Zo kun je met het SMB-protocol nog altijd veilig bestanden delen
Sinds Microsoft de April 2018-update heeft uitgerold, is het niet zonder meer mogelijk om verbinding te maken met je nas en bestanden te benaderen. Zelfs in de huidige Oktober 2018-update is deze optie niet beschikbaar. Met een belangrijke reden overigens, maar het behoeft wel wat uitleg. Om vanaf een Windows-computer verbinding te kunnen maken met een nas kun je verschillende protocollen gebruiken. Het SMB-protocol (Server Message Block) wordt hier het meest voor gebruikt.
Het SMB-protocol bestaat al sinds de jaren '90 en is inmiddels aanbeland bij versie 3.1.1. Veel oudere nas’en bieden nog het 1.0-protocol, ook bekend als CIFS, Common Internet Files. Het protocol is bedacht in een tijd dat dreigingen vanaf internet nauwelijks nog bestonden. Dat de tijden zijn veranderd hebben we allemaal wel eens aan den levende lijve ondervonden.
01 Lek en onveilig
Het SMB-protocol an sich is prima om te gebruiken, maar versie 1 biedt te veel beperkingen en is bovendien vatbaar voor zogeheten man-in-the-middle-aanvallen. Als jouw pc besmet raakt is het eenvoudig om de besmetting te laten verspreiden middels het 1.0-protocol van SMB, omdat extra beveiligings- en controlelagen in dit protocol ontbreken. Dat is de hoofdreden dat Microsoft het gebruik van versie 1.0 van SMB al sinds 2014 afraadt. Tot voor kort was het echter gewoon mogelijk om nas’en, maar ook bijvoorbeeld gedeelde printers of mediaspelers in je netwerk via deze versie van het protocol vanuit Windows te benaderen. Sinds april van dit jaar heeft Microsoft het SMB1.0-protocol echter uitgeschakeld. Gebruikers van apparaten met dit protocol krijgen hierdoor geen toegang meer tot gedeelde mappen (shares) op een nas, of kunnen ineens geen verbinding meer maken met een gedeelde printer in het netwerk.
02 Gebruik SMB 2.0 of hoger
Het is dan ook aan te raden om voor je nas gebruik te maken van versie 2.0 of hoger. Zoals gezegd is de laatste versie 3.1.1, maar de kans is groot dat je nas – als deze al wat ouder is – deze versie niet ondersteunt. Versie 2.0 is dan de meest logische om te kiezen, maar als je nas hogere versies heeft, dan kies je die sowieso. Windows 10 kan namelijk zonder meer overweg met versie 3.1.1. Maar hoe weet je nu welk protocol jouw nas allemaal ondersteunt? Die informatie kun je opvragen via de webinterface van je browser. Bij de meeste nas’en kom je via het ip-adres dat het apparaat heeft gekregen bij de webinterface. Je typt het ip-adres voorafgaand door https:// in de adresbalk van je browser, bijvoorbeeld https://192.168.2.10. Je moet nu inloggen met de gebruikersnaam en het wachtwoord.
Waar je de instellingen omtrent het protocol kunt vinden, hangt af van het merk nas dat je gebruikt. We geven je een tweetal voorbeelden om je op weg te helpen, maar de daadwerkelijke locatie waar je de instellingen vindt, kan per merk en model verschillen. We laten je de instellingen voor een Synology- en QNAP-nas zien.
03 Synology
Heb je een Synology-nas met DMS-software, dan ga je naar Configuratiescherm en kies je voor Bestandsservices. Klik op het tabblad SMB / AFP en vervolgens op de knop Geavanceerd. Hier kun je het protocol instellen, waarbij je voor de veiligheid bij Minimum SMB-poort voor SMB2 kiest en bij Maximum SMB-poort eveneens voor SMB2.
©PXimport
04 QNAP
Bij een QNAP-nas kies je voor Control Panel en Netwerk- en bestandsservices. Vervolgens kies je voor Win / Mac / NFS en pas je de optie bij Hoogste versie aan naar SMB 2 of SMB 3.
©PXimport
Toch SMB 1.0 gebruiken?
