Как отключить smb1 в windows 7

Почему и как необходимо отключить SMB1 в Windows 10/8/7

SMB или Server Message Block это протокол обмена по сети, предназначенный для совместного использования файлов, принтеров и других различных устройств. Существует три версии SMB – SMBv1, SMBv2 и SMBv3. Из соображений безопасности Microsoft рекомендует отключить SMB версии 1, так как он устарел и использует технологию, которой почти 30 лет.  Чтобы избежать заражения вирусами-вымогателями типа WannaCrypt нужно отключить SMB1 и установить обновления для операционной системы. Этот протокол используется Windows 2000, Windows XP, Windows Server 2003 и Windows Server 2003 R2 – поэтому сетевой файловый доступ к данным версиям ОС будет не доступен. Тоже самое относится к некоторым  сетевым хранилищам, сканерам и т.п.

Отключение SMB1 из Панели управления

Пуск -> Панель управления -> Программы и компоненты -> Включение и отключение компонентов Windows

Отключаем ‘Поддержка общего доступа к файлам SMB 1.0/CIFS’

Отключение SMB1 через Powershell

Откройте консоль Powershell с правами администратора и введите следующую команду:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Отключить SMB1 с помощью реестра Windows

Также можно отключить SMBv1 запустив regedit.exe и перейдя к следующему разделу:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Создайте в этом разделе DWORD SMB1  со значением 0.

Значения для включения и отключения SMB1:

• 0 = Выключено
• 1 = Включено

После этого необходимо установить обновление MS17-010. Обновление вышло подо все версии Windows, включая не поддерживаемые больше Windows XP и Windows Server 2003.

И в заключении хочется сказать, что, не смотря на установленный антивирус и регулярные обновления операционной системы, если Вам дороги ваши данные, необходимо в первую очередь думать о резервном копировании.

Как обнаруживать, включать и отключать SMBv1, SMB и SMBv3 в Windows

• 10/29/2020
• Чтение занимает 8 мин

В этой статье

Область применения: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies to: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описывается, как включить и отключить протокол SMB версии 1 (SMBv1), SMB версии 2 (SMB) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.This article describes how to enable and disable Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2), and SMB version 3 (SMBv3) on the SMB client and server components.

Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программами, SMBv1 имеет существенные уязвимости, и мы настоятельно рекомендуем не использовать ее.While disabling or removing SMBv1 might cause some compatibility issues with old computers or software, SMBv1 has significant security vulnerabilities and we strongly encourage you not to use it.

Отключение SMB или SMBv3 для устранения неполадокDisabling SMBv2 or SMBv3 for troubleshooting

Хотя мы рекомендуем использовать протоколы SMB 2.0 и SMBv3, может оказаться полезным временно отключить их для устранения неполадок, как описано в статье Обнаружение состояния, включение и отключение протокола SMB на сервере SMB.While we recommend that you keep SMBv2 and SMBv3 enabled, you might find it useful to disable one temporarily for troubleshooting, as described in How to detect status, enable, and disable SMB protocols on the SMB Server.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функции 2.0, описанные в предыдущем списке):In Windows 10, Windows 8.1, and Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, disabling SMBv3 deactivates the following functionality (and also the SMBv2 functionality that's described in the previous list):

• Прозрачная отработка отказа — клиенты повторно подключаются без прерывания узлов кластера во время обслуживания или отработки отказаTransparent Failover - clients reconnect without interruption to cluster nodes during maintenance or failover
• Scale Out — одновременный доступ к общим данным на всех узлах кластеров файловScale Out – concurrent access to shared data on all file cluster nodes
• Многоканальное агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и серверомMultichannel - aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server
• SMB Direct — добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП.SMB Direct – adds RDMA networking support for very high performance, with low latency and low CPU utilization
• Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях.Encryption – Provides end-to-end encryption and protects from eavesdropping on untrustworthy networks
• Аренда каталога — улучшает время отклика приложений в филиалах за счет кэшированияDirectory Leasing - Improves application response times in branch offices through caching
• Оптимизация производительности — оптимизация для небольшого случайного чтения и записи ввода-выводаPerformance Optimizations - optimizations for small random read/write I/O

В Windows 7 и Windows Server 2008 R2 отключение SMB отключает следующие функциональные возможности.In Windows 7 and Windows Server 2008 R2, disabling SMBv2 deactivates the following functionality:

• Составной запрос — позволяет отправлять несколько запросов SMB 2 в виде одного сетевого запроса.Request compounding - allows for sending multiple SMB 2 requests as a single network request
• Большие операции чтения и записи — лучшее использование более быстрых сетей.Larger reads and writes - better use of faster networks
• Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файловCaching of folder and file properties - clients keep local copies of folders and files
• Устойчивые дескрипторы. разрешение на прозрачное повторное подключение к серверу при наличии временного отключенияDurable handles - allow for connection to transparently reconnect to the server if there is a temporary disconnection
• Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 как алгоритм хешированияImproved message signing - HMAC SHA-256 replaces MD5 as hashing algorithm
• Улучшенная масштабируемость общего доступа к файлам — число пользователей, общих папок и открытых файлов на сервере значительно увеличилось.Improved scalability for file sharing - number of users, shares, and open files per server greatly increased
• Поддержка символьных ссылокSupport for symbolic links
• Модель нежесткой аренды клиента — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и повышая масштабируемость сервера SMB.Client oplock leasing model - limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability
• Поддержка большого MTU — для полного использования 10-гигабе (ГБ) EthernetLarge MTU support - for full use of 10-gigabye (GB) Ethernet
• Повышение эффективности энергопотребления — клиенты, которые имеют открытые файлы на сервере, могут перейти в спящий режимImproved energy efficiency - clients that have open files to a server can sleep

Протокол SMB был впервые появился в Windows Vista и Windows Server 2008, а протокол SMBv3 появился в Windows 8 и Windows Server 2012.The SMBv2 protocol was introduced in Windows Vista and Windows Server 2008, while the SMBv3 protocol was introduced in Windows 8 and Windows Server 2012. Дополнительные сведения о возможностях протоколов SMB 2.0 и SMBv3 см. в следующих статьях:For more information about the capabilities of SMBv2 and SMBv3 capabilities, see the following articles:

Общие сведения о протоколе SMBServer Message Block overview

Новые возможности SMBWhat's New in SMB

Удаление SMB v1How to remove SMB v1

Вот как можно удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.Here's how to remove SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, and Windows 2012 R2.

Методы PowerShellPowerShell methods

SMB v1 (клиент и сервер)SMB v1 (client and server)

• АвтоматическоеDetect:

  Get-WindowsOptionalFeature -Online -FeatureName smb1protocol 

• ВключенDisable:

  Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol 

• Включите параметрEnable:

  Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol 

Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: диспетчер сервера метод отключения SMBWindows Server 2012 R2, Windows Server 2016, Windows Server 2019: Server Manager method for disabling SMB

SMB v1SMB v1

Windows 8.1 и Windows 10: метод PowerShellWindows 8.1 and Windows 10: PowerShell method

Протокол SMB v1SMB v1 Protocol

• АвтоматическоеDetect:

  Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol 

• ВключенDisable:

  Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol 

• Включите параметрEnable:

  Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol 

Протокол SMB V2/V3 (отключается только сервер SMB V2/V3)SMB v2/v3 Protocol (only disables SMB v2/v3 Server)

• АвтоматическоеDetect:

  Get-SmbServerConfiguration | Select EnableSMB2Protocol 

• ВключенDisable:

  Set-SmbServerConfiguration -EnableSMB2Protocol $false 

• Включите параметрEnable:

  Set-SmbServerConfiguration -EnableSMB2Protocol $true 

Windows 8.1 и Windows 10: метод "Установка и удаление программ"Windows 8.1 and Windows 10: Add or Remove Programs method

Как определить состояние, включить и отключить протоколы SMB на сервере SMBHow to detect status, enable, and disable SMB protocols on the SMB Server

Для Windows 8 и Windows Server 2012For Windows 8 and Windows Server 2012

Windows 8 и Windows Server 2012 представляют новый командлет Windows PowerShell Set-смбсерверконфигуратион .Windows 8 and Windows Server 2012 introduce the new Set-SMBServerConfiguration Windows PowerShell cmdlet. Командлет позволяет включать или отключать протоколы SMBv1, SMB и SMBv3 на серверном компоненте.The cmdlet enables you to enable or disable the SMBv1, SMBv2, and SMBv3 protocols on the server component.

