«Вы не можете получить доступ к этой общей папке»

Если вы из Windows 10 не можете открыть сетевые папки на других сетевых устройствах (NAS, Samba сервера Linux) или на компьютерах со старыми версиями Windows (Windows 7/ XP /2003), скорее всего проблема связана с тем, что в вашей новой версии Windows 10 отключена поддержка устаревших и небезопасных версий протокола SMB (используется в Windows для доступа к общим сетевым папкам и файлам). Так, начиная с Windows 10 1709, был отключен протокол SMBv1 и анонимный (гостевой) доступ к сетевым папкам по протоколу SMBv2.

Microsoft планомерно отключает старые и небезопасные версий протокола SMB во всех последний версиях Windows. Начиная с Windows 10 1709 и Windows Server 2019 (как в Datacenter так и в Standard редакциях) в операционной системе по умолчанию отключен протокол SMBv1 (помните атаку шифровальщика WannaCry, которая как раз и реализовалась через дыру в SMBv1).

Конкретные действия, которые нужно предпринять зависят от ошибки, которая появляется в Windows 10 при доступе к общей папке и от настроек удаленного SMB сервера, на котором хранятся общие папки.

Содержание:

Вы не можете получить гостевой доступ к общей папке без проверки подлинности

Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

An error occurred while reconnecting Y: to \nas1share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.

При это на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Эта проблем связана с тем, что в современных версиях Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.

При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:

Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.

В большинстве случае с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).

В этом случае Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.

В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.

• NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
• Samba сервер на Linux — если вы раздаете SMB каталог с Linux, в конфигурационном файле smb.conf в секции [global] нужно добавить строку:map to guest = neverА в секции с описанием сетевой папки запретить анонимный доступ: guest ok = no
• В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control PanelAll Control Panel ItemsNetwork and Sharing CenterAdvanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) имените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для подключения к общим папкам на этом компьютере.

Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.

Этот способ нужно использовать только как временный (!!!), т.к. доступ к папкам без проверки подлинности существенно снижает уровень безопасности ваших данных.

Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).

В Windows 10 Home, в которой нет редактора локальной GPO, вы можете внести аналогичное изменение через редактор реестра вручную:

HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters “AllowInsecureGuestAuth”=dword:1

Или такой командой:

reg add HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f

Вашей системе необходимо использовать SMB2 или более позднюю

Другая возможная проблема при доступе к сетевой папке из Windows 10 – поддержка на стороне сервера только протокола SMBv1. Т.к. клиент SMBv1 по умолчанию отключен в Windows 10 1709, при попытке открыть шару вы можете получить ошибку:

Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.

You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.

При этом соседние устройства SMB могут не отображаться в сетевом окружении и при открытии по UNC пути может появляться ошибка 0x80070035.

Т.е. из сообщения об ошибке четко видно, что сетевая папка поддерживает только SMBv1 протокол доступа. В этом случае нужно попытаться перенастроить удаленное SMB устройство для поддержки как минимум SMBv2 (правильный и безопасный путь).

Если сетевые папки раздает Samba на Linux, вы можете указать минимально поддерживаемую версию SMB в файле smb.conf так:

[global] server min protocol = SMB2_10 client max protocol = SMB3 client min protocol = SMB2_10 encrypt passwords = true restrict anonymous = 2

В Windows 7/Windows Server 2008 R2 вы можете отключить SMBv1 и разрешить SMBv2 так:Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 0 –Force

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 1 –Force

В Windows 8.1 отключите SMBv1, разрешите SMBv2 и SMBv3 и проверьте что для вашего сетевого подключения используется частный или доменный профиль:

Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"Set-SmbServerConfiguration –EnableSMB2Protocol $true

Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003), поддерживает только протокол SMB1, в Windows 10 вы можете включить отдельный компонент SMB1Protocol-Client. Но это не рекомендуется!!!

