данный протокол, то это легко выяснить с помощью всего одной команды.
Dism /online /Get-Features /format:table | find "SMB1Protocol"
Ее нужно выполнить в командной строке. Появится отчет по каждому компоненту.
Как вы можете увидеть не скриншоте выше, на моем компьютере протокол SMB 1 в данный момент отключен.
Дополнительная информация
- Так как протокол SMB 1 уже устаревший и считается небезопасным, то я не рекомендую включать его без необходимости. А если включили, и это не помогло решить проблему или он вам больше не нужен, то отключите его вручную.
- Из-за протокола SMB 1 в Windows 11 и Windows 10 часто может быть проблема, когда компьютер не видит другие компьютеры или папки в сети, или появляется ошибка 0x80070035 (не найдет сетевой путь) при настройке локальной сети в Windows 11 и в Windows 10. Поэтому, для решения подобных проблем я рекомендую включать/отключать данный протокол.
- Ошибка «Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.» о которой я писал в статье не отображаются общие папки, сетевые компьютеры, флешки, диски на вкладке «Сеть» проводника Windows так же возникает из-за того, что отключен протокол SMB 1. После его включения для клиента эта ошибка должна исчезнуть. Или нужно настроить сервер на использование более нового протокола SMB 2 или SMB 3, если это возможно.
Помогло или не помогло включение данного протокола, решение каких-то ошибок или проблем связанных с этим, другие решения, ваши вопросы, все это мы обсуждаем в комментариях. Пишите!
Как включить или отключить протокол SMB 1.0 в Windows 10/11 и Windows Server?
Протокол доступа к общим файлам SMB 1.0 (Server Message Block) по умолчанию отключен в последних версиях Windows 11 и 10, а также в Windows Server 2019/2022. Эта версия протокола является небезопасной/уязвимой, и не рекомендуется использовать ее на устройствах в локальной сети. Windows поддерживает более безопасные версии протокола SMB (2.x и 3.x).
SMB v1 может быть необходим, только если в вашей сети остались устаревшие устройства с Windows XP/2003, старые версии NAS, сетевые принтеры с поддержкой SMB, устройства со старыми версиями samba, и т.д. В этой статье рассмотрено, как включить или отключить протокол общего доступа к файлам SMB 1.0 в Windows.
Обратите внимание что протокол SMB состоит из двух компонентов, которые можно включать/отключать по отдельности:
- Клиент SMB0 – нужен для доступа к общим папками на других компьютерах
- Сервер SMB 0 – должен быть включен, если ваш компьютер используется в качестве файлового сервера, к которому подключаются другие компьютеры и устройства.
Включить/отключить SMB 1.0 в Windows 10 и 11
Начиная с Windows 10 1709, протокол SMB 1 отключен в десктопных версиях Windows, но его можно включить из вручную.
Откройте командную строку и проверить статус компонентов протокола SMBv1 в Windows с помощью команды DISM:
Dism /online /Get-Features /format:table | find «SMB1Protocol»
В данном примере видно, что все компоненты SMBv1 отключены:
SMB1Protocol | Disabled
SMB1Protocol-Client | Disabled
SMB1Protocol-Server | Disabled
SMB1Protocol-Deprecation | Disabled
В Windows 10 и 11 также можно управлять компонентами SMB 1 из панели Windows Features ( optionalfeatures.exe ). Разверните ветку Поддержка общего доступа к файлам SMB 1.0 /CIFS (SMB 1.0/CIFS File Sharing Support). Как вы видите здесь также доступны 3 компонента:
- Клиент SMB 1.0/CIFS (SMB 1.0/CIFS Client)
- Сервер SMB 1.0/CIFS (SMB 1.0/CIFS Server)
- Автоматическое удаление протокола SMB0/CIFS (SMB 1.0/CIFS Automatic Removal)
Клиент SMB v1.0 нужно установить, если вашему компьютеру нужен доступ к сетевым папкам на старых устройствах. Если устаревшие сетевые устройства должны писать данные в сетевые папки на вашем компьютере, или использовать его общие сетевые принтеры, нужно включить сервер SMB 1.
Вы можете включить клиент или сервер SMB 1.0 в Windows 10/11 из панели окна управления компонентами или с помощью команд:
Dism /online /Enable-Feature /FeatureName:»SMB1Protocol»
Dism /online /Enable-Feature /FeatureName:»SMB1Protocol-Client»
Dism /online /Enable-Feature /FeatureName:»SMB1Protocol-Server
Также можно включить сервер или клиент SMBv1 с помощью PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Если после включения клиента SMBv1, он не используется более 15 дней, он автоматически отключается.