Примечание

При включении или отключении протоколов SMB в Windows 8 или Windows Server 2012 также включается или отключается SMBv3.When you enable or disable SMBv2 in Windows 8 or Windows Server 2012, SMBv3 is also enabled or disabled. Это происходит из-за того, что эти протоколы используют один и тот же стек.This behavior occurs because these protocols share the same stack.

После запуска командлета Set-смбсерверконфигуратион перезагружать компьютер не требуется.You do not have to restart the computer after you run the Set-SMBServerConfiguration cmdlet.

SMB v1 на SMB ServerSMB v1 on SMB Server

• АвтоматическоеDetect:

  Get-SmbServerConfiguration | Select EnableSMB1Protocol 

• ВключенDisable:

  Set-SmbServerConfiguration -EnableSMB1Protocol $false 

• Включите параметрEnable:

  Set-SmbServerConfiguration -EnableSMB1Protocol $true 

Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.For more information, see Server storage at Microsoft.

SMB V2/V3 на SMB-сервереSMB v2/v3 on SMB Server

• АвтоматическоеDetect:

  Get-SmbServerConfiguration | Select EnableSMB2Protocol 

• ВключенDisable:

  Set-SmbServerConfiguration -EnableSMB2Protocol $false 

• Включите параметрEnable:

  Set-SmbServerConfiguration -EnableSMB2Protocol $true 

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008For Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Чтобы включить или отключить протоколы SMB на сервере SMB под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.

Методы PowerShellPowerShell methods

Примечание

Для этого метода требуется PowerShell 2,0 или более поздней версии PowerShell.This method requires PowerShell 2.0 or later version of PowerShell.

SMB v1 на SMB ServerSMB v1 on SMB Server

АвтоматическоеDetect:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath} 

Конфигурация по умолчанию — включено (раздел реестра не создается), поэтому значение SMB1 не будет возвращено.Default configuration = Enabled (No registry key is created), so no SMB1 value will be returned

ВключенDisable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force 

Включите параметрEnable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force 

Примечание . После внесения этих изменений необходимо перезагрузить компьютер.Note You must restart the computer after you make these changes. Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.For more information, see Server storage at Microsoft.

SMB V2/V3 на SMB-сервереSMB v2/v3 on SMB Server

АвтоматическоеDetect:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath} 

ВключенDisable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force 

Включите параметрEnable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force 

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.You must restart the computer after you make these changes.

Редактор реестраRegistry Editor

Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:To enable or disable SMBv1 on the SMB server, configure the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1 REG_DWORD: 0 = Disabled REG_DWORD: 1 = Enabled Default: 1 = Enabled (No registry key is created) 

Чтобы включить или отключить протокол SMB 2.0 на сервере SMB, настройте следующий раздел реестра:To enable or disable SMBv2 on the SMB server, configure the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2 REG_DWORD: 0 = Disabled REG_DWORD: 1 = Enabled Default: 1 = Enabled (No registry key is created) 

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.You must restart the computer after you make these changes.

Как определить состояние, включить и отключить протоколы SMB на клиенте SMBHow to detect status, enable, and disable SMB protocols on the SMB Client

Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012For Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Примечание

При включении или отключении SMB 2.0 в Windows 8 или Windows Server 2012 также включается или отключается SMBv3.When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. Это происходит из-за того, что эти протоколы используют один и тот же стек.This behavior occurs because these protocols share the same stack.

SMB v1 на клиенте SMBSMB v1 on SMB Client

• ОпределениеDetect

  sc.exe qc lanmanworkstation 

• ВключенDisable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled 

• Включите параметрEnable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto 

Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт .For more information, see Server storage at Microsoft

SMB V2/V3 на клиенте SMBSMB v2/v3 on SMB Client

• АвтоматическоеDetect:

  sc.exe qc lanmanworkstation 

• ВключенDisable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled 

• Включите параметрEnable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto 

Примечание

• Эти команды необходимо выполнить в командной строке с повышенными привилегиями.You must run these commands at an elevated command prompt.
• После внесения этих изменений необходимо перезагрузить компьютер.You must restart the computer after you make these changes.

Отключение сервера SMBv1 с групповая политикаDisable SMBv1 Server with Group Policy

Эта процедура настраивает следующий новый элемент в реестре:This procedure configures the following new item in the registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

• Запись реестра: SMB1Registry entry: SMB1
• REG_DWORD: 0 = отключеноREG_DWORD: 0 = Disabled

Чтобы настроить это с помощью групповая политика, выполните следующие действия.To configure this by using Group Policy, follow these steps:

1. Откройте Консоль управления групповыми политиками.Open the Group Policy Management Console. Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент настройки, а затем щелкните Изменить.Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit.

2. В дереве консоли в разделе Конфигурация компьютера разверните папку настройки , а затем разверните папку Параметры Windows .In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.

3. Щелкните правой кнопкой мыши узел реестра , наведите указатель на пункт создать и выберите пункт Реестр.Right-click the Registry node, point to New, and select Registry Item.

В диалоговом окне « Свойства нового реестра» выберите следующие параметры.In the New Registry Properties dialog box, select the following:

• Действие: создатьAction: Create
• Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
• Путь к ключу: систем\куррентконтролсет\сервицес\ланмансервер\параметерсKey Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Имя значения: SMB1Value name: SMB1
• Тип значения: REG_DWORDValue type: REG_DWORD
• Данные значения: 0Value data: 0

Это отключает серверные компоненты SMBv1.This disables the SMBv1 Server components. Этот групповая политика должен применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.This Group Policy must be applied to all necessary workstations, servers, and domain controllers in the domain.

Примечание

Фильтры WMI также можно настроить таким образом, чтобы исключить Неподдерживаемые операционные системы или выбранные исключения, например Windows XP.WMI filters can also be set to exclude unsupported operating systems or selected exclusions, such as Windows XP.

Важно!

Будьте внимательны при внесении этих изменений на контроллерах домена, на которых устаревшие ОС Windows XP или Linux и сторонние системы (которые не поддерживают протоколы SMB или SMBv3) не нуждаются в доступе к SYSVOL или другим общим папкам, в которых отключен SMB v1.Be careful when you make these changes on domain controllers on which legacy Windows XP or older Linux and third-party systems (that do not support SMBv2 or SMBv3) require access to SYSVOL or other file shares where SMB v1 is being disabled.

Отключение клиента SMBv1 с групповая политикаDisable SMBv1 Client with Group Policy

Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра Services, чтобы отключить запуск MRxSMB10 , а затем зависимость от MRxSMB10 должна быть удалена из записи для LanmanWorkstation , чтобы ее можно было запустить нормально, не требуя запуска MRxSMB10 .To disable the SMBv1 client, the services registry key needs to be updated to disable the start of MRxSMB10 and then the dependency on MRxSMB10 needs to be removed from the entry for LanmanWorkstation so that it can start normally without requiring MRxSMB10 to first start.

При этом будут обновлены и заменены значения по умолчанию в следующих двух элементах реестра:This will update and replace the default values in the following two items in the registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Запись реестра: Start REG_DWORD: 4= отключеноRegistry entry: Start REG_DWORD: 4= Disabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstationHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Запись реестра: депендонсервице REG_MULTI_SZ: "Бовсер", "MRxSmb20", "NSI"Registry entry: DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20″,"NSI"

Примечание

Включенная по умолчанию MRxSMB10, которая теперь удалена как зависимость.The default included MRxSMB10 which is now removed as dependency.

Чтобы настроить это с помощью групповая политика, выполните следующие действия.To configure this by using Group Policy, follow these steps:

1. Откройте Консоль управления групповыми политиками.Open the Group Policy Management Console. Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент настройки, а затем щелкните Изменить.Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit.