Запустите консоль PowerShell и проверьте, что SMB1Protocol-Client отключен (State: Disabled):

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Включите поддержку протокола SMBv1 (потребуется перезагрузка):

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Также вы можете включить/отключить дополнительные компоненты Windows 10 (в том числе SMBv1) из меню optionalfeatures.exe-> SMB 1.0/CIFS File Sharing Support

В Windows 10 1709 и выше клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).

В этом примере я включил только SMBv1 клиент. Не включайте компонент SMB1Protocol-Server, если ваш компьютер не используется устаревшими клиентами в качестве сервера для хранения общих папок.

После установки клиента SMBv1, вы должны без проблем подключиться к сетевой папке или принтеру. Однако, нужно понимать, что использование данного обходного решения не рекомендовано, т.к. подвергает вашу систему опасности.

–>

В этой статье описываются сведения о том, как Windows по умолчанию отключит гостевой доступ в SMB2, а также параметры, позволяющие включить незащищенные входы гостей в групповой политике. Однако это обычно не рекомендуется.

Исходная версия продукта:   Windows 10 — все выпуски, Windows Server 2019, Windows Server 2016Исходный номер КБ:   4046019

Симптомы

В Windows 10, Windows Server 2019 или Windows Server 2016 клиент SMB2 больше не допускает следующие действия:

• Доступ гостевой учетной записи к удаленному серверу.
• Возвращаясь к гостевой учетной записи после того, как предоставлены недопустимые учетные данные.

В этих версиях Windows SMBv2 имеет следующее поведение:

• Windows 10 Корпоративная и Windows 10 для образования больше не позволяют пользователю подключаться к удаленному доступу с помощью гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевых учетные данные.
• Выпуски Windows Server 2016 Datacenter и Standard больше не позволяют пользователю подключаться к удаленной совместной версии с помощью гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевых учетные данные.
• Выпуски Windows 10 Домашняя и Профессиональная не изменились по сравнению с предыдущим поведением по умолчанию.

При попытке подключиться к устройствам, запрашивающие учетные данные гостя, вместо соответствующих авторов проверки подлинности может появиться следующее сообщение об ошибке:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ, не непросвещенный. Эти политики помогают защитить компьютер от небезопасных или вредоносных устройств в сети.

Кроме того, если удаленный сервер пытается принудительно использовать гостевой доступ или если администратор включает гостевой доступ, в журнал событий клиента SMB занося следующие записи:

Запись журнала 1

Рекомендации

Это событие указывает на то, что сервер попытался войти в систему пользователя как гостевая учетная запись, не проавентированная пользователем, но была отклонена клиентом. Гостевых входов не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, гостевых пользователей уязвимы для атак “человек в середине”, которые могут раскрыть конфиденциальные данные в сети. Windows отключает незащищенные (небезопасные) гостевых логов по умолчанию. Мы не рекомендуем включить небезопасные гостевых логов.

Запись журнала 2

Значение реестра по умолчанию:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstationParameters] "AllowInsecureGuestAuth"=dword:0

Настроено значение реестра:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstationParameters] "AllowInsecureGuestAuth"=dword:1

Рекомендации

Это событие означает, что администратор включил незащищенные гостевых входа. Незащищенный гостевой вход происходит, когда сервер входит в систему пользователя в качестве гостя, не проверенного авторизированной. Обычно это происходит в ответ на сбой проверки подлинности. Гостевых входов не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, разрешение гостевых логов делает клиент уязвимым к атакам “человек в середине”, которые могут раскрыть конфиденциальные данные в сети. Windows по умолчанию отключает незащищенные гостевых логов. Мы не рекомендуем включить небезопасные гостевых логов.

Причина

Это изменение поведения по умолчанию является стандартным и рекомендуется корпорацией Майкрософт для обеспечения безопасности.

Вредоносный компьютер, который выдает себя за допустимый файловой сервер, может разрешить пользователям подключаться в качестве гостей без их ведома. Не рекомендуется изменять этот параметр по умолчанию. Если удаленное устройство настроено для использования гостевых учетных данных, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную проверку подлинности и авторизацию.

