No puedo acceder / asignar carpetas compartidas de red a través de SMB desde Windows 10

Si no puede abrir / asignar carpetas compartidas de red en su NAS, servidor Samba Linux, computadoras con versiones antiguas de Windows (Windows 7 / XP / Server 2003) desde Windows 10, lo más probable es que el problema sea que las versiones heredadas e inseguras del protocolo SMB son deshabilitado en las últimas versiones de Windows 10 (el protocolo SMB se usa en Windows para acceder a carpetas y archivos de red compartidos).

A partir de Windows 10 1709 y Windows Server 2019 (tanto en las ediciones Datacenter como Standard), el protocolo SMBv1 inseguro está deshabilitado de forma predeterminada SMBv1 debido a CVE-2017-0144 (recuerde el ataque de ransomware WannaCry, que se implementó a través de la vulnerabilidad SMBv1), así como el acceso anónimo (invitado) a las carpetas compartidas de la red.

Las acciones específicas que debe realizar dependen del error que aparece en Windows 10 cuando intenta acceder a la carpeta compartida y de la configuración del servidor SMB remoto que aloja los recursos compartidos de red.

Contenido:

  • No se puede acceder a la carpeta compartida porque las políticas de seguridad bloquean el acceso de invitados no autenticados
  • Error de Windows 10: su sistema requiere SMB2 o superior

No se puede acceder a la carpeta compartida porque las políticas de seguridad bloquean el acceso de invitados no autenticados

A partir de Windows 10 build 1709 Fall Creators Update (ediciones Enterprise y Education), los usuarios comenzaron a quejarse de que cuando intentaban abrir una carpeta compartida de red en una computadora cercana, aparecía un error:

Restauración de conexiones de red
Se produce un error cuando intenta abrir una carpeta de red:
Se produjo un error al volver a conectar Y: a \ nas1 share

Red de Microsoft Windows: no puede acceder a esta carpeta compartida porque las políticas de seguridad de su organización bloquean el acceso de invitados no autenticados. Estas políticas ayudan a proteger su PC de dispositivos maliciosos o inseguros en la red.

No puede acceder a esta carpeta compartida porque las políticas de seguridad de su organización bloquean el acceso de invitados no autenticados.

Además, en otras computadoras con Windows 8.1, Windows 7 o Windows 10 con una compilación de hasta 1709, las mismas carpetas de red compartidas se abren normalmente. El punto es que en las versiones modernas de Windows 10 (a partir de la compilación 1709), el acceso de invitados a las carpetas compartidas mediante el protocolo SMBv2 está deshabilitado de forma predeterminada. Invitado (anónimo) significa acceso a una carpeta de red compartida sin autenticación. Al acceder a una carpeta de red en una cuenta de invitado a través del protocolo SMBv1 / v2, no se utilizan métodos de protección del tráfico como la firma y el cifrado SMB, lo que hace que su sesión sea vulnerable a los ataques MiTM (man-in-the-middle).

En Windows 10 Home y Pro 1709, estos cambios no se aplican y el acceso a la red en la cuenta de invitado funciona bien.

Si intenta acceder a una carpeta compartida de red utilizando el protocolo SMB v2 en la cuenta de invitado, aparece el siguiente error en el registro del cliente SMB (Microsoft-Windows-SMBClient):

Source: Microsoft-Windows-SMBClient
Event ID: 31017
Rejected an insecure guest logon.

En la mayoría de los casos, puede enfrentar este problema al acceder a dispositivos NAS antiguos (generalmente el acceso de invitados está habilitado para facilitar la configuración) o al abrir carpetas de red en Windows 7/2008 R2 / Windows XP / 2003 con el acceso anónimo (invitado) configurado (consulte la tabla de versiones de protocolo SMB compatibles en diferentes ediciones de Windows).

En este caso, Microsoft recomienda cambiar la configuración en una computadora remota o dispositivo NAS que aloja las carpetas de red. Es recomendable cambiar el recurso compartido de red al modo SMBv3. O configure el acceso con autenticación si el dispositivo solo admite el protocolo SMBv2. Ésta es la forma más correcta y segura de solucionar el problema.

Dependiendo del dispositivo en el que estén almacenadas las carpetas de red, debe deshabilitar el acceso de invitados a ellas:

  • Dispositivos NAS – deshabilite el acceso de invitados en la configuración de su dispositivo NAS (según el modelo);
  • Servidor Samba en Linux – si está compartiendo una carpeta de red usando Samba en Linux, agregue la siguiente cadena al archivo de configuración smb.conf en la sección [global]: map to guest = never
    Y restrinja el acceso anónimo en la sección con una descripción de la carpeta compartida: guest ok = no
  • En Windows, puede habilitar el uso compartido de impresoras y carpetas de red con protección por contraseña a través del Panel de control -> Centro de redes y recursos compartidos -> Configuración de uso compartido avanzado. Para todas las redes en la sección «Uso compartido protegido con contraseña», cambie el valor a «Activar el uso compartido protegido con contraseña «. En este caso, el acceso anónimo (invitado) a las carpetas compartidas de la red se desactivará y tendrá que crear usuarios locales, otorgarles permisos de acceso a las carpetas e impresoras compartidas y usar estas cuentas para conectarse a las carpetas compartidas en una computadora remota. . Windows 10: habilite el uso compartido protegido con contraseña (para deshabilitar el acceso de invitados)