We kunnen ons voorstellen dat je niet direct afscheid wilt nemen van het SMB 1.0-protocol. Bijvoorbeeld omdat je eerst bestanden wilt back-uppen van je oude nas die alleen het oudere protocol nog ondersteunt. Standaard heeft Microsoft versie 1.0 van het protocol uitgeschakeld in Windows 10, maar het is wel relatief eenvoudig in te schakelen. Dat doe je als volgt: ga naar het Configuratiescherm en kies voor Programma’s en Onderdelen. In de linkerzijde van het venster kies je vervolgens Windows-onderdelen in- of uitschakelen. Scroll door de lijst naar de optie SMB 1.0/CIFS File Sharing Support. Vervolgens zet je daar de vinkjes aan bij SMB 1.0/CIFS Client en SMB 1.0/CIFS Server. De computer moet je daarna wel even opnieuw opstarten. Na de herstart kun je het oude protocol weer gebruiken. Let wel: we raden je aan om het protocol weer uit te schakelen als je klaar bent. Dat gaat op dezelfde manier als hierboven, met als enige verschil dat je natuurlijk de vinkjes weer weghaalt bij de genoemde opties.
©PXimport
05 Gedeelde mappen in Windows
Bij het delen van bestanden in Windows zelf hoef je je niet te bekommeren om de standaard. Windows 10 gebruikt namelijk automatisch het nieuwste protocol. Het kan echter zijn dat het – bijvoorbeeld na een grote update – niet meer mogelijk is om bestanden in je netwerk te benaderen. In dat geval heeft Windows 10 de functie netwerkdetectie uitgeschakeld. Met netwerkdetectie kunnen Windows-computers elkaar binnen hetzelfde netwerk vinden en is het mogelijk om bijvoorbeeld bestanden en mappen te delen. Je controleert of netwerkdetectie is ingeschakeld door de opdracht Netwerkstatus in te typen als je Windows Startmenu hebt geopend en dan op Enter te drukken. Vervolgens kom je in het scherm van de netwerkeigenschappen. Daar kies je onderaan voor de optie Netwerkcentrum. Met links klikken op je netwerkpictogram rechtsonder in de taakbalk kan overigens ook.
©PXimport
06 Delen in netwerk
Je komt nu bij de instellingen van je netwerk. Aan de linkerzijde klik je op de link Geavanceerde instellingen voor delen wijzigen. In het daarop volgende scherm kun je voor verschillende netwerken aangeven of je het delen van mappen wilt inschakelen. Windows kan voor ieder type netwerk andere instellingen gebruiken. Als je bijvoorbeeld veel met je laptop onderweg bent en gebruikmaakt van openbare netwerken, dan wil je natuurlijk niet dat andere gebruikers bij jouw bestanden kunnen komen of je computer kunnen vinden. In dat geval zet je bij de het type netwerk Gast of Openbaar alle instellingen uit. Je selecteert dan de opties Netwerkdetectie uitschakelen en Bestands- en printerdeling uitschakelen.
Als je met je thuisnetwerk bent verbonden en je wilt je andere apparaten in jouw eigen thuisnetwerk kunnen zien, dan zet je de genoemde opties juist aan. Als je netwerkdetectie hebt uitgeschakeld is het namelijk niet mogelijk om andere computers in het netwerk te vinden op basis van de naam van die computer.
Maar als je de computernaam weet dan is het nog wel steeds mogelijk om via de Verkenner naar een zogeheten UNC-pad naar een gedeelde map op die computer te gaan, ook als netwerkdetectie is uitgeschakeld. Als je bijvoorbeeld het pad \\STUDEERPC\C$\Windows intypt in de balk in de Verkenner kun je – als je de juiste rechten hebt – alsnog bij die map komen. Die functie staat los van Netwerkdetectie, want laatstgenoemde optie geeft alleen aan dat jouw computer niet te vinden is als je in de Verkenner op Netwerk klikt.
Let wel, als gebruiker moet je wel toegang hebben gekregen tot die map van de beheerder van de pc waarmee je verbinding maakt. Standaard verschijnt er bij het openen van een UNC-pad dan ook een inlogscherm van Windows, waarin je je gebruikersnaam en wachtwoord moet opgeven.
