Windows Server 2016/2019 এবং Windows 10 (বিল্ড 1709 দিয়ে শুরু), শেয়ার্ড ফোল্ডার অ্যাক্সেস করতে ব্যবহৃত সার্ভার মেসেজ ব্লক 1.0 (SMBv1) নেটওয়ার্ক প্রোটোকল ডিফল্টরূপে অক্ষম করা হয়। বেশিরভাগ ক্ষেত্রে, এই প্রোটোকলটি লিগ্যাসি সিস্টেমে হোস্ট করা শেয়ার্ড ফোল্ডার অ্যাক্সেস করার জন্য প্রয়োজন, যেমন আর সমর্থিত Windows XP, Windows Server 2003 এবং পুরানো OS. এই নিবন্ধে, আমরা Windows 10 এবং Windows Server 2016/2019-এ SMBv1 ক্লায়েন্ট এবং সার্ভার সমর্থন কীভাবে সক্ষম বা নিষ্ক্রিয় করতে পারি তা দেখব।
যদি আপনার নেটওয়ার্কে কোনো SMB 1.x ক্লায়েন্ট অবশিষ্ট না থাকে, তাহলে আপনাকে অবশ্যই সমস্ত Windows ডিভাইসে SMBv1 সম্পূর্ণরূপে নিষ্ক্রিয় করতে হবে। SMB 1.0 নিষ্ক্রিয় করে, আপনি এই লিগ্যাসি প্রোটোকলের বিস্তৃত দুর্বলতা থেকে উইন্ডোজ কম্পিউটারগুলিকে রক্ষা করতে পারেন (SMBv1 এর জন্য সবচেয়ে বিখ্যাত পাবলিক এক্সপ্লয়েট হল EternalBlue)। ফলস্বরূপ, নেটওয়ার্ক শেয়ারগুলি অ্যাক্সেস করার সময় আপনার ডিভাইসগুলি SMB প্রোটোকলের নতুন, আরও দক্ষ, সুরক্ষিত এবং কার্যকরী সংস্করণগুলি ব্যবহার করবে৷
পূর্ববর্তী নিবন্ধগুলির একটিতে, আমরা ক্লায়েন্ট- এবং সার্ভার-সাইড SMB সংস্করণ সামঞ্জস্যের সারণী দেখিয়েছি। টেবিল অনুসারে, পুরানো ক্লায়েন্ট সংস্করণ (XP, Server 2003 এবং কিছু *nix ক্লায়েন্ট) শুধুমাত্র SMB v1.0 প্রোটোকল ব্যবহার করে নেটওয়ার্ক শেয়ার করা ফোল্ডার অ্যাক্সেস করতে পারে। যদি নেটওয়ার্কে এই ধরনের কোনো ক্লায়েন্ট না থাকে, তাহলে আপনি ফাইল সার্ভার (AD ডোমেন কন্ট্রোলার সহ) এবং ক্লায়েন্ট ডেস্কটপের পাশে SMB 1.0 সম্পূর্ণরূপে নিষ্ক্রিয় করতে পারেন৷
Windows 10 এবং Windows Server 2016-এ, SMBv1 প্রোটোকল দুটি পৃথক উপাদানে বিভক্ত - SMB ক্লায়েন্ট এবং এসএমবি সার্ভার , যা স্বাধীনভাবে সক্রিয়/অক্ষম করা যেতে পারে।
বিষয়বস্তু:
- SMB v1.0 এর মাধ্যমে শেয়ার করা ফোল্ডার অ্যাক্সেসের অডিটিং
- Windows সার্ভার 2016/2019 এ SMB 1.0 সক্ষম/অক্ষম করুন
- Windows 10 এ SMBv1 কিভাবে সক্ষম/অক্ষম করবেন?