Hay otra forma: puede cambiar la configuración en su computadora con Windows 10 para permitir el acceso a las carpetas de red compartidas en la cuenta de invitado. Este método debe usarse solo como una solución temporal (!!!), porque el acceso a carpetas sin autenticación reduce significativamente el nivel de seguridad de su computadora y sus datos.

Para habilitar el acceso en la cuenta de invitado desde su computadora, debe usar el Editor de políticas de grupo (gpedit.msc). Ir a la sección: Configuración de la computadora -> Plantillas administrativas -> Red -> Estación de trabajo Lanman. Busque y habilite la política Habilite los inicios de sesión de invitados inseguros. Esta configuración de política determina si el cliente SMB permitirá el inicio de sesión de invitado inseguro en el servidor SMB.

Habilitar la política de inicios de sesión de invitados inseguros

En Windows 10 Home, que no tiene un editor de GPO local, puede realizar un cambio similar a través del editor de registro con el comando:

reg add HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f

Error de Windows 10: su sistema requiere SMB2 o superior

Otro posible problema al acceder a una carpeta de red desde Windows 10 es la compatibilidad del lado del servidor con el protocolo SMBv1 únicamente. Dado que el cliente SMBv1 está deshabilitado de forma predeterminada en Windows 10 1709 y versiones posteriores, cuando intenta abrir la carpeta compartida, puede obtener un error:

No puede conectarse al recurso compartido de archivos porque no es seguro. Este recurso compartido requiere el protocolo SMB1 obsoleto, que no es seguro y podría exponer su sistema a un ataque. Su sistema requiere SMB2 o superior.

Error de Windows 10: este recurso compartido requiere el protocolo SMB1 obsoleto, que no es seguro y podría exponer su sistema a un ataque. Su sistema requiere SMB2 o superior

El mensaje de error muestra claramente que la carpeta compartida de red admite el acceso únicamente a través del protocolo SMBv1. En este caso, debe intentar reconfigurar el dispositivo SMB remoto para usar al menos SMBv2 (la forma correcta y segura).

Si usa el servidor Samba en Linux para compartir carpetas de red, puede especificar la versión mínima admitida del protocolo SMB en el archivo smb.conf de esta manera:

[global]
server min protocol = SMB2_10
client max protocol = SMB3
client min protocol = SMB2_10
encrypt passwords = true
restrict anonymous = 2

En Windows 7 / Windows Server 2008 R2, puede deshabilitar el protocolo SMB 1 y habilitar SMBv2 con los siguientes comandos de PowerShell:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 1 –Force

En Windows 8.1 / Windows Server 2012 R2, puede deshabilitar SMBv1, habilitar SMBv2 y SMBv3, con el siguiente comando (verifique que se use un perfil privado o de dominio para su conexión de red):

Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
Set-SmbServerConfiguration –EnableSMB2Protocol $true

Si su dispositivo de red (NAS, Windows XP, Windows Server 2003) solo admite el protocolo SMB1, puede habilitar una Cliente de protocolo SMB1 característica en Windows 10. ¡¡¡Pero esto no es recomendable !!!

Ejecute el indicador de PowerShell y verifique que SMB1Protocol-Client esté deshabilitado (estado: deshabilitado):

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Habilite el protocolo de cliente SMBv1 (se requiere reiniciar):

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Get-WindowsOptionalFeature: obtiene el estado SMB1Protocol-Client

También puede habilitar / deshabilitar funciones adicionales de Windows 10 (incluidos los componentes SMBv1) desde el cuadro de diálogo optionalfeatures.exe -> Soporte para compartir archivos SMB 1.0 / CIFS.

habilitación de la función de compatibilidad con archivos compartidos SMB 1.0 / CIFS en Windows 10

En Windows 10 1809 y versiones posteriores, el cliente SMBv1 se elimina automáticamente si no se ha utilizado durante más de 15 días (el Eliminación automática de SMB 1.0 / CIFS característica es responsable de esto).

En este ejemplo, habilité solo el cliente SMBv1. No habilite la función SMB1Protocol-Server si los clientes heredados no utilizan su computadora como un servidor SMB de carpetas compartidas.

Después de instalar el cliente SMBv1, debería poder conectarse a una carpeta compartida o impresora sin ningún problema. Sin embargo, debe comprender que no se recomienda utilizar esta solución alternativa, ya que esto reduce el nivel de protección de su sistema.

 

Artículos Interesantes