2. В дереве консоли в разделе Конфигурация компьютера разверните папку настройки , а затем разверните папку Параметры Windows .In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.

3. Щелкните правой кнопкой мыши узел реестра , наведите указатель на пункт создать и выберите пункт Реестр.Right-click the Registry node, point to New, and select Registry Item.

4. В диалоговом окне « Свойства нового реестра » выберите следующие параметры.In the New Registry Properties dialog box, select the following:

   • Действие: обновлениеAction: Update
   • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
   • Путь к ключу: SYSTEM\CurrentControlSet\services\mrxsmb10Key Path: SYSTEM\CurrentControlSet\services\mrxsmb10
   • Имя значения: началоValue name: Start
   • Тип значения: REG_DWORDValue type: REG_DWORD
   • Данные значения: 4Value data: 4

5. Затем удалите зависимость от MRxSMB10 , который был только что отключен.Then remove the dependency on the MRxSMB10 that was just disabled.

   В диалоговом окне « Свойства нового реестра » выберите следующие параметры.In the New Registry Properties dialog box, select the following:

   • Действие: ReplaceAction: Replace
   • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
   • Путь к ключу: систем\куррентконтролсет\сервицес\ланманворкстатионKey Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
   • Имя значения: депендонсервицеValue name: DependOnService
   • Тип значения: REG_MULTI_SZValue type: REG_MULTI_SZ
   • Данные значения:Value data:
     • бовсерBowser
     • MRxSmb20MRxSmb20
     • NSINSI

   Примечание

   Эти три строки не будут содержать маркеры (см. следующий снимок экрана).These three strings will not have bullets (see the following screen shot).

   Значение по умолчанию включает в себя MRxSMB10 во многих версиях Windows, поэтому, заменяя их строкой с несколькими значениями, она действует путем удаления MRxSMB10 в качестве зависимости для LanmanServer и перехода от четырех значений по умолчанию к этим трем приведенным выше значениям.The default value includes MRxSMB10 in many versions of Windows, so by replacing them with this multi-value string, it is in effect removing MRxSMB10 as a dependency for LanmanServer and going from four default values down to just these three values above.

   Примечание

   При использовании консоль управления групповыми политиками не нужно использовать кавычки или запятые.When you use Group Policy Management Console, you don't have to use quotation marks or commas. Просто введите каждую запись в отдельные строки.Just type the each entry on individual lines.

6. Перезапустите целевые системы, чтобы завершить отключение SMB v1.Restart the targeted systems to finish disabling SMB v1.

Аудит использования SMBv1Auditing SMBv1 usage

Чтобы определить, какие клиенты пытаются подключиться к серверу SMB с помощью SMBv1, можно включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019.To determine which clients are attempting to connect to an SMB server with SMBv1, you can enable auditing on Windows Server 2016, Windows 10, and Windows Server 2019. Вы также можете проводить аудит в Windows 7 и Windows Server 2008 R2, если они установили обновление Май 2018 ежемесячно и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за Июль 2017.You can also audit on Windows 7 and Windows Server 2008 R2 if they installed the May 2018 monthly update and on Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2 if they installed the July 2017 monthly update.

• Включите параметрEnable:

  Set-SmbServerConfiguration -AuditSmb1Access $true 

• ВключенDisable:

  Set-SmbServerConfiguration -AuditSmb1Access $false 

• АвтоматическоеDetect:

  Get-SmbServerConfiguration | Select AuditSmb1Access 

Если включен аудит SMBv1, в журнале событий Микрософт-Виндовс-смбсервер\аудит появляется событие 3000, определяющее каждого клиента, который пытается подключиться с помощью SMBv1.When SMBv1 auditing is enabled, event 3000 appears in the "Microsoft-Windows-SMBServer\Audit" event log, identifying each client that attempts to connect with SMBv1.

СводкаSummary

Если все параметры находятся в одном объекте групповая политика (GPO), групповая политика управления отображает следующие параметры.If all the settings are in the same Group Policy Object (GPO), Group Policy Management displays the following settings.

Тестирование и проверкаTesting and validation

После настройки разрешите репликацию и обновление политики.After these are configured, allow the policy to replicate and update. При необходимости выполните команду gpupdate/Force из командной строки, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно.As necessary for testing, run gpupdate /force at a command prompt, and then review the target computers to make sure that the registry settings are applied correctly. Убедитесь, что SMB V2 и SMB v3 работают для всех остальных систем в среде.Make sure SMB v2 and SMB v3 is functioning for all other systems in the environment.

Примечание

Не забудьте перезапустить целевые системы.Do not forget to restart the target systems.

Как включить или отключить протокол SMBv1 в Windows

Компьютер подвержен вирусным атакам, нередко выводящим его из строя. Для обеспечения безопасности используются антивирусные программы, а разработчики операционных систем снабжают свои продукты защитными компонентами, обеспечивающими базовую защиту. Кроме защитных инструментов, в системе имеются и «проблемные» компоненты, которыми злоумышленники могут воспользоваться с целью выполнения мошеннических операций. Об одном из инструментов такого класса, а именно о его надёжности и соответствии требованиям времени по защите устройств, пойдёт речь в этом повествовании. В этой статье расскажем, что собой являет протокол SMBv1, входящий в состав операционной системы Windows, проанализируем потребность в нём, актуальность его работы, и методы его включения или отключения.

Потребность в поддержке SMBv1 в ОС Windows

Для многих пользователей ПК словосочетание «Протокол SMBv1» является непонятным и  непонятно, нужен ли этот компонент в системе для выполнения конкретных задач. Протокол SMB первой серии является по умолчанию системным компонентом ОС Windows, независимо от её версии, отвечает за файлообменные процессы на ПК, причём его «возраст» составляет около тридцати лет. Естественно, по меркам компьютерных технологий, согласно возрасту протокола, его можно смело назвать устаревшим, но поддержка SMBv1 по непонятным причинам, применяется не только в седьмой или восьмой версии ОС, но и в Windows 10. Причина этого кроется далеко не в некомпетентности разработчиков Microsoft, а в банальном применении файловых продуктов в обиходе, с которыми невозможно будет работать без этого протокола.

ВНИМАНИЕ. На базе этой информации возникает логичный вопрос, почему тогда есть смысл рассуждать о необходимости отключения поддержки, если она до сих пор используется, и даже необходима в определённой сфере компьютерной деятельности? Вирусная атака, несколько лет назад парализовавшая работу компьютерных систем, под именем Petya, внедрилась в ПК именно через уязвимую область. Этим «слабым звеном» и выступал протокол SMB.

Через аналогичную лазейку попадают на ПК и не менее известные программы-вымогатели, к примеру, WannaCry, Satana и подобные им вирусы, способные полностью парализовать функционирование компьютерного устройства. Суть заражения заключается в полной блокировке работоспособности системы, что предусматривает возможную переустановку ОС, в то время как для глобальных компаний такой метод является недопустимым.

Разобравшись в сути проблемы, стоит переходить к вопросу, нужен ли протокол SMB, отвечающий за файлообменные процессы в локальной сети и возможность работы с файлами, надо ли его деактивировать или включить на своём ПК поддержку SMBv1. Если пользователь эксплуатирует приложения, для работы с которыми необходим протокол SMBv1, тогда поддержку надо активизировать, так как в ином случае работать с ними будет невозможно. На официальном сайте Microsoft пользователь самостоятельно может изучить список приложений, для работы с которыми необходима поддержка этого протокола. Если вашим программам не нужна поддержка этого протокола, тогда его нужно отключить, при этом можно оставить в рабочем состоянии последующие версии поддержки класса SMB. Рассмотрим метод включения и отключения протокола SMBv1, различающуюся по процессу выполнения, в зависимости от версии у

Отключение smb v1 или как защититься от wannacrypt

Добрый день уважаемые читатели, в прошлый раз я вам подробно рассказал, как защититься от шифровальщика, если он уже попал к вам на компьютер, сегодня же я хочу рассмотреть вопрос, как не дать ему к вам попасть из вне, мы разберем отключение smb v1 или как защититься от wannacrypt и вируса petya. Уверен, что описанный тут материал окажется для вас весьма полезным и актуальным, так как разновидностей данной заразы, будет еще очень много в будущем.