- গ্রুপ নীতির মাধ্যমে SMBv1 ক্লায়েন্ট এবং সার্ভার নিষ্ক্রিয় করা হচ্ছে
SMB v1.0 এর মাধ্যমে শেয়ার করা ফোল্ডার অ্যাক্সেস অডিট করা হচ্ছে
SMB ফাইল সার্ভারের পাশে SMB 1.0 ড্রাইভার নিষ্ক্রিয় বা সম্পূর্ণরূপে অপসারণ করার আগে, এটি নিশ্চিত করা মূল্যবান যে আপনার নেটওয়ার্কে এটি ব্যবহার করে এমন কোনও উত্তরাধিকারী ক্লায়েন্ট নেই। এটি করার জন্য, নিম্নলিখিত PowerShell কমান্ড ব্যবহার করে SMB v1.0 এর মাধ্যমে ফাইল সার্ভার অ্যাক্সেসের অডিট সক্ষম করুন:
Set-SmbServerConfiguration –AuditSmb1Access $true
কয়েকদিন পর, সার্ভারে ইভেন্ট ভিউয়ার খুলুন, লগ চেক করুন অ্যাপ্লিকেশন এবং পরিষেবা -> Microsoft -> Windows -> SMBServer -> Audi t এবং দেখুন যে কোন ক্লায়েন্ট SMB1 এর মাধ্যমে ফাইল সার্ভার অ্যাক্সেস করেছে।
টিপ৷৷ আপনি নিম্নলিখিত PowerShell কমান্ড ব্যবহার করে এই ইভেন্ট লগ থেকে ইভেন্টের তালিকা প্রদর্শন করতে পারেন:Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit আমাদের উদাহরণে, EventID 3000 সহ একটি ইভেন্ট৷ SMBSserver থেকে উৎস লগ পাওয়া গেছে. ইভেন্টটি নির্দেশ করে যে ক্লায়েন্ট 192.168.1.10 SMB1 প্রোটোকল ব্যবহার করে সার্ভার অ্যাক্সেস করার চেষ্টা করছে৷
SMB1 access Client Address: 192.168.1.10 Guidance: This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.
আপনাকে নেটওয়ার্কে এই কম্পিউটার বা ডিভাইসটি খুঁজে বের করতে হবে এবং নতুন SMB প্রোটোকল সংস্করণগুলিকে সমর্থন করে এমন একটি সংস্করণে OS বা ফার্মওয়্যার আপডেট করতে হবে:SMBv2 বা SMBv3৷
আমাদের ক্ষেত্রে আমরা এই তথ্য উপেক্ষা করব, কিন্তু আপনার মনে রাখা উচিত যে পরে এই ক্লায়েন্ট এই SMB সার্ভারে শেয়ার করা ফোল্ডারগুলি অ্যাক্সেস করতে পারবে না৷
Windows সার্ভার 2016/2019 এ SMB 1.0 সক্ষম/অক্ষম করুন
বিল্ড 1709 এবং উইন্ডোজ সার্ভার 2019 দিয়ে শুরু করে Windows সার্ভার 2016-এ, SMBv1 ডিফল্টরূপে অক্ষম করা হয়। Windows সার্ভারের নতুন সংস্করণে SMBv1 ক্লায়েন্ট প্রোটোকলের জন্য সমর্থন সক্ষম করতে, আপনাকে আলাদা SMB 1.0/CIFS ফাইল শেয়ারিং সমর্থন ইনস্টল করতে হবে বৈশিষ্ট্য।
আপনি সার্ভার ম্যানেজার ব্যবহার করে বা পাওয়ারশেলের মাধ্যমে SMBv1 বৈশিষ্ট্যটি ইনস্টল করতে পারেন।
আপনি পাওয়ারশেল কমান্ডের সাহায্যে SMBv1 সক্ষম হয়েছে কিনা তা পরীক্ষা করতে পারেন:
Get-WindowsFeature | Where-Object {$_.name -eq "FS-SMB1"} | ft Name,Installstate
FS-SMB1 ইনস্টল করতে বৈশিষ্ট্য, রান:
Install-WindowsFeature FS-SMB1
SMBv1 ক্লায়েন্ট বৈশিষ্ট্য আনইনস্টল করতে (রিবুট প্রয়োজন), কমান্ডটি চালান:
Uninstall-WindowsFeature –Name FS-SMB1 –Remove
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
আপনার সার্ভারের জন্য SMBv1.0 ক্লায়েন্ট অ্যাক্সেস পরিচালনা করার জন্য, আপনাকে FS-SMB1 ছাড়াও SMB ফাইল সার্ভার স্তরে SMBv1 সমর্থন সক্ষম করতে হবে উপাদান. আপনার সার্ভারে নেটওয়ার্ক শেয়ারের জন্য SMBv1 অ্যাক্সেস সক্ষম কিনা তা পরীক্ষা করতে, চালান:
Get-SmbServerConfiguration
লাইন “EnableSMB1Protocol: True ” এর মানে হল যে আপনি SMBv1 প্রোটোকল ব্যবহার করে এই সার্ভারে শেয়ার করা ফোল্ডারগুলি অ্যাক্সেস করার অনুমতি পেয়েছেন৷ Windows সার্ভারে SMBv1 সার্ভার সমর্থন নিষ্ক্রিয় করতে, PowerShell কমান্ড চালান:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
এখন Get-SmbServerConfiguration ব্যবহার করুন cmdlet নিশ্চিত করতে SMB1 সার্ভার নিষ্ক্রিয় করা আছে।
সার্ভারে SMBv1 সমর্থন সক্ষম করতে, কমান্ডটি চালান:
Set-SmbServerConfiguration -EnableSMB1Protocol $True -Force
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Windows 10 এ SMBv1 কিভাবে সক্ষম/অক্ষম করবেন?
