更新到DSM 7.0或以上版本后,您立即无法访问Synology NAS上的共享文件夹。此外,日志中心中的连接日志会显示以下日志条目:
User [xxx] from [x.x.x.x] failed to log in via [SMB] due to [NTLMv1 not permitted].
问题描述
您的客户端设备属于以下一个或两个:
- 支持SMB1但不允许使用NTLMv2的Windows计算机
- 仅支持SMB1但不支持NTLMv2的旧版设备,如:
- IP摄像机
- 多功能打印机
- 多媒体播放器(硬件或软件播放器)
解决方案
从DSM 7.0开始,为安全起见,NTLMv1验证被停用,仅允许使用NTLMv2。如果Windows计算机或旧版设备在DSM更新之前使用SMB1和NTLMv1,则需要调整设置以解决问题。
如果您了解这些风险,并且必须为Windows计算机或旧版设备使用SMB1,请按照本文中的步骤操作。
设置NAS上的最低SMB协议
警告:启用SMB1不安全,可能会使Synology NAS容易受到攻击。
- 执行以下操作之一:
- DSM 7.0及以上版本:进入控制面板 > 文件服务 > SMB 。
- DSM 6.2及以下版本:进入控制面板 > 文件服务 > SMB / AFP/ NFS 。
- 在SMB区域,单击高级设置。
- 将最小SMB协议设置为SMB1 。
- 根据您的具体情况,为Windows计算机或旧版设备执行步骤。
调整Windows计算机上的设置
警告:启用SMB1和NTLMv1不安全,可能会使您的计算机容易受到攻击。
Windows XP(或更早版本)仅支持SMB1,某些Windows计算机可能已专门配置为仅使用SMB1和NTLMv1。强烈建议升级到Windows 10或更高版本,并在可能的情况下启用SMB2或SMB3 ,以确保数据保密性。
如果您要继续使用SMB1并更改为NTLMv2,则需要调整Windows计算机上的安全设置:
- 进入开始 > 运行(或按Windows + R)并在文本框中键入“ secpol.msc”。 1
- 在本地安全设置窗口中,进入左侧窗格中的安全设置 > 本地策略 > 安全选项。
- 双击网络安全:右窗格中的LAN Manager验证级别2 。将设置更改为仅发送NTLMv2响应\拒绝LM和NTLM 。
- 重新启动计算机以应用更改。
配置旧版设备的设置
警告:启用NTLMv1不安全,可能会使您的Synology NAS容易受到攻击。
大多数传统设备(如IP摄像机,多功能打印机,多媒体播放器)仅支持SMB1和NTLMv1,不允许自定义NTLM设置。为获得更好的安全性,建议更换旧设备或联系设备制造商以请求支持NTLMv2。
万不得已时,可以进入DSM > 控制面板 > 文件服务 > SMB > 高级设置 > 其他以勾选启用NTLMv1验证。这会降低安全级别,但允许旧设备通过NTLMv1进行验证。
如果升级Windows并进行必要调整后问题仍然存在,请参阅SMB/ AFP故障排除文章。
注:
- Windows Home版不提供secpol.msc。请参阅为旧版设备配置设置部分以了解解决方法,或联系Microsoft以了解如何更改Windows Home Edition中的网络安全:LAN Manager验证级别设置。
- 有关更多详细信息,请参阅网络安全:LAN Manager验证级别。