La Sikker ressourcedeling i Windows 11 Dette kan være en reel hovedpine, især siden Microsoft fjernede HomeGroup og har strammet sikkerhedsforanstaltningerne med hver version. Mange brugere støder på mærkelige situationer, såsom at kunne få adgang til en ressource fra et andet netværk eller segment, men inden for det samme LAN beder systemet gentagne gange om deres brugernavn og adgangskode uden at acceptere nogen legitimationsoplysninger.
Hvis noget lignende sker for dig, er du ikke alene: Windows 10 og Windows 11 (inklusive version 24H2) De har ændret den måde, mapper, printere og drev deles på, og har også styrket SMB-protokolDenne artikel vil trin for trin guide dig gennem, hvordan du forbereder dit netværk, deler mapper sikkert ved hjælp af SMB3, får adgang til delte ressourcer fra andre Windows-computere og Linux (Ubuntu), undgår sikkerhedsrisici og løser almindelige fejl, der opstår, når du forsøger at få adgang til delte ressourcer. Dette inkluderer deaktivering af ældre versioner og blokering af usikre gæstelogin.
Grundlæggende koncepter: fra hjemmegruppe til deling med SMB i Windows 11
I årevis satsede Microsoft på Arbejdsgrupper og Husholdningsgruppen Hjemmegruppe blev introduceret som en simpel måde at dele ressourcer på hjemmenetværk eller i små kontorer med Windows 7, men den forsvandt fra systemet startende med Windows 10 version 1803 og er nu en saga blot i Windows 11.
Currently, Windows 10 og Windows 11 De tillader stadig deling af filer, mapper og printere, men er afhængige af de klassiske mekanismer i SMB-protokollen, NTFS-tilladelser og avancerede delingsindstillinger. Dette gør delingen mere fleksibel og sikker, men betyder også, at der er flere indstillinger at kontrollere, når noget ikke fungerer som det skal.
Forberedelse af netværket: passende profil, detektion og firewall
Det første krav for at deling kan fungere er, at netværket er korrekt konfigureret. Hvis din forbindelse er markeret som offentlig, Windows blokerer de fleste delingsfunktioner Af sikkerhedsmæssige årsager kan teamene ikke se hinanden eller få adgang til delte mapper.
I et hjemmemiljø eller et lille kontormiljø anbefales det at bruge Privat netværksprofilI Windows 11 kan du ændre dette fra Indstillinger > Netværk og internet > vælg det aktive netværk > Egenskaber, og vælg derefter Privat. Hvis den grafiske brugerflade fejler, kan du altid bruge PowerShell med kommandoerne Get-NetConnectionProfile og Set-NetConnectionProfile til at ændre netværkskategorien.avancerede netværkskommandoer).
Når din profil er indstillet til Privat, skal du gennemgå avancerede delingsindstillingerFra Kontrolpanel > Netværks- og delingscenter > Skift avancerede delingsindstillinger skal du sørge for, at følgende indstillinger er aktiveret i den private netværksprofil:
- Netværksopdagelse (inklusive automatisk konfiguration af tilsluttede enheder).
- Fil- og printerdeling, afgørende for at andre teams kan se dine ressourcer.
I afsnittet Alle netværk finder du muligheder som f.eks. deling af offentlig mappeKrypteringstypen for SMB-forbindelser (det er bedst at lade den være på 128 bit, når det er muligt) og adgangskodebeskyttet deling. Afhængigt af det ønskede sikkerhedsniveau kan du lade adgangskodebeskyttelse være aktiveret eller deaktivere den. Husk dog, at deaktivering reducerer sikkerheden, især hvis dit Wi-Fi ikke er godt beskyttet.
Krav og porte, der er nødvendige for SMB-deling
Ud over netværksindstillinger afhænger sikker deling i Windows 11 af nogle centrale tekniske kravNTFS anbefales som filsystem, fordi det giver mulighed for detaljerede tilladelser til mapper og filer; med FAT32 har du for eksempel ikke en faneblad med navnet Sikkerhed i egenskaberne, hvilket i høj grad begrænser adgangskontrollen.