Что такое протокол SMB v1

Прежде, чем начать перекрывать кислород для вирусов шифровальщиков, я хочу вас познакомить с источником, через который они лезут и называется он протокол Server Message Block (SMB).

Server Message Block - это сетевой протокол, работающий на прикладном уровне модели OSI, для доступа к сетевым ресурсам, принтерам, папкам, для взаимодействия процессов. Наверняка многие из вас знают, такое понятие как UNC пути, вида \\server\share, когда вы обращаетесь к сетевой папке или принтеру, так например, сервер печати Windows, расшаривает их.

Ранее SMB протокол работал и NetBIOS прослойкой, где использовал порты UDP 137-138 и TCP 137, 139, но это было до появления 2000-го Windows, где порт поменяли на 445, он так же применяется и для входа компьютеров в домен Active Directory. Самая первая версию данного протокола, имела название "Common Internet File System" (CIFS ), ее придумали еще в далеких 90-х, я тогда еще пешком под стол ходил. Протокол долго не развивался и приобрел вторую версию, лишь в 2006 году с выходом провальной Windows Vista. Windows 8 уже принесла нам SMB 3.0.

Каждая новая версия реализации протокола, привносила новые возможности, и это логично, необходимо было увеличивать скорость передачи данных, так как локальные сети, уже превращались в гигабитные и очень часто стали появляться твердотельные накопители. Новые версии по старинке, поддерживали предыдущие, для обратной совместимости операционных систем и устройств, это и является Ахиллесовой пятой у него, через который лезут wannacrypt и petya.

Ниже вы можете посмотреть, эволюцию протокола SMB v1 с выходом новых операционных систем.

Для чего отключать smb v1

Расскажу небольшую предысторию о появлении вирусов wannacrypt и petya. В начале 2017 года, одна хакерская команда, смогла взломать службу АНБ и похитить у нее данные, о всевозможных лазейках в компьютерных системах, благодаря которым можно получать удаленный доступ к нужному компьютеру и следить за жертвой, получая о ней все данные. Среди этих дыр безопасности, были лазейки для:

Хакеры попытались продать все сворованное, но в итоге покупателей не нашли, не долго думая они выложили все это в сеть, тут и понеслось, другие хакеры и группы, быстро все это дело понахватали и создали свои вирусы, их очень много, но вот за май и июнь 2017 года, мир выучил названия двух, petya и wannacry (wannacrypt). Оба они используют старую уязвимость в протоколе smb v1, являющийся частью операционных систем Windos XP, вплоть до Windows 10, но у десятки все лучше, там по умолчанию работает версия SMB 3.1.1, поэтому она пока спит спокойно.

Вот посмотрите как выглядит экран блокировки после вируса petya. У пострадавшего компьютера просят 300 долларов в биткоинах, ни в коем случае не отправляйте деньги, вы ничего не получите, так как изначально данная зараза не включала в себя разблокировку.

А вот как выглядит экран после заражения wannacrypt. Как и в случае с Петей, все данные зашифрованы и уже являются цифровым мусором.

Что нужно чтобы не стать жертвой шифровальщиков

Давайте я приведу небольшой чек лист, который вам поможет сделать вашу систему более защищенной:

1. Своевременно устанавливайте обновления в системе, так как это основная проблема большинства пораженных компьютеров
2. Не устанавливайте не проверенный софт
3. Посещайте только проверенные веб ресурсы
4. Закройте лишние порты на фаэрволе
5. Не открывайте электронные письма от неизвестных людей.

Как проверить можно ли заразить ваш компьютер

Как я и писал выше, жертвами становятся те компьютеры у кого работает протокол smb v1, который требует отключения. Ниже я вам предоставлю утилиту, с помощью которой вы сможете проверить удовлетворяет ли ваш или другой компьютер в сети, требованиям по безопасности.

KB обновления защищающие от wannacrypt  и Petya

Вот подробный список KB для разных операционных систем Windows:

Windows XP

• https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Windows Vista и Windows Server 2008

• KB4012598 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598
• KB4012598 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598

Windows 7

• KB4012212 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
• KB4012215 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215
• KB4012212 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
• KB4012215 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows Server 2008 R2

• KB4012212 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
• KB4012215 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows 8.1

• KB4012213 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
• KB4012216 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216
• KB4012213 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
• KB4012216 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows Server 2012 R2

• KB4012214 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
• KB4012217 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012217
• KB4012213 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
• KB4012216 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows 10

• KB4012606 -32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
• KB4012606 -64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
• Windows 10 1511 - KB4013198 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
• Windows 10 1511 - KB4013198 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
• Windows 10 1607 - KB4013429 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429
• Windows 10 1607 - KB4013429 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Windows Server 2016

• KB4013429 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Теперь зная нужные KB мы легко можем проверить, где не хватает обновлений и включен протокол smb v1. Ниже я вам предоставлю два метода поиска бреши.

• Утилита SecurityChecker.v2
• Power shell

Утилита SecurityChecker.v2

Данная утилита может показать, где включен smb v1 и 2.0, а так же проверить компьютер или компьютеры локальной сети на наличие нужного обновления.

В открывшейся программе, вам необходимо нажать кнопку "Add" и добавить компьютер или компьютеры, требующие проверки. Через кнопку KB вы можете подгрузить файл находящийся в корне утилиты с нужными KB для проверки, после чего нажимаете "Check". По результату проверки, вы увидите, стоит ли вам выполнить отключение smb v1 или же нет. На моем примере, вы видите, что и первая и вторая версии включены.

Проверить протокол smb v1 можно и через powershell. Открываем его от имени администратора и вводим такую команду:

get-hotfix -ComputerName имя вашего компьютера -Id нужная kb

Если у вас есть UNC соединения к вашему компьютеру, то вы можете посмотреть их версии командой

Как отключить smb v1

Я вам хочу рассказать о методах деактивирующих протокол SMB старой версии:

• Через компоненты Windows
• Через PowerShell
• Через реестр Windows
• Через групповую политику
• Оставить и установить обновления
• Через команду sc.exe config

Отключаем smb v1 через компоненты системы

Данный метод подойдет для любой не серверной версии Windows, начиная с Wista и заканчивая Windows 10.Вам необходимо открыть панель управления Windows. Нажимаете одновременно Win+R и в открывшемся окне вводите control panel, это такой универсальный метод, отработает в любой винде.

Находим пункт "Программы и компоненты"

Нажимаем "Включение и отключение компонентов Windows" именно тут, мы уберем доступ для wannacrypt  и petya

Снимаем галку "Поддержка общего доступа к файлам SMB 1.0/CIFS"

Начнется удаление компонента.

Все, теперь потребуется перезагрузка.

Теперь если со старого компьютера, по типу Windpws XP вы попытаетесь попасть на UNC шару, вы увидите ошибку

Если же вам необходимо сохранить его функциональность и быть защищенным, то устанавливаем нужные KB.

Установка KB против wannacrypt и petya

Выше вы найдете список исправлений для протокола smb v1, скачиваете их из центра обновлений.Это будут файлы формата msu.

Производите установку KB.

Вот так выглядит процесс установки KB.

Вам потребуется произвести перезагрузку системы. теперь, когда все обновления у вас установлены вам не страшны вирусы wannacrypt  и petya.

Отключаем smb v1 через powershell

Данный метод подойдет для серверной операционной системы Windows Server 2012 R2 и Windos 8.1, выполните вот такую команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

После ее выполнения smb v1 будет выключен.

Для отключения SMB версии 2 и 3 выполните:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Если захотите включить, то поменяйте $false на $true.

Теперь для Windows 7 и Windows 2008 R2, выполните следующее:

• Чтобы отключить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

• Чтобы отключить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

• Чтобы включить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

• Чтобы включить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Отключаем smb v1 через реестр

Перед тем как править реестр Windows я советую вам сделать резервную копию, так на всякий случай. Открываем реестр, делается это через нажатие кнопок Win+R и ввода команды regedit.