Windows и Windows Server не включили гостевой доступ и не разрешили удаленным пользователям подключаться в качестве гостевых или анонимных пользователей с Windows 2000. По умолчанию гостевой доступ может потребоваться только на сторонних удаленных устройствах. Предоставляемые корпорацией Майкрософт операционные системы этого не делают.

Решение

Чтобы включить небезопасный гостевой доступ, можно настроить следующие параметры групповой политики:

1. Откройте редактор локальных групповых политик (gpedit.msc).
2. В дереве консоли выберите “Конфигурация компьютера административные > шаблоны сетевой рабочей станции > > Lanman”.
3. Для этого параметра щелкните правой кнопкой мыши “Включить незащищенные гостевых параметров” и выберите “Изменить”.
4. Выберите “Включено” и “ОК”

Примечание

Включение незащищенных гостевых параметров снижает безопасность клиентов Windows.

Дополнительные сведения

Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и откат гостей.

Примечание

SMB1 по умолчанию будет выгрузлен в последних конфигурациях Windows 10 и Windows Server. Дополнительные сведения см. в том, что SMBv1 не установлен по умолчанию в Windows 10 версии 1709, Windows Server версии 1709и более поздних версий.

–>

Многие столкнулись с тем, что при обновлении Windows 10  до последних релизов из под обновлённой ОС перестали открываться сетевые  папки. Произошло это из-за того, что Microsoft усилила безопасность и теперь, на сборке 1709, не работает беспарольное подключение по локальной сети к другим компьютерам, как было до этого.

При попытке подключения может выдаваться следующее сообщение:

“Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети“

            Для того, чтобы решить данную проблему, необходимо либо включить общий доступ с парольной защитой:

И проблема устранится сама по себе.

 Такой вариант решения проблемы удобен далеко не всем, т. к. пароль при этом варианте приходится устанавливать пароль, а он не всегда нужен. Для того, чтобы избежать установки пароля и вернуть возможность получать общий доступ без парольной защиты, необходимо выполнить несколько простых шагов:

1. Открываем Win+R (Пуск->Выполнить) и пишем gpedit.msc

            2. Далее необходимо перейти по следующему пути “Конфигурация компьютера ===> Административные шаблоны ===> Сеть>Рабочая станция Lanmann”;

            3. Выставить параметр “Включить небезопасные гостевые входы” в положение “Включено”.

            Однако, необходимо иметь в виду, что данное решение временное и не рекомендуется открывать доступ без проверки подлинности для кого угодно.

Поделиться с друзьями: Задайте вопрос Быстрый доступ

Администрирование клиентских ОС Windows > Windows 10

• Общие обсуждения

• Добрый день. Установил Windows 10, 1709, 16299.15

  Попытался зайти на NAS – WD получаю в ответ такую ошибку:

  \192.168.1.103

  Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети. ОК – закрыть ошибку.

  P.S. Картинку вставить не дал, т.к. учетка не проверена.

  В ноутбука с Windows 10, Доступ есть к NAS – папки все вижу, со стационарного компа нет.

  Куда копать? 

  Пробовал сравнить локальные политики на стационарном компьютере и ноуте – одинаковые, разница небольшая, но она не связано в общими папками.

  Гугл и Яндекс на такую ошибку ответа не дает.

  Спасибо.

  • Изменен тип20 декабря 2017 г. 13:20Отсутствие активности.

  3 декабря 2017 г. 13:19 Ответить | Цитировать

Все ответы

• Здравствуйте,

  Подскажите, пожалуйста, стационарный комп у вас какую ОС пользует?

  Компьютер в домене?

  Каким пользователем пробуете зайти на устройство?

  Проверьте права доступа самого NAS.

  А так же можете сделать запрос на проверку учетной записи для получения прав на публикацию вкладышей.

  Verify Account 40

  Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку “Предложить как ответ” или “Проголосовать за полезное сообщение” Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется “как есть” без каких-либо гарантий.