Hvad angår netværkskommunikation, bruger SMB-protokollen adskillige TCP- og UDP-porte. For at alt kan fungere, skal Windows-firewallen og mellemliggende firewalls (f.eks. en Fortinet mellem netværkssegmenter) tillade mindst følgende:TCP 445 (SMB over TCP Direct) og de NetBIOS-relaterede porte (137, 138, 139), hvis ældre navneopløsningsmekanismer stadig er i brug. Det er også nyttigt at vide Teknikker til optimering af store overførsler mellem enheder på samme LAN.
Det er også vigtigt, at den brugerkonto, du bruger til at konfigurere den delte ressource, har tilladelser til at ændre mappeegenskaberNormalt er det nok at være lokal administrator eller have tilstrækkelige rettigheder til den pågældende sti.
Konfiguration af SMB3 og relaterede funktioner i Windows 11 24H2
I moderne versioner af Windows 10 og Windows 11 er standardprotokollen SMB 3.xsom inkorporerer kryptering og ydeevneforbedringer (SMB Direct, multikanal osv.). SMB 1.0 er deaktiveret af sikkerhedsmæssige årsager og bør kun aktiveres, hvis du har brug for at kommunikere med meget gamle enheder, der ikke understøtter nyere versioner.
For at gennemgå eller justere disse funktioner kan du gå til Kontrolpanel > Programmer > Slå Windows-funktioner til eller fra. Der vil du se poster som f.eks. Understøttelse af SMB Direct-fildeling og kompatibilitet til SMB 1.0/CIFS-fildeling. I et sikkert miljø anbefales det at:
- Aktivér SMB Direct Hvis din hardware understøtter det, forbedrer det ydeevnen på hurtige netværk.
- Hold SMB 1.0/CIFS-klienten/serveren deaktiveretmedmindre et meget gammelt stykke udstyr midlertidigt kræver det.
Med PowerShell kan du kontrollere SMB-serverkonfigurationen med en kommando som Get-SmbServerConfiguration | Vælg EnableSMB1Protocol, EnableSMB2Protocolog juster værdier med Set-SmbServerConfiguration. Det er almindeligt at have SMB2/3 aktiveret og SMB1 deaktiveret, da sidstnævnte er meget sårbar over for malware som WannaCry eller NotPetya. Derudover er det tilrådeligt at implementere generelle sikkerhedsforanstaltninger og hurtig hærdning afhængigt af typen af udstyr.
Opret brugere og grupper for at dele sikkert
En stærkt anbefalet praksis for sikker deling er Brug ikke din personlige konto til alting.Og aktiver bestemt ikke anonym gæsteadgang. I stedet kan du oprette specifikke konti på computeren, der fungerer som filserver, og tildele dem tilladelser, der er skræddersyet til, hvad brugerne rent faktisk har brug for at gøre.
I Windows 10/11 Pro er det praktisk at bruge værktøjet Teamledelse (compmgmt.msc). I Lokale brugere og grupper kan du oprette brugere som bruger11, bruger12 osv. og gruppere dem i deres egen gruppe (f.eks. delt gruppe1). Når du derefter deler en mappe, tildeler du tilladelser til gruppen som helhed, og alle dens medlemmer arver disse tilladelser.
Denne strategi forenkler administrationen betydeligt: Du tilføjer eller fjerner brugere fra gruppen efter behov, i stedet for at justere tilladelser mappe for mappe. Derudover kan du skelne mellem brugere med skrivebeskyttet adgang og brugere med fuld kontrol ved at kombinere delingstilladelser (SMB) og NTFS-tilladelser under fanen Sikkerhed. For at administrere legitimationsoplysninger og adgangspolitikker sikkert anbefales det at integrere en løsning af adgangskodehåndtering med Bitwarden.
Deling af en mappe i Windows 11 med avancerede indstillinger
Den mest robuste måde at dele en mappe på er at bruge avanceret delingikke den hurtige deling-knap. Processen er ens i Windows 7, 8, 10 og 11, men i de nyeste versioner er brugerfladen mere poleret.
Først skal du åbne File Explorer Naviger til den mappe, du vil dele (f.eks. en undermappe i Dokumenter). Højreklik på mappen, vælg Egenskaber, og gå til fanen Deling. Klik derfra på Avanceret deling, og marker Del denne mappe.