Находим ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Тут будет параметр SMB1 , по умолчанию там стоит 1, значит включено, меняем его на 0 и закрываем, после перезагрузки все будет выключено. Wannacrypt вас теперь не побеспокоит.

Если нужно отключить SMB2, то находим ветку и меняем там параметр SMB2, так же на ноль.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Отключить через DISM

Откройте командную стоку от имени администратора и введите команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Как видите еще один метод защититься от wannacrypt.

Отключение через sc.exe config

Начиная с Windows 7 вы можете выполнить внутри системы вот такие команды через cmd запущенного от имени администратора:

• Чтобы отключить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= disabled

• Чтобы включить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
  sc.exe config mrxsmb10 start= auto

• Чтобы отключить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi 
  sc.exe config mrxsmb20 start= disabled

• Чтобы включить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
  sc.exe config mrxsmb20 start= auto

Как защититься от wannacrypt в Active Directory

Когда речь идет о домене Active Directory, то у системного администратора сразу это ассоциируется с групповыми политиками. Давайте посмотрим как GPO поможет нам в массовом отключении smb v1. По сути групповая политика это изменение ключей реестра на клиентах. Открываем редактор и создаем новую политику, прилинковываем ее к нужному организационному подразделению и изменяем.

Политика для серверных ОС

Нас будет интересовать объект "Конфигурация компьютера - Настройка - Конфигурация Windows - Реестр", создаем элемент реестра.

• Действие: Создать
• Куст: HKEY_LOCAL_MACHINE
• Путь к разделу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Имя параметра: SMB1
• Тип значения: REG_DWORD.
• Значение: 0

Политика для клиентских ОС

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров. Сначала отключим службу протокола SMB v1:

• путь: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
• параметр: REG_DWORD c именем Start;
• значение: 4.

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

• путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
• параметр: REG_MULTI_SZ с именем DependOnService;
• значение: три строки – Bowser, MRxSmb20 и NSI.

Клиентским компьютерам осталось только перезагрузиться и все будет отключено

Учтите, что выключив smb v1, вы защититесь конечно от wannacrypt  и petya, но будьте осторожны, если у вас в локальной сети остались старые компьютеры, они не смогут связаться с контроллерами домена и не смогут пройти аутентификацию, так как не умеют работать по SMB 2

Как отключить протокол SMBv1 в Windows 7, 8, 8.1, 10?

SMBv1 является устаревшим протоколом, который подвергается атакам вирусов вымогателей, например, WannaCry. Рассмотрим, как отключить протокол SMBv1 в Windows и полностью его заблокировать.

Зачем нужна поддержка SMBv1 в Windows

SMBv1 это устаревший протокол обмена файлами, которому уже приблизительно 30 лет. В связи с чем может быть использоваться различными видами вирусов, как калитка, предоставляющая доступ к нашему компьютеру. Нашумевшим подтверждением этому является вирус вымогатель WannaCry, который заразил десятки тысяч операционных систем, зашифровал на них файлы и требовал оплату за расшифровку данных.

Проблемы можно было избежать, если бы протокол был выключен на компьютере. И все-таки, стоит его отключить. Несмотря на то, что Майкрософт выпустил патчи для устранения уязвимости даже для старых систем, неизвестно что через некоторое время не появится еще одна итерация вируса WannaCry, который использует дырявый протокол SMBv1 иным образом. Рассмотрим, как полностью отключить протокол в Windows XP, 7, 8, 8.1 и 10?

Выключение SMBv1 в Windows 7, Server 2008, Server 2008 R2

Откройте меню Пуск, а затем с помощью поисковой системы найдите программу PowerShell. В списке результатов поиска кликните на нее правой кнопкой мыши и выберите «запуск от имени администратора».

В окне PowerShell введите следующую команду для отключения SMBv1:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 0 -Force

После выполнения команды перезапустите Windows. Таким образом можно блокировать проникновение вирусов полностью отключив поддержку smbv1.

Выключение SMBv1 в Windows 8 и выше

Зайдите в Панель управления, а затем в «Программы – Удаление Программ». Откроется список программ, установленных в системе. В левом меню кликните на кнопку «Включение или отключение компонентов Windows».

Отобразится окно, в котором у нас появляется возможность управлять отдельными функциями Windows. Здесь нужно найти SMBv1 и отключить его.

Поддержка общего доступа к файлам SMB1.0/CIFS

По умолчанию напротив этой записи установлен флажок, это означает, что функция активирована. Снимите его и нажмите на ОК, чтобы ее отключить.

Появится индикатор хода выключения функции. Затем нажмите на кнопку «Перезагрузка», чтобы завершить отключение через перезапуск компьютера. После перезагрузки протокол будет полностью отключен.

Дополнительная блокировка портов с помощью Брандмауэра

Если хотите обезопасить себя еще больше хорошей идеей является блокирование портов, которые использует SMBv1. Это 445 TCP и 137-139 UDP. Их можно легко отключить с помощью встроенного в систему Брандмауэра.

С помощью системного поиска в меню Пуск найдите инструмент «Брандмауэр Windows». В окне брандмауэра кликните правой кнопкой мыши на поле «Правила для входящих подключений» и выберите пункт «Новое правило».

Здесь укажите тип «Port» и нажмите «Далее». В следующем шаге нужно указать тип. Выберите «TCP», а затем в поле «Определенные локальные порты» введите 445.

Нажмите на кнопку «Далее». В следующем окне нужно выбрать действие с указанным портом. Установите флажок «Блокировать подключение».

Нажмите «Далее» и все остальные настройки оставьте без изменений. На последнем шаге введите название для созданного правила – например, «Блокировка 445» и нажмите «Готово».

Созданное правило будет блокировать порт 445. Теперь создайте правило для блокировки UDP-портов в диапазоне 137-139. Все сделайте точно также только тип укажите UDP, а поле «Определенные локальные порты» введите 137-139.

Таким образом, созданы два правила, которые блокируют соединение по портам и тем самым вирусные атаки, проникающие через этот протокол.

Включение/отключение протоколов SMB в Windows

Windows 8, 10 и Windows Server 2012, 2016

В Windows 8, 10 и Windows Server 2012, 2016 представлен командлет Windows PowerShell Set-SMBServerConfiguration. Он позволяет включать или отключать протоколы SMB версии 1, 2, 3.

При включении или отключении протокола SMB версии 2 в Windows или Windows Server также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.

После выполнения командлета Set-SMBServerConfiguration не требуется перезагрузка компьютера.

Узнать состояние

• Чтобы получить текущее состояние конфигурации протокола SMB-сервера, выполните следующий командлет:

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

• Чтобы отключить протокол версии 1 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

• Чтобы отключить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

• Чтобы включить протокол версии 1 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB1Protocol $true

• Чтобы включить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Windows 7 и Windows Server 2008 R2

Windows PowerShell 2.0

Чтобы включить или отключить протоколы SMB на сервере с Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, воспользуйтесь Windows PowerShell или редактором реестра.

Отключить

• Чтобы отключить протокол версии 1 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer" -Name DependOnService -Value "SamSS,Srv2"

• Чтобы отключить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

• Чтобы включить протокол версии 1 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

• Чтобы включить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

После внесения этих изменений компьютер необходимо перезагрузить.

---

Редактор реестра

Сервер

• Чтобы включить или отключить протокол версии 1 на сервере, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer

REG_MULTI_SZ: SamSS,Srv2
По умолчанию: SamSS,Srv

• Чтобы включить или отключить протокол версии 2 на сервере, настройте следующий раздел реестра:
  Подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Клиент

• Как включить и отключить протоколы SMB на клиенте Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

При включении или отключении протокола SMB версии 2 в Windows 8 или Windows Server 2012 также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.

Эти команды следует вводить в командной строке с повышенными привилегиями.
После внесения этих изменений компьютер необходимо перезагрузить.

Отключить

• Чтобы Отключить протокол версии 1 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled

• Чтобы Отключить протокол версии 2 и 3 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled

• Чтобы Включить протокол версии 1 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto

• Чтобы Включить протокол версии 2 и 3 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto

Help Microsoft https://support.microsoft.com/ru-ru/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and

Как обнаружить, включить и отключить SMBv1, SMBv2 и SMBv3 в Windows

• 29.10.2020
• На чтение 9 минут

В этой статье

Применимо к: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описывается, как включить и отключить серверный блок сообщений (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) в клиентских и серверных компонентах SMB.

Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, SMBv1 имеет значительные уязвимости безопасности, и мы настоятельно рекомендуем вам не использовать его.

Отключение SMBv2 или SMBv3 для устранения неполадок

Хотя мы рекомендуем оставить SMBv2 и SMBv3 включенными, вы можете счесть полезным временно отключить один из них для устранения неполадок, как описано в разделе Как определять состояние, включать и отключать протоколы SMB на сервере SMB.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функциональность SMBv2, описанную в предыдущем списке):

• Transparent Failover - клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
• Scale Out - одновременный доступ к общим данным на всех узлах файлового кластера
• Многоканальный - агрегирование пропускной способности сети и отказоустойчивости, если между клиентом и сервером доступно несколько путей
• SMB Direct - добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП
• Шифрование - обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях
• Directory Leasing - сокращает время отклика приложений в филиалах за счет кэширования
• Оптимизация производительности - оптимизация для небольших операций ввода-вывода произвольного чтения / записи

В Windows 7 и Windows Server 2008 R2 отключение SMBv2 деактивирует следующие функции:

• Составление запросов - позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
• Больше операций чтения и записи - лучшее использование более быстрых сетей
• Кэширование свойств папок и файлов - клиенты сохраняют локальные копии папок и файлов
• Надежные ручки - позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
• Улучшенная подпись сообщений - HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
• Улучшенная масштабируемость для совместного использования файлов - количество пользователей, общих ресурсов и открытых файлов на сервере значительно увеличилось
• Поддержка символических ссылок
• Модель аренды клиентской оппортунистической блокировки - ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB
• Поддержка большого MTU - для полноценного использования 10-гигабайтного (ГБ) Ethernet
• Повышенная энергоэффективность - клиенты, у которых есть открытые файлы на сервере, могут спать

Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012.Дополнительные сведения о возможностях SMBv2 и SMBv3 см. В следующих статьях:

Обзор блока сообщений сервера

Что нового в SMB

Как удалить SMB v1

Вот как удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.

Методы PowerShell

SMB v1 (клиент и сервер)

• Обнаружить:

    Get-WindowsOptionalFeature -Online -FeatureName smb1protocol  

• Отключить:

    Отключить-WindowsOptionalFeature -Online -FeatureName smb1protocol  

• Включить:

    Включить-WindowsOptionalFeature -Online -FeatureName smb1protocol  

Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера сервера для отключения SMB

SMB v1

Windows 8.1 и Windows 10: метод PowerShell

Протокол SMB v1

• Обнаружить:

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  

• Отключить:

    Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  

• Включить:

    Включить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  

Протокол SMB v2 / v3 (отключает только сервер SMB v2 / v3)

• Обнаружить:

    Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  

• Отключить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ false  

• Включить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ true  

Windows 8.1 и Windows 10: метод установки и удаления программ

Как определить статус, включить и отключить протоколы SMB на сервере SMB

для Windows 8 и Windows Server 2012

Windows 8 и Windows Server 2012 представляют новый командлет Set-SMBServerConfiguration Windows PowerShell. Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.

Примечание

Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается.Это происходит потому, что эти протоколы используют один и тот же стек.

Нет необходимости перезагружать компьютер после выполнения командлета Set-SMBServerConfiguration .

SMB v1 на сервере SMB

• Обнаружить:

    Get-SmbServerConfiguration | Выберите EnableSMB1Protocol.  

• Отключить:

    Set-SmbServerConfiguration -EnableSMB1Protocol $ false  

• Включить:

    Set-SmbServerConfiguration -EnableSMB1Protocol $ true  

Для получения дополнительной информации см. Хранилище сервера в Microsoft.

SMB v2 / v3 на сервере SMB

• Обнаружить:

    Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  

• Отключить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ false  

• Включить:

    Set-SmbServerConfiguration -EnableSMB2Protocol $ true  

для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы включить или отключить протоколы SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Методы PowerShell

Примечание

Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

SMB v1 на сервере SMB

Обнаружить:

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

Конфигурация по умолчанию = Включено (раздел реестра не создается), поэтому значение SMB1 не возвращается

Отключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

Примечание После внесения этих изменений необходимо перезагрузить компьютер.Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB v2 / v3 на сервере SMB

Обнаружить:

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

Отключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

Редактор реестра

Важно

Внимательно выполните действия, описанные в этом разделе. При неправильном изменении реестра могут возникнуть серьезные проблемы. Перед внесением изменений создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

Как определить статус, включить и отключить протоколы SMB на SMB-клиенте

для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Примечание

Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит потому, что эти протоколы используют один и тот же стек.

SMB v1 на клиенте SMB

• Обнаружить

    сбн.exe qc lanmanworkstation  

• Отключить:

    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb20 / nsi sc.exe config mrxsmb10 start = отключено  

• Включить:

    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb10 start = auto  

Для получения дополнительной информации см. Хранилище сервера в Microsoft

SMB v2 / v3 на клиенте SMB

• Обнаружить:

    сбн.exe qc lanmanworkstation  

• Отключить:

    sc.exe конфигурация lanmanworkstation зависит = bowser / mrxsmb10 / nsi sc.exe config mrxsmb20 start = отключено  

• Включить:

    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb20 start = auto  

Примечание

• Эти команды необходимо запускать из командной строки с повышенными привилегиями.
• После внесения этих изменений необходимо перезагрузить компьютер.

Отключить сервер SMBv1 с помощью групповой политики

Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

• Запись в реестре: SMB1
• REG_DWORD: 0 = Отключено

Чтобы настроить это с помощью групповой политики, выполните следующие действия:

1. Откройте консоль управления групповой политикой .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

2. В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .

В диалоговом окне New Registry Properties выберите следующее:

• Действие : Создать
• Улей : HKEY_LOCAL_MACHINE
• Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
• Имя значения : SMB1
• Тип значения : REG_DWORD
• Значение данных : 0

Отключает компоненты сервера SMBv1.Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Примечание

также могут быть настроены для исключения неподдерживаемых операционных систем или выбранных исключений, таких как Windows XP.

Важно

Будьте осторожны при внесении этих изменений на контроллеры домена, на которых устаревшая Windows XP или более ранняя версия Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен.

Отключить клиент SMBv1 с помощью групповой политики

Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы отключить запуск MRxSMB10 , а затем нужно удалить зависимость от MRxSMB10 из записи для LanmanWorkstation , чтобы он мог нормально запускаться без необходимости MRxSMB10 до первого запуска.

Это обновит и заменит значения по умолчанию в следующих двух элементах реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

Запись реестра: Начало REG_DWORD: 4 = Отключено

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

Запись реестра: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20 ″,« NSI »

Примечание

По умолчанию включен MRxSMB10, который теперь удален как зависимость.

Чтобы настроить это с помощью групповой политики, выполните следующие действия:

1. Откройте консоль управления групповой политикой . Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

2. В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .

4. В диалоговом окне New Registry Properties выберите следующее:

   • Действие : Обновление
   • Улей : HKEY_LOCAL_MACHINE
   • Путь к ключу : SYSTEM \ CurrentControlSet \ services \ mrxsmb10
   • Имя значения : Начало
   • Тип значения : REG_DWORD
   • Значение данных : 4

5. Затем удалите зависимость от MRxSMB10 , которая была только что отключена.

   В диалоговом окне New Registry Properties выберите следующее:

   • Действие : заменить
   • Улей : HKEY_LOCAL_MACHINE
   • Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
   • Имя значения : DependOnService
   • Тип значения : REG_MULTI_SZ
   • Значение данных :

   Примечание

   Эти три строки не будут иметь патронов (см. Следующий снимок экрана).

   Значение по умолчанию включает MRxSMB10 во многих версиях Windows, поэтому, заменяя их этой многозначной строкой, он фактически удаляет MRxSMB10 как зависимость для LanmanServer и переходит от четырех значений по умолчанию к этим три значения выше.