আমরা আগেই বলেছি, Windows10 এর সমস্ত নতুন বিল্ডে (1709 থেকে শুরু করে) SMB1 প্রোটোকলের জন্য সমর্থন নিষ্ক্রিয় করা হয়েছে (SMBv2 প্রোটোকলের মাধ্যমে অতিথিদের অ্যাক্সেসও নিষ্ক্রিয় করা হয়েছে)।
Windows 10-এ, আপনি DISM কমান্ডের মাধ্যমে SMBv1 প্রোটোকল উপাদানগুলির স্থিতি পরীক্ষা করতে পারেন:
Dism /online /Get-Features /format:table | find "SMB1Protocol" খুঁজুন
আমাদের উদাহরণে, আপনি দেখতে পাচ্ছেন যে সমস্ত SMBv1 বৈশিষ্ট্যগুলি অক্ষম করা হয়েছে:
SMB1Protocol | Disabled SMB1Protocol-Client | Disabled SMB1Protocol-Server | Disabled SMB1Protocol-Deprecation | Disabled
Windows 10-এ, আপনি কন্ট্রোল প্যানেল (optionalfeatures.exe থেকে SMB 1 বৈশিষ্ট্যগুলিও পরিচালনা করতে পারেন। ) SMB 1.0 /CIFS ফাইল শেয়ারিং সমর্থন প্রসারিত করুন বিকল্প আপনি দেখতে পাচ্ছেন, 3টি SMBv1 উপাদান এখানে পাওয়া যায়:
- SMB 1.0/CIFS স্বয়ংক্রিয় অপসারণ
- SMB 1.0/CIFS ক্লায়েন্ট
- SMB 1.0/CIFS সার্ভার
আপনি বৈশিষ্ট্য পরিচালনা উইন্ডো থেকে বা কমান্ড ব্যবহার করে Windows 10-এ SMBv1 ক্লায়েন্ট এবং সার্ভার সক্ষম করতে পারেন:
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
যদি SMBv1 ক্লায়েন্ট সক্ষম করার পরে, এটি 15 দিনের বেশি ব্যবহার না করা হয় তবে এটি স্বয়ংক্রিয়ভাবে অক্ষম হয়ে যায়৷
SMBv1 ক্লায়েন্টের স্বয়ংক্রিয় অপসারণ একটি এককালীন অপারেশন। প্রশাসক ম্যানুয়ালি আবার SMBv1 সক্ষম করলে, এটি স্বয়ংক্রিয়ভাবে নিষ্ক্রিয় হবে না।Windows 10-এ SMB1 ক্লায়েন্ট এবং সার্ভার সমর্থন নিষ্ক্রিয় করতে, নিম্নলিখিত DISM কমান্ডগুলি চালান:
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"
আপনি যদি Windows 10-এ SMBv1 ক্লায়েন্টকে অক্ষম করে থাকেন, তাহলে আপনি যখন শুধুমাত্র SMBv1 সমর্থন করে এমন একটি ফাইল সার্ভারে একটি ছিদ্রযুক্ত ফোল্ডার অ্যাক্সেস করেন (SMBv2 এবং v3 প্রোটোকলগুলি নিষ্ক্রিয় বা সমর্থিত নয়), আপনি নিম্নলিখিত ত্রুটিগুলি পেতে পারেন:
0x80070035 The network path was not found;
Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks;
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.