I dette vindue kan du definere navn på delt ressource (hvad klienter vil se på netværket) og sæt grænser for samtidige brugere. Ved at klikke på Tilladelser kan du derefter tilføje specifikke grupper eller brugere og beslutte, om de skal have Læse-, Ændr- eller Fuld kontrol. Det er normalt mere sikkert at fjerne gruppen Alle fra SMB-tilladelser og kun arbejde med bestemte brugere/grupper.
Når du er færdig med tilladelserne til delte ressourcer, skal du tjekke fanen Sikkerhed (NTFS-tilladelser)Der kan du tilføje de samme grupper eller brugere igen (for eksempel sharegroup1 med fuld kontrol og en anden bruger med skrivebeskyttet tilladelse) og justere SMB- og NTFS-tilladelser. Husk, at Windows anvender det mest restriktive af de to lag, så hvis det ene niveau er skrivebeskyttet, vil brugeren ikke kunne skrive, selvom det andet niveau giver dem flere tilladelser.
Få adgang til den delte ressource fra en anden Windows-computer
Når mappen er delt, skal du blot åbne den fra den anden Windows-computer. Åbn Stifinder, og klik på Netværk. I venstre panel kan du se de tilgængelige computere. Hvis du vælger den computer, der eksponerer ressourcen, vises de delte mapper, f.eks. standardmappen Brugere eller eventuelle brugerdefinerede ressourcer, du har oprettet.
Du kan også gå direkte til UNC-stien i Stifinderens adresselinje ved at skrive noget i retning af \\Udstyrsnavn\Ressourcenavn eller ved at bruge serverens IP-adresse, for eksempel \\192.168.1.97\share01. Dette er meget nyttigt, når computerne af en eller anden grund ikke vises i netværksvisningen, eller der er problemer med navnefortolkning.
For ekstra bekvemmelighed kan du tildel ressourcen som et netværksdrevNår du har åbnet den delte mappe, skal du højreklikke på den og vælge Tilknyt netværksdrev. Vælg et drevbogstav, marker feltet Genopret forbindelse ved logon, og afslut guiden. Ressourcen vises derefter i "Denne pc", som om den var et andet lokalt drev, eller du kan brug Hurtig deling som et hurtigt alternativ.
Adgang til delte ressourcer fra Ubuntu eller andre Linux-distributioner
Hvis dit netværk omfatter både Windows- og Linux-computere, er der ikke noget problem: Ubuntu kan tilgå SMB-mapper Du kan nemt gøre dette ved hjælp af Stifinder. Gå til Andre placeringer i venstre rude, hvor du vil se Windows-netværk. Du kan også indtaste serverstien direkte i formatet smb://IP, for eksempel smb://192.168.1.97.
Når du forsøger at oprette forbindelse, vil systemet spørge bruger- og adgangskodeoplysningerDu kan bruge en Windows-konto med tilladelser på den delte ressource. Derefter kan du vælge, om Ubuntu skal glemme adgangskoden med det samme, huske den, indtil du logger ud, eller gemme den permanent.
I nogle tilfælde vil du ikke kun se mappen Brugere, men også administrative ressourcer som C$, D$ eller ADMIN$. Disse er skjulte Windows-administratorressourcerDisse er kun tilgængelige for konti med forhøjede rettigheder. I Ubuntu vises de åbent, men du skal bruge legitimationsoplysninger med administratorrettigheder for at få adgang til dem; ellers vil du i praksis kun kunne bruge ressourcer som Brugere eller dem, du selv har defineret.
Opret forbindelse til en delt mappe uden at bede om en adgangskode hver gang
Et meget almindeligt spørgsmål er, hvorfor Windows beder om legitimationsoplysninger, når man tilgår \\Computer\Mappe, selvom man har givet adgang til alle i mappen. Årsagen er, at SMB-tilladelser styrer, hvad en allerede godkendt bruger kan gøre.Godkendelse er dog altid baseret på en gyldig konto på den eksterne computer, medmindre du tillader anonym adgang eller gæsteadgang.
