iT邦幫忙

0

套用GCB後產生了一堆問題~~

前陣子上級機關的資訊室說要全面套用GCB規則,套用後問題一堆
例如電腦無法連線到NAS、印表機原本設定掃描後會透過SMB把掃描檔傳到NAS裡也不能用了
反應給上級機關,得到的回覆是"另一個單位套用GCB後NAS可以用,所以是你們自己的問題"....
有詢問另一個單位,他們的資訊人員說套用GCB後完全沒有去更動任何設定,NAS就可以照常使用.
(這是怎樣...我們單位比較衰嗎?)

上網找了很久,只知道設定似乎都在gpedit.msc裡,但其他的訊息就找不到了
麻煩各位大神幫忙小妹解決上述2個問題,每天一直被同事追問NAS什麼時候才可以連線真的快崩潰了 /images/emoticon/emoticon02.gif


補充: 謝謝各位的回答 ^^ 後來問題已解決,感謝大家的幫忙
不過我想要補充一點,GCB不是我自行套用的,是上級機關資訊室用部署方式安裝的
我收到資訊室的通知時他們已經全部安裝完成了,另一個單位也是如此

GCB範圍太大了,看能不能全部改回去,然後一條一條調整,看是哪一個設定影響到。不負責任猜測是TLS。
froce iT邦大師 1 級 ‧ 2021-12-02 10:20:06 檢舉
你NAS廠牌/多久前買的?
舊的NAS有些是跑SMBV1.0了,沒原廠支援不好改。
政府採購網應該有S牌的,我可以保證沒這問題。
setsuna iT邦新手 4 級 ‧ 2021-12-04 16:10:52 檢舉
你的問題應該是如樓上說的,是SMB版本的問題。
提醒你在導入GCB前一定要在LAB環境試過然後再小量部署,這樣出了事也比較好處理。
另外,GCB可以開例外,你可以出事時新增例外部署到用戶端,日後解決後再改回。
每個單位的環境不同,當然會出現你可以我卻不行的狀況,如果真的對GCB各個設定不了解的話,二分法找問題也是個好作法。
我也是反覆測試修改了很久才把所有的GCB套完,重點是要多了解GCB各個設定、小心測試、少量部署。
1
japhenchen
iT邦超人 1 級 ‧ 2021-12-02 09:45:44
最佳解答

檢查下你們的桌機的
開始→設定→應用程式→程式與功能(右上角)→開啟或關閉Windows功能→看一SMB V1.0/CIFS的用戶端及伺服器端(開分享的電腦就是伺服器端)是否被關閉(與舊XP及7的電腦或某些老舊影印機的掃描共用時會用到)

還有檢查一下桌機的【網路與網際網路設定】裡,乙太網路的網路設定檔,是不是都圈在【公用】那一項?如果是,請切成私人或工作場所,如果是這個問題,改過去就應該會解決

但GCB會要求關閉這些共用.......如果是,無解

1
逢摸必爆MIS
iT邦新手 1 級 ‧ 2021-12-02 11:17:05

GCB是會動到gpedit.msc裡面
而跟這裡面有關的我在想也只有SMB而已
你先檢查你們的SMB是不是還在1.0
或著說對於網路探索的部分是否有被關閉

6
raytracy
iT邦大神 1 級 ‧ 2021-12-02 22:30:12

不是啊, 上頭要你去吃蝦, 你怎麼連殼都吞下去了?....
吃蝦要剝殼是常識, 所以沒有人會特別提醒你這個動作..

套 GCB 之前要先調整好環境設定也是常識,
每年技服中心的實作研習講師也都有提醒...

套用 GCB 之前, 有沒有先去看過 Windows 10 的那 345 條規則在幹嘛?
TWGCB-01-005_Microsoft Windows 10政府組態基準說明文件v1.3_1091126.pdf

如果其中有任何一條, 套下去之後, 會造成你的作業環境不能動的話, 那是不是應該:
把作業環境中, 會被影響的設定先調整好, 再去套這個 GCB?

把環境調整好之後再套 GCB 是個常識,
所以當你問別的單位: 套用之後有沒有更動甚麼設定?
它們當然說: 沒有啊!!....
(因為該做的設定, 在套用之前早就做好了....)
107年GCB實作研習活動_Windows 10組態設定說明v1.0_1071116.pdf

例如:
原本掃描機設定用 SMB 傳到 NAS 去; 如果會被 GCB 擋的話,
那你事先改成: 掃描機用 SFTP 或其他可繞過的方式傳給 NAS,
這樣套上 GCB 不就可以繞過這個限制了?

如果你的 NAS 使用 SMB 1.0 協定通訊, 結果會被 GCB 擋,
那事先把所有分享協定都提升到 SMB 3.0, 是不是就不擋了?

對了, Windows Server 2016 也有 690 條 GCB:
TWGCB-01-007_Microsoft Windows Server 2016政府組態基準說明文件v1.0_1080927.pdf
若你內容看都沒看, 沒比對過自己的環境, 就都給他套上去, 肯定死得更難看...

若有困難, 行政院資通安全會報技服中心是你的好朋友....

vivi0611 iT邦新手 5 級 ‧ 2021-12-07 14:04:57 檢舉

謝謝你的回答
GCB不是我套用的,是資訊室用部署的方式安裝的
資訊室通知我要套用GCB時,他們早已安裝完成,我詢問另一個單位,他們也是如此,收到通知時資訊室早就自行把每一台電腦安裝完成

raytracy iT邦大神 1 級 ‧ 2021-12-07 15:47:29 檢舉

如果是這樣的話, 這個鍋不應該由你來背, 要設法將實情上報, 並指出癥結點在: 資訊室沒有調整好正確設定, 導致 GCB 套用後, 造成大部分功能都失效.

誰下了錯誤的決策, 誰就應該出來背鍋....

0
will
iT邦新手 5 級 ‧ 2021-12-03 10:01:26

網路安全性:LAN Manager 驗證等級
網路伺服器:伺服器 SPN 目標名稱驗證層級
這兩條改成尚未設定試試看吧

查一下對照文應該都是查得到的 實務經驗 GCB在導入時沒有人再直接全部套的 會因為需求開一些例外

所以最好針對資訊環境先進行調查 在進行導入 pc環境導入到還好service導入就知道痛了

另外會造成有些nas能連線有些不能確實是每台走的smb協定都不同 所以才會有 有些能用有些不能用

啊補充 如果 nas沒有用限制帳號登入 或者用不用驗證登入的話 或者掃描機用Guest當帳號再丟檔案的話

帳戶:Guest 帳戶狀態
啟用不安全的來賓登入

上述兩條也要尚未設定

碰過N個政府單位 為了方便使用者 使用沒在用帳號給他們登入nas但這是不好的作法 所以建議 建議主管後面要改

我要發表回答

立即登入回答