Betaal en Betrouwbare Computer en Electronica Reparatie te Zoeterwoude-Rijndijk

Win11 – Nas Access

Accessing a third-party NAS with SMB in Windows 11 24H2

Wat is er veranderd
In Windows 11 24H2 zijn twee belangrijke beveiligingswijzigingen doorgevoerd die van invloed kunnen zijn op het toewijzen van schijven aan externe consumenten-NAS’s of routers met USB-opslag:

Check eerst of je NAS / Server poort 139 en 445 in de configuratie instellingen gebruikt, het is opgevallen dat Windows 11 enkel nog luistert naar poort 139 op SME Server ( Koozali ) v9 waardoor je na bovenstaande update geen verbinding meer kunt maken met de samba server. In alle andere gevallen, lees rustig verder…

Standaard is SMB-ondertekening vereist op alle verbindingen. Dit verhoogt uw beveiliging door manipulatie van het netwerk te voorkomen en relay-aanvallen te stoppen die uw inloggegevens naar kwaadaardige servers sturen.

Gastfallback is uitgeschakeld in Windows 11 Pro Edition. Dit verhoogt uw beveiliging bij het verbinden met onbetrouwbare apparaten. Met Gast kunt u verbinding maken met een SMB-server zonder gebruikersnaam of wachtwoord. Hoewel dit handig is voor de maker van uw NAS, betekent dit dat uw apparaat kan worden misleid om verbinding te maken met een kwaadaardige server zonder dat er om inloggegevens wordt gevraagd, waarna er ransomware kan worden uitgevoerd of uw gegevens kunnen worden gestolen.

Oplossing:
– Hoe u SMB-ondertekening inschakelt in uw NAS van derden. Uw leverancier heeft stappen om dit online te doen als dit mogelijk is in de beheersoftware van het apparaat.
– Schakel gasttoegang uit in uw NAS van derden. Uw leverancier heeft stappen om dit online te doen als dit mogelijk is in de beheersoftware van het apparaat.
– Schakel een gebruikersnaam en wachtwoord in op uw NAS van derden. Uw leverancier heeft stappen om dit online te doen als dit mogelijk is in de beheersoftware van het apparaat.
– Upgrade uw NAS als u ondertekening niet kunt inschakelen, gast niet kunt uitschakelen of geen gebruikersnaam en wachtwoord kunt gebruiken. De NAS heeft meestal een upgrade-optie in de beheersoftware, mogelijk gelabeld als “firmware-update”.

Maak je gebruik van een Linux server, upgrade Samba dan naar SMB2 of SMB3, SME-Server 10 ondersteunt SMB 2 en 3 als default.

6. Schakel de SMB-clientondertekeningsvereiste uit:

a. Typ gpedit in het zoekmenu Start en start de app Groepsbeleid bewerken (d.w.z. Lokale groepsbeleidseditor). Als u de Home-editie gebruikt, gaat u naar stap 8.

b. Selecteer Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties in de consolestructuur.

c. Dubbelklik op Microsoft-netwerkclient: Communicaties digitaal ondertekenen (altijd).

d. Selecteer Uitgeschakeld > OK.

7. Schakel de gastfallbackbeveiliging uit:

a. Typ gpedit in het zoekmenu Start en start de app Groepsbeleid bewerken (d.w.z. Lokale groepsbeleidseditor). Als u de Home-editie gebruikt, gaat u naar stap e.

b. Selecteer Computerconfiguratie > Beheersjablonen > Netwerk > Lanman Workstation in de consolestructuur.

c. Dubbelklik op Onveilige gastaanmeldingen inschakelen

d. Selecteer Ingeschakeld > OK.

8. Als u Windows 11 Home Edition gebruikt, is de gast-fallbackoptie nog steeds standaard ingeschakeld, dus u leest dit blogbericht waarschijnlijk niet. Maar als deze om een of andere reden is ingeschakeld of als u SMB-ondertekening wilt uitschakelen vanwege een NAS van derden, moet u PowerShell gebruiken om uw machine te configureren, omdat er standaard geen gpedit-tool is. Om dit te doen:

a. Typ powershell in het zoekmenu Start en klik vervolgens onder de Windows PowerShell-app op Als administrator uitvoeren. Accepteer de prompt voor verhoging.

b. Typ het volgende om de SMB-ondertekeningsvereiste uit te schakelen:

Set-SmbClientConfiguration -RequireSecuritySignature $false
d. Druk op Enter en vervolgens op Y om te accepteren.

c. Typ het volgende om de gast-fallback uit te schakelen:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true
e. Druk op Enter en vervolgens op Y om te accepteren.

How to add/remove SMBv1 via PowerShell
Here are the steps to detect, disable and enable SMBv1 client and server by using PowerShell commands with elevation.
The computer will restart after you run the PowerShell commands to disable or enable SMBv1.
Detect:
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Disable:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Enable:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Op Windows servers werkt het iets anders:

Server Manager - Dashboard method

Windows 8.1, Windows 10, and Windows 11: Add or Remove Programs method

Add-Remove Programs client method

SMBv1 on SMB Client

Windows Command Prompt

Detect
sc.exe qc lanmanworkstation
Disable:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Enable:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

SMB v2/v3 on SMB Client

Windows Command Prompt

Detect
sc.exe qc lanmanworkstation
Disable:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Enable:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

SERVERS:

SMBv1

Detect
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Disable:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Enable:
Set-SmbServerConfiguration -EnableSMB1Protocol $true

SMB v2/v3

Detect:
Get-SmbServerConfiguration | Select EnableSMB2Protocol
Disable:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Enable:
Set-SmbServerConfiguration -EnableSMB2Protocol $true

Bron en meer info: https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=server

Bestands en printerdeling inschakelen

Vergeet niet om bestands en printerdeling in te schakelen, anders blijf je de foutmelding krijgen dat het netwerk niet gevonden kan worden. Zelfs via net use x: \\IP krijg je dan nog steeds foutcode 67

Oplossing: 

  1. Select the Start  button, then select Settings  > Network & Internet , and on the right side, select Sharing options.
  2. Under Private, select Turn on Network discovery and Turn on file and printer sharing.
  3. Under All Networks, select Turn off password protected sharing. ( Optioneel )

Zie afbeelding hieronder.

Als het na het opnieuw starten van de computer niet meer werkt kan het zijn dat de service niet draait.

Oplossing:

  • Make sharing services start automatically.
    1. Press the Windows logo key  + R.
    2. In the Run dialog box, type services.msc, and then select OK.
    3. Right-click each of the following services, select Properties, if they’re not running, select Start, and next to Startup type, select Automatic:
      • Function Discovery Provider Host
      • Function Discovery Resource Publication
      • SSDP Discovery
      • UPnP Device Host

U kunt niet reageren.