Der er dog en sikker måde at forhindre Windows i at bede om dit brugernavn og din adgangskode hver gang: brug den samme konto og adgangskode på begge enhederHvis du for eksempel på Computer1 har en bruger Bruger1 med Adgangskode1, og du på Computer2 også opretter Bruger1 med præcis den samme adgangskode, vil Windows, når du logger ind på Computer2 som Bruger1 og tilgår \\Computer1\share, bruge disse legitimationsoplysninger transparent og ikke vise login-feltet.
Denne tilgang betragtes som god praksis for små, domæneløse miljøer fordi Forbindelsen er stadig adgangskodebeskyttetBrugeren behøver dog ikke at indtaste den hver gang. Det anbefales ikke at deaktivere adgangskodebeskyttelse helt eller aktivere bred anonym adgang, da dette øger angrebsfladen betydeligt, hvis nogen formår at oprette forbindelse til dit netværk.
Gæstelogins, usikre logins og ændringer i Windows 11 24H2
I ældre versioner af Windows var det almindeligt at bruge Gæstekonto at tillade meget begrænset adgang til bestemte ressourcer. I dag er denne konto som standard deaktiveret, og i nyere versioner af Windows 10 kan den ikke længere aktiveres som før. Derudover har Microsoft strammet sin håndtering af uautoriserede gæstelogin, især i forbindelse med SMB.
Fra og med Windows 11 24H2, den Usikre gæstelogin er blokeret Som standard betyder det, at hvis en delt ressource forventer gæsteforbindelser (uden legitimationsoplysninger), kan Windows afvise forbindelsen med meddelelser, der angiver, at sikkerhedspolitikker ikke tillader uautoriseret gæsteadgang. For at dette kan fungere, skal du aktivere indstillingen "Aktiver usikre gæstelogoner" i Gruppepolitik (Computerkonfiguration > Administrative skabeloner > Netværk > Lanman Workstation) eller via registreringsdatabasenøglen AllowInsecureGuestAuth.
Disse indstillinger kan også justeres ved hjælp af PowerShell Set-SmbClientConfiguration og Set-SmbServerConfiguration for at tillade usikre logins eller deaktivere obligatorisk signering. Det er dog værd at understrege, at disse konfigurationer De går imod sikkerhedsanbefalinger og bør kun anvendes i stærkt kontrollerede og isolerede miljøer.
Aktivér eller deaktiver SMB 1.0 og kontroller protokolversioner
Der er stadig mange ældre enheder (gamle NAS-enheder, printere, Windows XP), der kun taler med sig selv SMB1.0I Windows 10/11 er denne version som standard deaktiveret på grund af dens historik med sårbarheder. Hvis du har brug for at interagere med en af disse maskiner, kan du midlertidigt aktivere SMB1-klienten og/eller -serveren fra Windows-funktioner eller med PowerShell-kommandoer som f.eks. Enable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol".
For at kontrollere, hvilke versioner der er aktive, tilbyder Windows kommandoer som f.eks. Get-WindowsOptionalFeature -Online -FeatureName SMB1-protokol eller Get-SmbServerConfiguration | vælg "*enablesmb*". Hvis du vil håndhæve et mere sikkert miljø, kan du bekræfte, at SMB1 er deaktiveret, og at SMB2/3 er aktiveret. Deaktivering af SMB2 giver sjældent mening i nuværende scenarier, undtagen i meget specifikke tests.
Det er værd at huske, at større ransomware-angreb, der udnytter SMB-sårbarheder (EternalBlue, EternalRomance og andre), netop var afhængige af SMBv1-fejlSå det er en grundlæggende hygiejneforanstaltning at holde den slukket, når det er muligt.
Windows-tjenester og andre indstillinger, der påvirker netværkets synlighed
I mange installationer er problemet ikke så meget den delte mappe som den Holdene kan ikke se hinanden eller listen over computere på netværket ser tom ud. I disse tilfælde er det tilrådeligt at tjekke nogle Windows-tjenester relateret til netværksregistrering, såsom:
Funktionsregistreringsudbydervært (fdPHost), funktionsregistreringsressourcepubliserende publicering (FDResPub), UPNP-værtsenhed (upnphost) og SSDP-registrering (SSDPSRV).
De burde alle være med Automatisk starttype og kører for at sikre konsekvent detektion af computere og ressourcer via Stifinder. Hvis nogen er stoppet, kan du starte dem fra services.msc og kontrollere, om computerne vises under Netværkssektionen efter et par minutter.