   Примечание

   При использовании консоли управления групповой политикой не нужно использовать кавычки или запятые. Просто введите каждую запись в отдельной строке.

6. Перезапустите целевые системы, чтобы завершить отключение SMB v1.

Аудит использования SMBv1

Чтобы определить, какие клиенты пытаются подключиться к SMB-серверу с SMBv1, вы можете включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Вы также можете проводить аудит в Windows 7 и Windows Server 2008 R2, если они установили майский Ежемесячное обновление 2018 г. и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за июль 2017 г.

• Включить:

    Set-SmbServerConfiguration -AuditSmb1Access $ true  

• Отключить:

    Set-SmbServerConfiguration -AuditSmb1Access $ false  

• Обнаружить:

    Get-SmbServerConfiguration | Выберите AuditSmb1Access  

Когда включен аудит SMBv1, в журнале событий «Microsoft-Windows-SMBServer \ Audit» появляется событие 3000, идентифицирующее каждого клиента, который пытается подключиться к SMBv1.

Сводка

Если все параметры находятся в одном объекте групповой политики (GPO), Управление групповой политикой отображает следующие параметры.

Тестирование и валидация

После их настройки разрешите репликацию и обновление политики. При необходимости для тестирования запустите gpupdate / force в командной строке, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно. Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Примечание

Не забудьте перезагрузить целевые системы.

Как включить / отключить SMBv1, SMBv2 и SMBv3 в Windows и Windows Server - Руководство по развертыванию безопасности

В этой статье описывается, как включить и отключить серверный блок сообщений (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2), и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.

Затронутая функциональность

Примечание : Мы не рекомендуем отключать SMBv2 или SMBv3. Отключите SMBv2 или SMBv3 только в качестве временной меры по устранению неполадок. Не оставляйте SMBv2 или SMBv3 отключенными.

Отключение SMBv2

В Windows 7 и Windows Server 2008 R2 отключение SMBv2 отключает следующие функции:

• Составление запросов - позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
• Увеличение объема операций чтения и записи - лучшее использование более быстрых сетей
• Кэширование свойств папок и файлов - клиенты хранят локальные копии папок и файлов
• Надежные дескрипторы - разрешить подключение для прозрачного переподключения к серверу при временном отключении
• Улучшенная подпись сообщений - HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
• Улучшенная масштабируемость для совместного использования файлов - количество пользователей, общих и открытых файлов на сервере значительно увеличились
• Поддержка символических ссылок
• Модель аренды клиентской оппортунистической блокировки - ограничивает данные, передаваемые между клиентом и сервером, улучшая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB
• Поддержка большого MTU - для полного использования 10- Gigabyte (GB) Ethernet
• Повышенная энергоэффективность - клиенты, у которых есть открытые файлы на сервере может спать

Отключение SMBv3

В Windows 8, Windows 8.1, Windows 10, Windows Server 2012 и Windows Server 2016, отключение SMBv3 деактивирует следующие функции (а также функции SMBv2, описанные в предыдущем списке):

• Transparent Failover - клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
• Scale Out - одновременный доступ к общим данным на всех узлах файлового кластера
• Многоканальный - агрегирование пропускной способности сети и отказоустойчивость, если между клиентом и сервер
• SMB Direct - добавляет поддержку сети RDMA для очень высокой производительности, с низкой задержкой и низкой загрузкой ЦП
• Шифрование - Обеспечивает сквозное шифрование и защищает от прослушивания в ненадежных сетях
• Аренда каталога - Улучшает время отклика приложений в филиалы посредством кэширования
• Оптимизация производительности - оптимизация для небольших операций ввода-вывода произвольного чтения / записи

Как включить и отключить протоколы SMB на сервере SMB

Для Windows 8 и Windows Server 2012

Windows 8 и Windows Server 2012 представляет новый Set-SMBServerConfigurat ion командлет Windows PowerShell.Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.

Примечание : Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит потому, что эти протоколы используют один и тот же стек.

Командлет Set-SMBServerConfiguration

Нет необходимости перезагружать компьютер после выполнения командлета Set-SMBServerConfiguration.

• Чтобы получить текущий статус конфигурации протокола SMB-сервера, запустите следующий командлет:

   
   
    Get-SmbServerConfiguration | Выберите EnableSMB1Protocol, EnableSMB2Protocol  
   
   

• Чтобы отключить SMBv1 на сервере SMB, запустите следующий командлет:

   
   
    Set-SmbServerConfiguration -EnableSMB1Protocol $ false  
   
   

• Чтобы отключить SMBv2 и SMBv3 на сервере SMB, запустите следующие командлеты:

   
   
    Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
   
   

• Чтобы включить SMBv1 на сервере SMB, выполните следующий командлет:

   
   
    Set-SmbServerConfiguration -EnableSMB1Protocol $ true  
   
   

• Чтобы включить SMBv2 и SMBv3 на сервере SMB, запустите следующий командлет:

   
   
    Set-SmbServerConfiguration -EnableSMB2Protocol $ true  
   
   

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Для включения или отключения протоколов SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008 используйте Windows PowerShell или редактор реестра.

Методы PowerShell

Примечание : Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

• Чтобы отключить SMBv1 на сервере SMB, запустите следующий командлет:

   
   
    Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  
   
   

• Чтобы отключить SMBv2 и SMBv3 на сервере SMB, запустите следующие командлеты:

   
   
    Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  
   
   

• Чтобы включить SMBv1 на сервере SMB, запустите следующее командлет:

   
   
    Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  
   
   

• Чтобы включить SMBv2 и SMBv3 на сервере SMB, запустите следующий командлет:

   
   
    Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  
   
   

Примечание : Вы должны перезагрузить компьютер после того, как вы внести эти изменения.

Редактор реестра

Примечание : Это следующее содержимое содержит информацию о том, как изменить реестр. Убедитесь, что вы создали резервную копию реестра, прежде чем вносить в него изменения. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании, восстановлении и изменении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

• Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

  • Подраздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
  • Запись реестра: SMB1
  • REG_DWORD: 0 = отключено
  • REG_DWORD: 1 = включено
  • раздел реестра по умолчанию: 1 = включено Создано)

• Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:

  • Подраздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
  • Запись реестра: SMB2
  • REG_DWORD: 0 = отключено
  • REG_DWORD: 1 = включено
  • раздел реестра по умолчанию: 1 = включено создано)

Примечание : После внесения этих изменений необходимо перезагрузить компьютер

Как включить и отключить протоколы SMB на SMB-клиенте

Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Примечание : Когда вы включаете или отключаете SMBv2 в В Windows 8 или Windows Server 2012 SMBv3 также включен или отключен.Это происходит потому, что эти протоколы используют один и тот же стек.

• Чтобы отключить SMBv1 на SMB-клиенте, выполните следующую команду:

   
   
    sc.exe config lanmanworkstation зависимость = bowser / mrxsmb20 / nsi  
   
    sc.exe config mrxsmb10 start = disabled  
   
   

• Чтобы включить SMBv1 на SMB-клиенте, выполните следующую команду:

   
   
    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi  
   
    sc.exe config mrxsmb10 start = auto  
   
   

• Чтобы отключить SMBv2 и SMBv3 на SMB-клиенте, выполните следующую команду:

   
   
    sc.exe config lanmanworkstation зависимость = bowser / mrxsmb10 / nsi  
   
    sc.exe config mrxsmb20 start = disabled  
   
   

• Чтобы включить SMBv2 и SMBv3 на SMB-клиенте, выполните следующую команду:

   
   
    sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi  
   
    sc.exe config mrxsmb20 start = auto  
   
   

Примечание :

• Эти команды необходимо запускать в командной строке с повышенными привилегиями.
• После внесения этих изменений необходимо перезагрузить компьютер.

Отключить сервер SMBv1 с помощью групповой политики

Это настраивает следующий новый элемент в реестре

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

Запись реестра: SMB1 REG_DWORD: 0 = отключено

Процедура

Для настройки с помощью групповой политики:

1. Откройте консоль управления групповой политикой .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

2. В дереве консоли в разделе Конфигурация компьютера разверните папку Preferences , а затем разверните папку Windows Settings .