Чтобы выключить SMB1 в Windows, выполните следующие команды DISM:
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol»
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Client»
Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Server»
Или удалите компоненты SMB1Protocol с помощью PowerShell:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Если вы отключили поддержку SMBv1 клиента в Windows 10/11, то при доступе к сетевой папке на файловом сервере (устройстве), который поддерживает только SMBv1, появятся ошибки вида:
- 0x80070035 — не найден сетевой путь;
Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.
Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks
;
Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколуSMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher).
Также при отключении клиента SMBv1 на компьютере перестает работать служба Computer Browser (Обозреватель компьютеров), которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети. Для корректного отображения соседних компьютеров в сетевом окружении Windows нужно настроить службу Function Discovery Provider Host.
Включение и отключение SMB 1.0 в Windows Server 2019/2022
В Windows Server 2019 и 2022 компоненты протокола SMBv1 также по умолчанию отключены. Включить SMB v1 в этих версиях можно через Server Manager (компонент SMB 1.0/CIFS File Sharing Support) или с помощью PowerShell.
Проверить, включен ли SMB 1.0 в Windows Server с помощью команды PowerShell:
Get-WindowsFeature | Where-Object {$_.name -like «*SMB1*»} | ft Name,Installstate
Чтобы установить клиент SMB 1, выполните команду:
Install-WindowsFeature FS-SMB1-CLIENT
Включить поддержку серверной части SMB 1.0:
Install-WindowsFeature FS-SMB1-SERVER
Затем проверьте, что протокол SMB 1 включен в настройках SMB сервера. Если протокол отключен, включите его:
Get-SmbServerConfiguration | select EnableSMB1Protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $true -Force
Если в EnableSMB1Protocol = True, значит этот сервер поддерживает SMB 1.0 клеинтов.
Чтобы отключить SMBv1 (понадобится перезагрузка), выполните:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Чтобы полностью удалить компоненты SMB1 с диска, выполните:
Uninstall-WindowsFeature -Name FS-SMB1 -Remove
В Windows 7/8 и Windows Server 2008 R2/ 2012 можно отключать службу и драйвер доступа SMBv1 командами:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Аудит доступа к файловому серверу по SMB v1.0
Перед отключением и полным удалением драйвера SMB 1.0 на стороне файлового сервера желательно убедится, что в сети не осталось устаревших клиентов, которые используют для подключения протокол SMB v1.0. Чтобы найти таких клиентов, нужно включить аудит доступа к файловому серверу по SMB1 протоколу:
Set-SmbServerConfiguration –AuditSmb1Access $true
Через пару дней откройте на сервере журнал событий Event Viewer -> Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit и проверьте, были ли попытки доступа к ресурсам сервера по протоколу SMB1.
Совет. Список событий из журнала Event Viewer можно вывести командой PowerShell:
Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit
Проверьте, есть ли в журнале событие с EventID 3000 от источника SMBServer, в котором указано что клиент 192.168.1.10 пытается обратиться к сервере по протоколу SMB1.
SMB1 access
Client Address: 192.168.1.10
Guidance:
This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.
Вам нужно найти в сети компьютер или устройство с этим IP адресом. Если возможно обновите на нем ОС или прошивку, до версии поддерживающий, более новые протоколы SMBv2 или SMBv3. Если обновить такой клиент не удастся, придется включить SMBv1 на вашем файловом сервере.
Чтобы найти в Active Directory все компьютеры, на которых включен протокол SMB v1, выполните команду:
Get-ADComputer -Filter {(enabled -eq $True) } | % {Invoke-Command -ComputerName $_.DNSHostName -scriptblock {If ( (Get-ItemProperty -path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters»).SMB1 -eq 1 ) {Write-Output «SMBv1 is enabled on ${env:computername}»}}}
Эта команда получит список активных компьютеров в домене с помощью командлета Get-ADComputer. Затем с помощью Invoke-Command выполнит подключение через PowerShell Remoting к каждому компьютеру и проверит включен ли сервис SMB 1.0.
<Отключение SMB 1.0 с помощью групповых политик
Если в вашей сети не осталось устаревших устройств, которые поддерживают только SMB 1.0, нужно полностью отключить эту версию протокола на всех компьютерах. Чтобы предотвратить ручную установку и включение компонентов SMB 1.0 на компьютерах в домене AF, можно внедрить групповую политику, которая будет принудительно отключить протокол SMB 1.0 на всех серверах и компьютерах. Т.к. в стандартных политиках Windows нет политики настройки компонентов SMB, придется отключать его через политику реестра.