Windows 10-এ শেয়ার করা ফোল্ডার অ্যাক্সেস করতে অক্ষম নিবন্ধটিতে এটি সম্পর্কে আরও পড়ুন।
অতিরিক্তভাবে, আপনি যদি SMBv1 ক্লায়েন্ট অক্ষম করেন, কম্পিউটার ব্রাউজার পরিষেবা, যা লিগ্যাসি NetBIOS প্রোটোকল দ্বারা নেটওয়ার্কে ডিভাইসগুলি আবিষ্কার করতে ব্যবহৃত হয়, কম্পিউটারে কাজ করা বন্ধ করে দেয়। Windows 10 নেটওয়ার্কে প্রতিবেশী কম্পিউটারগুলি সঠিকভাবে প্রদর্শন করতে, আপনাকে অবশ্যই ফিচার ডিসকভারি প্রোভাইডার হোস্ট কনফিগার করতে হবে পরিষেবা (এই নিবন্ধটি দেখুন)।
গ্রুপ নীতির মাধ্যমে SMBv1 ক্লায়েন্ট এবং সার্ভার নিষ্ক্রিয় করা
একটি সক্রিয় ডিরেক্টরি ডোমেন পরিবেশে, আপনি গ্রুপ নীতি (GPOs) ব্যবহার করে সমস্ত সার্ভার এবং কম্পিউটারে SMBv1 নিষ্ক্রিয় করতে পারেন। যেহেতু স্ট্যান্ডার্ড Windows গ্রুপ পলিসিতে কোনো আলাদা SMB কনফিগারেশন নীতি নেই, তাই আপনাকে রেজিস্ট্রি নীতির মাধ্যমে এটি নিষ্ক্রিয় করতে হবে।
- গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল খুলুন (
gpmc.msc), একটি নতুন GPO তৈরি করুন (disableSMBv1 ) এবং আপনি যে কম্পিউটারগুলিতে SMB1 নিষ্ক্রিয় করতে চান সেগুলি ধারণকারী OU এর সাথে এটি লিঙ্ক করুন; - নীতি সম্পাদনা মোডে স্যুইচ করুন। GPO বিভাগ কম্পিউটার কনফিগারেশন প্রসারিত করুন -> পছন্দগুলি৷ -> উইন্ডোজ সেটিংস -> রেজিস্ট্রি;
- নিম্নলিখিত সেটিং সহ একটি নতুন রেজিস্ট্রি আইটেম তৈরি করুন:
ক্রিয়া:Update
Hive:HKEY_LOCAL_MACHINE
কী পথ:SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
মানের নাম:SMB1
মান প্রকার:REG_DWORD
মান ডেটা:0
এই নীতিটি সমস্ত কম্পিউটারে রেজিস্ট্রির মাধ্যমে SMBv1 সার্ভার উপাদানের জন্য সমর্থন নিষ্ক্রিয় করবে৷ আপনি WMI ফিল্টার ব্যবহার করে এই নীতি থেকে Windows এর কিছু সংস্করণ বাদ দিতে পারেন।
আপনি GPO এর মাধ্যমে ডোমেন কম্পিউটারে SMB ক্লায়েন্ট নিষ্ক্রিয় করতে চাইলে, দুটি অতিরিক্ত রেজিস্ট্রি প্যারামিটার তৈরি করুন:
- শুরু মান 4 সহ প্যারামিটার (REG_DWORD প্রকার) রেজিস্ট্রি কী-তে HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10;
- DependOnService প্যারামিটার (REG_MULTI_SZ প্রকার) বাউসার মান সহ , MRxSmb20 , NSI (একটি নতুন লাইনে প্রতিটি মান) reg কী HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.
ক্লায়েন্টদের (gpupdate /force) গ্রুপ পলিসি সেটিংস আপডেট করা বাকি আছে ) রিবুট করার পরে নিশ্চিত করুন যে SMBv1 উপাদানগুলি সম্পূর্ণরূপে নিষ্ক্রিয় করা হয়েছে৷
SecGuide.adml এবং SecGuide.admx ফাইল) যাতে এসএমবি সার্ভার এবং ক্লায়েন্ট নিষ্ক্রিয় করার জন্য আলাদা বিকল্প রয়েছে: - SMB v1 সার্ভার কনফিগার করুন;
- SMB v1 ক্লায়েন্ট ড্রাইভার কনফিগার করুন৷৷
