设置 Samba 的“服务器最小协议”来拒绝 SMBv1 请求是否是一种好的做法?

设置 Samba 的“服务器最小协议”来拒绝 SMBv1 请求是否是一种好的做法?

我有一个相当小的家庭网络,包括:

  • NAS(运行 OpenMediaVault),NetBIOS 名称FooBarNAS
  • 带有 dnsmasq 的 Raspberry Pi 2,用于提供 DHCP/DNS 服务,
  • 调制解调器(显然已停用 DHCP),
  • 多个客户端运行 Windows >= 7 和一些客户端运行 Linux 变体

据我所知,我的网络无法$ ping my.modem's.ip.adress通过互联网访问(即会失败)。


大约一年前,我注意到很多网站,包括Microsoft 的 TechNet 博客美国计算机应急响应小组,开始说服人们停止在其服务器(和客户端)上使用 SMBv1。

尽管我不认为我必须在本地网络中不惜一切代价停止使用 SMBv1,但我认为无论如何尝试一下可能是一个好主意。因此,在我的 NAS 中smb.conf,我添加了client min protocol = SMB2_10server min protocol = SMB2_10(SMBv2.1 是在 Windows 7 中引入的,由于我没有任何低于该版本的 Windows 设备,因此我认为这将是一个好的开始)。

但是,一旦我添加这些行并重新启动 samba,我的计算机就无法在 Explorer 的“网络”部分中找到 NAS,尽管我仍然可以通过\\FooBarNAS在地址栏中输入(或使用其 IP 地址)来访问它。如果我再次删除这些行(并重新启动),FooBarNAS则会再次出现。

我尝试添加netbios name = FooBarNASsmb.conf但这也没有改变行为。


由于这种行为很烦人(特别是对于家里不喜欢使用地址栏的人来说),而且我无法在互联网上找到有关该主题的任何明确信息,所以我的问题是:

在家庭网络中,通过“关闭” Samba 中的 SMBv1 是否可以提高安全性?

答案1

这里的问题很简单,网络浏览正在使用 SMBv1!!! 在最新的 SNIA SDC 中,微软宣布 SMBv1 已消亡(默认禁用 - 注册),但网络浏览仍可通过 SMBv1 进行。

这就是你看不到设备的原因。尝试仅修改服务器:server min protocol = SMB2_10 并让客户端支持 SMBv1

答案2

在此处输入图片描述

运行 secpol.msc

我必须在这里禁用此功能才能使它正常工作。

相关内容