很多用户将Synology NAS更新到DSM 7.0及以上版本后，会突然发现WinXP电脑、旧款IP摄像机或多媒体播放器无法通过SMB访问共享文件夹，甚至日志中心提示“User [xxx] failed to log in via [SMB] due to [NTLMv1 not permitted]”。这并非NAS硬件故障，而是DSM 7为提升安全性，默认停用了不安全的NTLMv1验证协议，仅支持更安全的NTLMv2——但WinXP等旧设备仅兼容SMB1和NTLMv1，两者协议不匹配导致访问失败。本文基于Synology官方教程，从“问题诊断”“NAS端设置”“WinXP配置”“旧设备处理”四个维度，手把手教你解决访问问题，同时明确安全风险，帮你在“可用性”和“安全性”间找到平衡。

一、问题诊断：先确定无法访问的设备类型与原因

在着手解决前，需先通过“设备类型判断”和“日志验证”，明确问题根源——不同设备（WinXP电脑/旧款硬件）的解决方案不同，误操作会导致问题复杂化。

1. 识别设备类型（核心分类）

DSM 7 SMB访问失败的设备主要分两类，其兼容协议和解决思路差异极大，需先精准归类：

| 设备类型                | 兼容协议                | 核心问题                                  | 解决方向                                  |

|-------------------------|-------------------------|-------------------------------------------|-------------------------------------------|

| Windows XP（或更早系统）| 仅支持SMB1，默认用NTLMv1 | DSM 7停用NTLMv1，协议验证不通过            | 调整WinXP安全策略，强制使用NTLMv2          |

| 旧款硬件设备            | 仅支持SMB1+NTLMv1（不可改）| 设备本身无法升级协议，需NAS兼容旧协议      | NAS端临时启用NTLMv1（不推荐，有安全风险）  |

| 示例设备                | WinXP电脑、Windows Server 2003 | IP摄像机、老款打印机、复古多媒体播放器     | -                                        |

判断方法： 

- 若设备是电脑，右键点击“我的电脑”→“属性”，查看“系统版本”，显示“Microsoft Windows XP”即归为第一类； 

- 若设备是硬件（如摄像机），查看说明书或厂商参数，确认是否标注“支持SMB1”“不支持NTLMv2”，归为第二类。

2. 通过NAS日志验证问题（确认协议冲突）

Synology日志中心会明确记录访问失败原因，可通过日志验证是否为“NTLMv1禁用”导致： 

1. 登录DSM桌面，打开“日志中心”（图标为灰色文件夹带感叹号）； 

2. 在左侧导航栏点击“连接日志”，筛选“服务类型”为“SMB”，“时间范围”选择“最近1小时”； 

3. 查看日志条目：若显示“User [xxx] from [x.x.x.x] failed to log in via [SMB] due to [NTLMv1 not permitted]”，说明确为NTLMv1协议被禁用导致，直接进入后续解决方案； 

4. 若日志提示“密码错误”“权限不足”，则需先检查账号密码或共享文件夹权限，再排查协议问题。

二、第一步：NAS端设置最低SMB协议（所有设备通用前置操作）

无论访问设备是WinXP还是旧硬件，都需先在NAS上调整“最低SMB协议”为SMB1——DSM 7默认最低SMB协议为SMB2，旧设备无法识别，需手动降低协议版本（注意：此操作会降低NAS安全性，需谨慎）。