- Откройте консоль управления Group Policy Management ( gpmc.msc ), создайте новый объект GPO (disableSMBv1) и назначьте его на OU с компьютерами, на которых нужно отключить SMB1;
- Перейдите в режим редактирования политики. Выберите Computer Configuration -> Preferences -> Windows Settings -> Registry;
- Создайте новый параметр реестра (Registry Item) со следующими настройками:
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Value name: SMB1
Value type: REG_DWORD
Value data: 0
- Данная политика отключит службу сервера SMBv1.
Если вы хотите через GPO отключить на компьютерах и клиент SMB 1.0, создайте дополнительно два параметра реестра:
- Параметр Start (типа REG_DWORD) со значением 4 в ветке реестра HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10;
- Параметр DependOnService (типа REG_MULTI_SZ) со значением Bowser, MRxSmb20, NSI (каждое значение с новой строки) в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.
Осталось обновить настройки групповых политик на клиентах и после перезагрузки проверить, что компоненты SMBv1 полностью отключены.
С помощью WMI фильтр GPO можно сделать исключения для определенных версий Windows.
В групповых политиках Security Baseline из Microsoft Security Compliance Toolkit есть отдельный административный шаблон GPO (файлы SecGuide.adml и SecGuide.ADMX), в которых есть отдельные параметры для отключения сервера и клиента SMB:
- Configure SMB v1 server;
- Configure SMB v1 client driver.
It’s annoying to meet the “Windows 11 cannot access shared folder” issue. There are many reasons for the “cannot access shared folder Windows 11” issue. There may be a misconfigured network, incorrect drive settings, and misspellings of the folder names mentioned above. And in some cases, the user account behind the folder has inappropriate permissions settings.
Then, let’s see how to get rid of the “Windows cannot access shared folder on Windows 11” issue.
Fix 1: Turn on Network Sharing Permission
First, you can try to turn on network sharing permission on Windows 11 to fix the issue. Here is how to do that:
Step 1: Right-click the shared folder to choose Properties. Then, click the Sharing tab and click Share….
Step 2: Click the arrow to choose the user you want to share files and click Add. Choose Read/Write under Permission Level and click Share.
Step 3: Go to the Sharing tab again. Click Advanced Sharing… and check the Share this folder option. In the same window, click the Permissions button and check the Allow box next to the Full Control option.
Fix 2: Enable File and Printer Sharing
Then, you can try to enable file and printer sharing settings. Follow the guide below:
Step 1: Type Control Panel in the Search box to open it.
Step 2: Go to Network and Internet > Network and Sharing Center > Change advanced sharing settings.
Step 3: You need to turn on file sharing under Private, Public, and All networks.
1. Private
Network discovery: Check Turn on network discovery and also check Turn on automatic setup of network-connected devices.
File and printer sharing: Check Turn on file and printer sharing.
2. Guest or Public (current profile)
Check Turn on file and printer sharing under Network discovery and File and printer sharing.
3. All Networks
Turn on public file sharing and turn on password-protected sharing.
Fix 3: Give Security Permission
If you don’t have the correct security permission, you can also encounter the Windows 11 cannot access shared folder issue.
Step 1: Right-click the shared folder to choose Properties.
Step 2: Go to the Security tab and click Edit…. Then, click Add… and click Advanced….
Step 3: Click Find Now and select the user you want to share files. Then, click OK.
A Shared Folder troubleshooter can be helpful for you to get rid of the sharing issue.
Step 1: Press the Windows + I keys together to open the Settings application.
Step 2: Go to System > Troubleshoot > Other Troubleshooters.
Step 3: Find Shared Folders and click Run. Then, you just need to wait for the process to finish.
If you still can’t access the shared folder on Windows, you need to verify if the network and sharing services on your PC are running.
Step 1: Press the Windows + R keys to open the Run box. Type services.msc and press Enter.
Step 2: Right-click Function Discovery Provider Host and select Start.
Fix 6: Use Registry Editor
If the above solutions are not working, try to use Registry Editor to fix the issue.
Step 1: Open the Run box, type regedit, and press Enter.
Step 2: Go to the below path:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation
Step 3: If you can’t find the LanmanWorkstation key, right-click the Windows key to select New > Key. Name it LanmanWorkstation.
Step 4: Then right-click the right pane, and select New > DWORD (32-bit) Value. Name it AllowInsecureGuestAuth.
Step 5: Double-click on this key. Then change the Value data to 1.
Final Words
This post provides 6 ways to get rid of the “Windows 11 cannot access shared folder” issue. You can try them to fix the issue.