©PXimport
07 Toegang geven tot mappen
Om anderen toegang te geven tot jouw mappen, moet je dus toestemming hebben gegeven. Een uitzondering hierbij zijn computers die zijn aangemeld op een domein op een Windows-netwerk, waarbij een domein-administrator altijd toegang heeft tot de mappen op computers binnen het netwerk. Thuis maak je normaliter geen gebruik van een domein, maar een werkgroep. Een werkgroep heeft geen algemeen administrator-account, waardoor toegang tot computers per machine geregeld moet worden. Rechten aan een map geven kan ook alleen via een administrator-account. Een gewone gebruiker kan de deelactie wel starten, maar krijgt daarna een melding dat het administrator-wachtwoord ingevuld moet worden. Toegang geven gaat als volgt: selecteer met de rechtermuisknop de map die je wilt delen en kies voor de optie Toegang verlenen tot. Je kunt nu iemand anders toegang geven. Je kunt rechten toekennen aan iemand die al een account op de computer van de te delen map heeft; je kunt dus niet een naam van een account van een andere computer kiezen. Standaard geeft Windows 10 de huidige gebruikersaccount al op (aangeduid met Eigenaar), die heeft immers sowieso toegang. Kies het gewenste account uit het lijstje en klik erop. Vervolgens komt er een bevestigingsscherm in beeld, bevestig de vraag met Ja, deze items delen. Daarna moet je nog eenmaal je eigen administrator-account opgegeven om de instellingen door te voeren.
08 Geavanceerd delen
De gebruiker die nu toegang heeft gekregen heeft nu standaard leesrechten tot de map. Tijdens het toewijzen van een gebruiker kun je dat niet wijzigen, maar als je nu opnieuw naar Toegang verlenen tot gaat, en vervolgens kiest voor Specifieke personen, kun je de lees- en schrijfrechten aanpassen. Klik op het pijltje bij Machtigingsniveau om de rechten van de geselecteerde gebruiker te wijzigen.
Kies je voor de optie lezen en schrijven, dan mag een gebruiker bestanden openen, plaatsen en verwijderen. Bij de optie alleen lezen mag een gebruiker de bestanden alleen bekijken of openen, maar geen wijzigingen opslaan of nieuwe bestanden aanmaken.
©PXimport
Thuisgroep
Het is je misschien opgevallen dat je in het contextmenu in de Verkenner ook de optie Thuisgroep ziet staan. Een Thuisgroep was eigenlijk een versimpelde versie van een domeinnetwerk in een thuisomgeving, waarbij je meerdere computers aan elkaar kon koppelen middels een centraal administrator-account. Microsoft heeft de optie Thuisgroep echter weggehaald uit de laatste Windows 10-versie (April 2018-update), maar is blijkbaar vergeten deze optie overal te verwijderen. Als je klikt op Toegang verlenen tot > Thuisgroep dan zul je echter zien dat er niks gebeurt. Het heeft dus geen zin om deze optie te gebruiken.
©PXimport
Iedereen toegang geven
Alhoewel deze optie niet voorkomt in de lijst met gebruikersaccounts, kun je gedeelde mappen ook delen met iedereen in je thuisnetwerk. Windows heeft namelijk ook een account Iedereen. De optie Iedereen kan handig zijn als je geen zin hebt om lokale accounts toe te kennen of niet wil dat andere computer zich moeten aanmelden om toegang te krijgen tot een gedeelde map. Iedereen toegang geven doe je als volgt: klik met de rechtermuisknop op de map, kies voor Toegang verlenen tot en vervolgens Specifieke personen. In het invoerveld kun je nu Iedereen typen en daarna op de knop Toevoegen klikken. De optie verschijnt nu in de lijst. Je kunt nu ook de rechten aan alle gebruikers toekennen: lezen of lezen en schrijven. Let wel, gebruik deze optie nooit als je verbinding maakt met een openbaar netwerk en je in het Netwerkcentrum hebt aangegeven dat je bestands- en printerdeling wilt inschakelen voor dat netwerk. Iedereen die jouw computer op dat netwerk kan zien, kan dan in theorie bij de algemeen gedeelde map komen. De optie Iedereen geeft immers aan dat er geen specifiek gebruikersaccount aan de gedeelde map is gekoppeld.
©PXimport