3. Щелкните правой кнопкой мыши узел Registry , укажите на New и выберите Registry Item .

4. В диалоговом окне «Новые свойства реестра» выберите следующее:

   • Действие: Создать
   • Улей: HKEY_LOCAL_MACHINE
   • Путь к ключу: SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
   • Имя значения: SMB1
   • Тип значения: REG_DWORD
   • Данные значения: 0

5. Отключает компоненты сервера SMBv1.Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Примечание : будьте осторожны при внесении этих изменений на контроллерах домена, где устаревшая Windows XP или более старые Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен .

Отключить клиент SMBv1 с групповой политикой

Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы запретить запуск MRxSMB10, а затем необходимо удалить зависимость от MRxSMB10 из записи для LanmanWorkstation, чтобы он мог нормально запускаться без необходимости MRxSMB10 для первого запуска.

Это обновляет и заменяет значения по умолчанию в следующих 2 элементах реестра

• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

  Запись реестра: Start REG_DWORD: 4 = Disabled

• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

  Запись реестра: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20 ″,« NSI »

Примечание : по умолчанию включен MRxSMB10, который теперь удален как зависимость

Процедура

Для настройки с помощью групповой политики:

1. Откройте консоль управления групповой политикой .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

2. В дереве консоли в разделе Конфигурация компьютера разверните папку Preferences , а затем разверните папку Windows Settings .

3. Щелкните правой кнопкой мыши узел Registry , укажите на New и выберите Registry Item .

4. В диалоговом окне «Новые свойства реестра» выберите следующее:

   • Действие: Обновление
   • Улей: HKEY_LOCAL_MACHINE
   • Путь к ключу: SYSTEM \ CurrentControlSet \ services \ mrxsmb10
   • Имя значения: Начало
   • Тип значения: REG_DWORD
   • Данные значения: 4

   Затем удалите зависимость от MRxSMB10, которая была только что отключена

5. В диалоговом окне «Новые свойства реестра» выберите следующее:

Значение по умолчанию включает MRxSMB10 во многих версиях Windows, поэтому, заменяя их этой многозначной строкой, фактически удаляется MRxSMB10 как зависимость для LanmanServer и происходит переход от четырех значений по умолчанию только к этим трем предыдущим значениям.

Примечание : При использовании консоли управления групповыми политиками нет необходимости использовать кавычки или запятые. Просто введите каждую запись в отдельной строке, как показано выше.

Требование перезагрузки

После применения политики и настройки параметров реестра необходимо перезагрузить систему, прежде чем SMB v1 будет отключен.

Сводка

Если все параметры находятся в одном объекте групповой политики (GPO), Управление групповой политикой показывает параметры ниже.

Тестирование и проверка

После их настройки разрешите репликацию и обновление политики. При необходимости для тестирования запустите gpupdate / force из приглашения CMD.EXE , а затем просмотрите целевые машины, чтобы убедиться, что настройки реестра применяются правильно. Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Примечание : Вы должны перезапустить целевые системы.

Как аккуратно удалить SMB v1 в Windows 8.1, Windows 10, Windows 2012 R2 и Windows Server 2016

Windows Server 2012 R2 и Windows Server 2016: метод диспетчера сервера для отключения SMB

Windows Server 2012 R2 и 2016: методы PowerShell (Remove-WindowsFeature FS-SMB1)

Windows 8.1 и Windows 10: метод «Установка и удаление программ»

Windows 8.1 и Windows 10: метод Powershell (Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol)

Спасибо! Мы получили ваш отзыв.

Как отключить / включить SMB v 1.0 в Windows 10 / Server 2016?

В Windows Server 2016/2019 и Windows 10 (начиная со сборки 1709) сетевой протокол Server Message Block 1.0 (SMBv1), используемый для доступа к общим папкам, по умолчанию отключен. В большинстве случаев этот протокол требуется для доступа к общим папкам, размещенным в устаревших системах, таких как Windows XP, Windows Server 2003 и более старые ОС, которые больше не поддерживаются. В этой статье мы рассмотрим, как включить или отключить поддержку клиента и сервера SMBv1 в Windows 10 и Windows Server 2016/2019.

В одной из предыдущих статей мы показали таблицу совместимости клиентских и серверных версий SMB.Согласно таблице, старые версии клиентов (XP, Server 2003 и некоторые * nix-клиенты) могут обращаться к сетевым папкам общего доступа только по протоколу SMB v1.0. Если таких клиентов в сети нет, вы можете полностью отключить SMB 1.0 на стороне файловых серверов (включая контроллеры домена AD) и клиентских рабочих столов.

В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента - SMB-клиент и SMB-сервер , которые можно включать / отключать независимо.

Аудит доступа к общей папке через SMB v1.0

Перед отключением или полным удалением драйвера SMB 1.0 на стороне файлового сервера SMB стоит убедиться, что в вашей сети нет старых клиентов, которые его используют. Для этого включите аудит доступа к файловому серверу по SMB v1.0 с помощью следующей команды PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $ true

Через несколько дней откройте средство просмотра событий на сервере, проверьте журнал Applications and Services -> Microsoft -> Windows -> SMBServer -> Audi t и посмотрите, обращались ли какие-либо клиенты к файловому серверу через SMB1.

Наконечник. Вы можете отобразить список событий из этого журнала событий, используя следующую команду PowerShell:
Get-WinEvent -LogName Microsoft-Windows-SMBServer / Audit

В нашем примере в журнале было обнаружено событие с EventID 3000 из источника SMBServer . Событие означает, что клиент 192.168.1.10 пытается получить доступ к серверу по протоколу SMB1.

 доступ SMB1 Адрес клиента: 192.168.1.10 Руководство: Это событие указывает на то, что клиент попытался получить доступ к серверу с помощью SMB1. Чтобы остановить аудит доступа SMB1, используйте командлет Windows PowerShell Set-SmbServerConfiguration. 

Вам необходимо найти этот компьютер или устройство в сети и обновить ОС или прошивку до версии, которая поддерживает новые версии протокола SMB: SMBv2 или SMBv3.

В нашем случае мы проигнорируем эту информацию, но следует иметь в виду, что позже этот клиент не сможет получить доступ к общим папкам на этом сервере SMB.

Включение / отключение SMB 1.0 в Windows Server 2016/2019

В Windows Server 2016, начиная со сборки 1709 и Windows Server 2019, SMBv1 по умолчанию отключен. Чтобы включить поддержку клиентского протокола SMBv1 в новых версиях Windows Server, необходимо установить отдельную функцию SMB 1.0 / CIFS File Sharing Support .

Вы можете установить компонент SMBv1 с помощью диспетчера сервера или PowerShell.

Вы можете проверить, включен ли SMBv1 с помощью команды PowerShell:

Get-WindowsFeature | Где-Объект {$ _.name -eq "FS-SMB1"} | ft Имя, Installstate

Чтобы установить компонент FS-SMB1 , запустите:

Установка-Windows Функция FS-SMB1

Чтобы удалить компонент клиента SMBv1 (требуется перезагрузка), выполните команду:

Uninstall-WindowsFeature –Name FS-SMB1 –Remove

Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Удалить

Для того, чтобы ваш сервер обрабатывал SMBv1.0 необходимо включить поддержку SMBv1 на уровне файлового сервера SMB в дополнение к компоненту FS-SMB1 . Чтобы проверить, включен ли доступ SMBv1 для общих сетевых ресурсов на вашем сервере, запустите:

Get-SmbServerConfiguration

Строка « EnableSMB1Protocol: True » означает, что вам разрешен доступ к общим папкам на этом сервере с использованием протокола SMBv1. Чтобы отключить поддержку сервера SMBv1 в Windows Server, выполните команду PowerShell:

Set-SmbServerConfiguration -EnableSMB1Protocol $ false -Force

Теперь используйте командлет Get-SmbServerConfiguration , чтобы убедиться, что сервер SMB1 отключен.

 SMB1Protocol | Отключено SMB1Protocol-Client | Отключено SMB1Protocol-Сервер | Отключено SMB1Protocol-Устаревший | Инвалид 

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _.pspath}  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _.pspath}  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _.pspath}  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)