1. 操作步骤（分DSM版本）

（1）DSM 7.0及以上版本（主流用户场景）

1. 登录DSM桌面，点击“控制面板”（灰色齿轮图标），在左侧导航栏找到“文件服务”（图标为文件夹带网络符号）； 

2. 进入“文件服务”页面，点击“SMB”选项卡（位置在“AFP”“NFS”左侧）； 

3. 在“SMB”区域中，找到“高级设置”按钮（蓝色文字，位于“启用SMB服务”下方），点击进入； 

4. 在“高级设置”窗口中，找到“最低SMB协议”下拉框——默认显示“SMB2”，点击改为“SMB1”； 

5. 点击“确定”保存设置，系统会弹出“警告”窗口，提示“启用SMB1不安全，可能导致NAS受攻击”，确认需继续则点击“是”； 

6. 无需重启NAS，设置立即生效——此时NAS已支持SMB1协议，后续需针对设备类型进一步配置。

（2）DSM 6.2及以下版本（少数未更新用户）

若仍使用DSM 6.2，操作路径略有不同，但核心逻辑一致： 

1. 进入“控制面板”→“文件服务”→“SMB / AFP / NFS”选项卡； 

2. 点击“SMB”区域的“高级设置”，将“最低SMB协议”改为“SMB1”； 

3. 点击“应用”→“确定”，完成设置——DSM 6.2默认未完全禁用NTLMv1，部分旧设备改完协议即可访问。

2. 关键安全提示（必须重视）

Synology官方反复强调：SMB1是20多年前的旧协议，存在严重安全漏洞（如永恒之蓝漏洞），启用后NAS易被黑客攻击。因此： 

- 仅在“无替代方案”时启用SMB1（如必须使用WinXP处理旧业务，无预算更换设备）； 

- 启用后尽量限制访问设备的IP（在NAS“控制面板→安全→防火墙”中，仅允许指定IP访问SMB端口）； 

- 若条件允许，优先升级设备（如将WinXP换成Win10，旧摄像机换成支持SMB2的新款），从根本上消除安全隐患。

三、第二步：针对Windows XP电脑的解决方案（调整安全策略）

WinXP虽仅支持SMB1，但可通过修改系统安全策略，强制使用NTLMv2验证——这是Synology推荐的“相对安全”方案，无需NAS启用风险极高的NTLMv1，兼顾兼容性和安全性。

1. 前提：确认WinXP版本与权限

- 系统版本要求：仅Windows XP Professional（专业版）支持“本地安全策略”（secpol.msc），Windows XP Home（家庭版）无此工具，需参考下文“旧设备处理”或升级系统； 

- 账号权限要求：需用WinXP的“管理员账号”（如Administrator）操作，普通用户无修改安全策略的权限。

2. 详细操作步骤（一步一确认）

1. 打开本地安全策略编辑器 

点击WinXP桌面“开始”→“运行”（或按“Windows+R”快捷键），在弹出的“运行”窗口中，输入“secpol.msc”（注意无空格，可直接复制），点击“确定”； 

- 若弹出“找不到文件”，说明是WinXP Home版，需跳转至“旧设备处理”章节； 

- 若正常打开“本地安全设置”窗口，进入下一步。

2. 定位LAN Manager验证级别设置 

在“本地安全设置”左侧导航栏，按以下路径展开： 

“安全设置”→“本地策略”→“安全选项”（点击“安全选项”，右侧会显示所有安全策略条目）； 

向下滚动右侧列表，找到名为“网络安全：LAN Manager 验证级别”的策略（通常在列表中下部，可按字母排序快速查找）。

3. 修改验证级别为“仅用NTLMv2” 

双击“网络安全：LAN Manager 验证级别”，弹出策略设置窗口： 

- 默认设置可能为“发送LM & NTLM响应”（仅用NTLMv1）； 

- 点击下拉框，选择“仅发送NTLMv2响应拒绝LM和NTLM”（这是唯一兼容DSM 7的选项）； 

- 点击“确定”保存设置——此时WinXP会强制用NTLMv2验证，与DSM 7协议匹配。

4. 重启WinXP电脑，验证访问 

点击“开始”→“关闭计算机”→“重启”，必须重启才能让安全策略生效； 

重启后，打开“我的电脑”，在地址栏输入“NAS的局域网IP”（如“192.168.1.100”），按Enter键： 

- 若弹出登录窗口，输入NAS的用户名和密码，能正常打开共享文件夹，说明设置成功； 

- 若仍提示“登录失败”，检查NAS账号是否有共享文件夹访问权限（DSM“控制面板→共享文件夹→编辑权限”），或重新执行上述步骤。

四、第三步：针对旧款硬件设备的解决方案（临时启用NTLMv1）

像旧IP摄像机、老款打印机这类硬件设备，其固件无法升级，仅支持SMB1+NTLMv1，无法像WinXP那样调整验证协议——此时只能在NAS端临时启用NTLMv1，但需明确这是“下下策”，安全风险极高。