  4 декабря 2017 г. 5:51 Ответить | Цитировать

• Подскажите, пожалуйста, стационарный комп у вас какую ОС пользует? – Windows 10, 1709, 16299.15

  Компьютер в домене? – нет, у всех одинаковая рабочая группа.

  Каким пользователем пробуете зайти на устройство? – локальным админом, у которого установлен в т.ч. и пароль для авторизации, без пароля тоже самое.

  Проверьте права доступа самого NAS. – права выставлены стандартные – всем можно видеть и редактировать, с ноутбука с 10 заходит, но там точно другой релиз и сборка W10 + давно не обновлял. Права но ноутбуке идентичные как и на стационаре.

  А так же можете сделать запрос на проверку учетной записи для получения прав на публикацию вкладышей. – запрос сделал

  • Изменено4 декабря 2017 г. 8:31

  4 декабря 2017 г. 8:01 Ответить | Цитировать

• Нет идей куда копать-то?11 декабря 2017 г. 13:17 Ответить | Цитировать

• что то мне помнится что сборка 299.15 не последняя, как следствие можно попробовать обновить. Потом можно поискать прошивку на NAS, возможно WD знает про проблему и имеет какое-то простое решение проблемы.

  Попутно можно почитать лог и погуглить по англоязычных форумах, возможно есть ворк

  ераунд как обойти проблему

  The opinion expressed by me is not an official position of Microsoft

  • Изменено12 декабря 2017 г. 6:34

  11 декабря 2017 г. 22:45 Ответить | Цитировать

• Скорее всего ваш NAS клиент настроен на доступ под гостевым аккаунтом. В Windows 10 1709 SMB доступ к шарам под гостем запрещен.

  Можно включить гостевой доступ политикой Enable insecure guest logons (Включить небезопасные гостевые входы). См. статью по ссылке.

  24 января 2018 г. 6:33 Ответить | Цитировать

• MaxBak83

  Помогла статья по ссылке! Спасибо!

  Build 17661.rs_prerelease

  • Изменено7 мая 2018 г. 17:17

  7 мая 2018 г. 17:14 Ответить | Цитировать

Если вы видите сообщение:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

Значит ваша операционка обновилась до последней версии и закрывают дыры в безопасности в частности те которые касаются SMB протокола (сетевому доступу к папкам, принтерам и т.п.). Более подробно о том в каком обновлении пришло новшество, что было изменено и несколько вариантов исправления этой ситуации описаны здесь. В нашем случае первый метод (редактирование групповых политик) помог исправить данную проблему:

1. Запускаем редактор групповых политик сочетанием клавиш Win+r или правой клавишей мышки на кнопке пуск и из появившегося меню выбрать “Запуск”.
2. В появившемся окне пишем gpedit.msc и жмем ок. Система может запросить ввод пароля администратора или просто подтверждение запуска с повышенными правами.
3. В открывшемся окне открываем “Конфигурация компьютера” затем подпункт  “Административные шаблоны” и затем “Сеть”. В правой колонке открываем пункт “Рабочая станция Lanman”, открыв его двойным кликом.
4. Из списка опций выбираем и открываем “Включить небезопасные гостевые входы”.
5. В открывшемся окне выбираем пункт “Включено” и жмем ОК.

После этих не сложных шагов доступ по сети к сетевым папкам заработал.Используемые источники:

• https://winitpro.ru/index.php/2018/01/24/ne-otkryvayutsya-smb-papki-posle-ustanovki-windows-10-1709/
• https://support.microsoft.com/ru-kz/help/4046019/guest-access-in-smb2-disabled-by-default-in-windows-10-and-windows-ser
• http://vel-com76.ru/posle-obnovleniya-windows-10-perestali-otkryvatsya-setevye-papki/
• https://social.technet.microsoft.com/forums/ru-ru/cd922378-2d06-471c-bf45-c003bc712890/10531077-1091107610721077109010891103
• https://viberua.blogspot.com/2018/02/windows-10.html