I miljøer, hvor der er vedvarende adgangsfejl, kan det også hjælpe rediger HOSTS-filen For manuelt at tildele IP-adresser til hver computer kan du tilføje linjer som 192.168.1.3 PCNAME til C:\Windows\System32\drivers\etc\hosts med administratorrettigheder og dermed undgå at være afhængig af registreringsmekanismer, der nogle gange fejler.
Almindelige problemer med adgang til delte ressourcer og hvordan de løses
Selv med korrekt konfiguration er det ret almindeligt at støde på kryptiske fejlmeddelelser, når man forsøger at åbne en delt ressource. En af de mest typiske er: "Windows kan ikke få adgang til \\værtsnavn\deling", nogle gange ledsaget af "Du har ikke tilladelse til at få adgang til…".
Når du ser sådan noget, er det første du skal tjekke, at Brugeren har tilladelser i mappen Dette gælder både for delings- og NTFS-niveauet. Du kan bruge PowerShell til at kontrollere disse tilladelser med `Get-SmbShareAccess -Name "ShareName"` og `Get-acl FolderPath`. Hvis brugeren ikke er angivet på nogen af placeringerne, eller kun har læseadgang, hvor de har brug for skriveadgang, skal tilladelserne justeres.
Et andet almindeligt scenarie er fejl 0x80070035 (Netværksrute ikke fundet)Dette skyldes normalt problemer med SMB-protokollen mellem klient og server (inkompatible versioner eller SMB deaktiveret), at "Server"-tjenesten er stoppet på den delte maskine, eller at registreringstjenester ikke kører. Problemet løses normalt ved at kontrollere, at SMB-serveren er aktiv, at SMB2/3 er aktiveret, og at ressourceudgivelsestjenesterne fungerer.
Hvis du bruger gæste- eller anonyme logins (anbefales ikke), kan fejlen være relateret til politikken "Aktivér usikre gæstelogin"på Lanman Workstation. Deaktivering af den blokerer disse typer forbindelser; aktivering tillader den dem, men på bekostning af sikkerheden. En anden årsag til vedvarende fejl kan være forældede legitimationsoplysninger, der er gemt i Windows Credential Manager; sletning af dem og genindtastning af den korrekte adgangskode løser ofte konflikter."
Yderligere tips til forbedring af stabilitet og kompatibilitet
I nogle netværk, især blandede netværk eller netværk med proprietære routere, Deaktiver IPv6 på netværkskortet Det har løst uregelmæssig adfærd i forbindelse med enhedsregistrering og -deling. Det er ikke den ideelle langsigtede løsning, men hvis du sidder fast, kan det være en rimelig test: Fra adapteregenskaberne skal du fjerne markeringen i Internet Protocol Version 6 (TCP/IPv6) og genstarte.
Det er også værd at bemærke, at klientudgaver af Windows, såsom Windows 10 eller Windows 11, har en grænse på 20 samtidige forbindelser til delte ressourcer. På et travlt netværk kan dette blive mættet og forårsage fejl. Hvis du skal levere filtjenester til mange brugere, kan du migrere til en server, der kører Windows Server. en dedikeret NASi stedet for at bruge en klient-pc som hovedserver.
Med alt ovenstående i tankerne er det muligt at installere en robust og relativt sikker infrastruktur til ressourcedelingSelv i miljøer med flere netværkssegmenter, ældre udstyr og Linux-systemer minimerer korrekt netværksprofil, tjenester, SMB-politikker og bruger- og gruppetilladelser både uventede anmodninger om legitimationsoplysninger og adgangsfejl mellem enheder inden for det samme netværk eller på tværs af forskellige firewall-kontrollerede segmenter.
Med en passende kombination af netværkskonfiguration, opdateret SMB-protokol, oprettelse af specifikke brugere, avanceret deling og gennemgang af tjenester og politikker kan ressourcedeling i Windows 11 være både praktisk og sikker, undgå usikre løsninger som anonym gæst eller SMB1 og reducere typiske adgangsproblemer betydeligt mellem computere inden for det samme netværk eller på tværs af forskellige firewall-kontrollerede segmenter.