1. 启用NTLMv1的操作步骤

1. 登录DSM 7.0及以上版本，进入“控制面板”→“文件服务”→“SMB”； 

2. 点击“高级设置”按钮，在弹出的窗口中切换到“其他”选项卡； 

3. 在“其他”区域中，找到“启用NTLMv1验证”选项（默认未勾选），勾选该复选框； 

4. 点击“确定”，系统会弹出严重警告：“启用NTLMv1会使NAS面临中间人攻击等风险，数据安全无法保障”，确认需继续则点击“是”； 

5. 无需重启NAS，设置立即生效——此时旧设备可通过SMB1+NTLMv1访问共享文件夹。

2. 风险规避建议（尽量降低危害）

启用NTLMv1后，NAS相当于“门户大开”，需通过以下方式减少风险： 

- 限制访问IP：进入DSM“控制面板→安全→防火墙”，新建规则：“端口”选择“SMB（139,445）”，“源IP”填写旧设备的固定IP（如摄像机IP 192.168.1.200），“动作”设为“允许”，其他IP全部拒绝； 

- 定期更换密码：NAS管理员账号和共享文件夹访问账号，每周更换一次复杂密码（含大小写、数字、特殊符号）； 

- 监控访问日志：每天查看DSM“日志中心→连接日志”，若发现陌生IP尝试通过SMB登录，立即禁用NTLMv1，排查设备是否被入侵； 

- 推动设备升级：将此问题反馈给采购部门，制定旧设备替换计划——长期依赖NTLMv1会让NAS成为整个网络的安全短板。

五、常见问题解答：解决操作中的高频异常

在配置过程中，用户可能遇到“WinXP找不到secpol.msc”“启用NTLMv1仍无法访问”等问题，以下是针对性解决方案。

Q1：WinXP Home版没有secpol.msc，无法修改验证级别，怎么办？

A1：WinXP Home版不支持本地安全策略，有两种解决方向： 

1. 临时方案：按“旧设备处理”步骤，在NAS端启用NTLMv1（仅短期应急，不超过1周）； 

2. 长期方案：将WinXP Home版升级到Win10（需确认电脑硬件是否支持，若不支持则更换新电脑），或安装第三方SMB客户端（如FreeNAS SMB客户端，需手动配置NTLMv2）。

Q2：NAS启用SMB1和NTLMv1后，旧摄像机仍无法访问，日志提示“权限不足”？

A2：分2步排查权限问题： 

1. 检查NAS共享文件夹权限：进入DSM“控制面板→共享文件夹”，右键点击目标文件夹（如“CameraBackup”）→“编辑权限”，确保设备访问用的NAS账号（如“camera”）有“读写”权限； 

2. 检查设备配置：在摄像机固件设置中，确认“SMB服务器地址”“用户名”“密码”输入正确（尤其注意密码是否有特殊符号，部分旧设备不支持特殊符号，需改为纯字母数字）。

Q3：DSM 7启用SMB1后，Win10电脑也无法访问共享文件夹，为什么？

A3：Win10默认禁用SMB1客户端，需手动启用： 

1.  Win10点击“开始”→“设置”→“应用”→“可选功能”→“更多Windows功能”； 

2.  找到“SMB 1.0/CIFS文件共享支持”，勾选“SMB 1.0客户端”，点击“确定”； 

3.  重启Win10后，即可访问NAS的SMB1共享文件夹——但同样不推荐，Win10建议用SMB3，需NAS将最低协议改回SMB2。

Q4：启用NTLMv1后，NAS被黑客攻击，如何紧急处理？

A4：立即执行以下3步止损： 

1.  断开NAS网线，切断网络连接，防止攻击扩散； 

2.  登录DSM，进入“控制面板→文件服务→SMB→高级设置→其他”，取消勾选“启用NTLMv1验证”，并将最低SMB协议改回SMB2； 

3.  打开“安全顾问”套件，执行“全面扫描”，清除恶意软件，同时修改所有NAS账号密码（包括admin）； 

4.  排查共享文件夹数据是否被篡改，必要时通过“Hyper Backup”恢复最近备份。

六、总结：优先选择安全方案，谨慎兼容旧设备

DSM 7 SMB访问失败的核心是“新安全标准与旧设备协议不兼容”，解决时需牢记：安全永远优先于便利。若必须兼容旧设备，优先调整WinXP安全策略（用NTLMv2），万不得已才在NAS启用NTLMv1，且需做好防火墙限制和日志监控。长期来看，升级WinXP电脑和旧硬件设备，让所有设备兼容SMB2/3和NTLMv2，才是彻底解决问题、保障NAS安全的根本方法。

要不要我帮你整理一份DSM 7 SMB访问失败分设备操作Checklist？包含设备分类、NAS设置要点、WinXP策略步骤、风险规避措施，方便你对照执行或分享给团队成员。