Problémy s ISM na Windows 10 po aktualizácii 1803

V aktualizácii 1803 operačného systému Windows 10 Microsoft zablokoval niektoré protokoly v prípade, že program bol spustený zo zdieľaného priečinku pripojeného cez protokol SMB1.

 

V priebehu posledných týždňov dostávame informácie o problémoch s prevádzkou programov ISM na počítačoch s operačným systémom Windows 10 po nainštalovaní aktualizácie č. 1803. Na internete je množstvo informácií o problémoch, ktoré táto aktualizácia spôsobila (https://www.windowscentral.com/windows-10-april-2018-update-common-problems-and-fixes), na základe ktorých poznáme príčinu problémov pri používaní našich programov.

 

Aplikácie ISM sa spravidla používajú tak, že sú nainštalované na jednom počítači (súborový server) a spúšťajú sa z viacerých iných počítačov (pracovných saníc) v sieti. Operačný systém Windows používa na prístup k zdieľaným súborom protokol SMB (https://cs.wikipedia.org/wiki/Server_Message_Block) . Tento protokol prešiel počas používania vývojom od verzie SMB1 po SMB3. Microsoft už niekoľko rokov upozorňoval, že protokol SMB1 nie je bezpečný (https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/), napr. umožňuje šírenie zákerného vírusu Wannacry a jeho podobných klonov
(https://www.scmagazineuk.com/microsoft-to-remove-smb1-protocol–used-by-wannacry–from-windows-10/article/670676/) a avizoval, že postupne prestane tento protokol podporovať.

 

V aktualizácii 1803 operačného systému Windows 10 Microsoft zablokoval niektoré protokoly v prípade, že program bol spustený zo zdieľaného priečinku pripojeného cez protokol SMB1. Zároveň v nových inštaláciách sa tento protokol štandardne ani nenainštaluje.
https://social.technet.microsoft.com/Forums/en-US/2ac7057f-27cd-4e35-9533-d8e020ed123e/possible-bug-windows-10-1803-blocks-network-access-to-programs-running-from-shared-network-folders?forum=win10itprogeneral

 

V aplikáciach ISM sa to prejavuje napríklad tak, že prestane fungovať FTP, mailová komunikácia, prípadne tlač na sieťové tlačiarne. Vo všetkých prípadoch, kedy nám zákazníci hlásili tento problém, sa program COS/MOP spúšťal na pracovnej s Windows 10, pričom aplikácia bola nainštalovaná na server so starším operačným systémom Windows XP, prípadne serverovým operačným systémom verzie nižšej ako 2012.

 

Z uvedeného vyplýva, že vzniknuté problémy nie je možné riešiť úpravou našich aplikácií, ale vyžadujú sa systémové zásahy do sieťovej infraštruktúry. Na výber sú dve možnosti:

  1. Najvhodnejšie je urobiť update operačného systému servera a pracovných staníc na verziu, ktorá podporuje protokol SMB2 a na serveri aj pracovných staniciach vypnúť protokol SMB1.
  2. Druhou možnosťou je používať v počítačovej sieti naďalej protokol SMB1, zmeniť systémové nastavenia tak, aby bol podporovaný aj vo WIndows 10 (1803). Na internete je niekoľko návodov ako to urobiť, najkomplexnejšie je postup popísaný tu: https://answers.microsoft.com/en-us/windows/forum/windows_10-networking/connecting-pcs-and-users-for-sharing/fb92e439-5dbc-4367-9857-1ef360e9ffdf

 

Ako bolo uvedené vyššie, problém vzniká pri spustení aplikácie zo servera. V súčasnosti overujeme riešenie, v ktorom by sa dal spúšťací program aplikácií COS a MOP umiestniť na lokálny disk pracovnej stanice a nebolo by nutné preinštalovať operačný systém servera. Bude si to však vyžadovať prekonfigurovanie pracovných staníc, z ktorých sa aplikácie spúšťajú. Toto riešenie je iba variantom vyššie uvedenej možnosti 2, pretože neodstraňuje zo siete nezabezpečený protokol SMB1.

 

Poznámka:
V niektorých odborných diskusiách sa objavuje názor, že problémy spôsobuje aj program Windows Defender, ktorý Microsoft štandardne inštaluje s novými operačnými systémami. Ak sa používa antivírusový program tretej strany (Eset, AVG, Kasperski a pod.), potom sa odporúča zakázať program Windows Defender.