Как отключить smb1 в windows 7


Почему и как необходимо отключить SMB1 в Windows 10/8/7

SMB или Server Message Block это протокол обмена по сети, предназначенный для совместного использования файлов, принтеров и других различных устройств. Существует три версии SMB – SMBv1, SMBv2 и SMBv3. Из соображений безопасности Microsoft рекомендует отключить SMB версии 1, так как он устарел и использует технологию, которой почти 30 лет.  Чтобы избежать заражения вирусами-вымогателями типа WannaCrypt нужно отключить SMB1 и установить обновления для операционной системы. Этот протокол используется Windows 2000, Windows XP, Windows Server 2003 и Windows Server 2003 R2 – поэтому сетевой файловый доступ к данным версиям ОС будет не доступен. Тоже самое относится к некоторым  сетевым хранилищам, сканерам и т.п.

Отключение SMB1 из Панели управления

Пуск -> Панель управления -> Программы и компоненты -> Включение и отключение компонентов Windows

Отключаем ‘Поддержка общего доступа к файлам SMB 1.0/CIFS’

Отключение SMB1 через Powershell

Откройте консоль Powershell с правами администратора и введите следующую команду:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Отключить SMB1 с помощью реестра Windows

Также можно отключить SMBv1 запустив regedit.exe и перейдя к следующему разделу:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Создайте в этом разделе DWORD SMB1  со значением 0.

Значения для включения и отключения SMB1:

  • 0 = Выключено
  • 1 = Включено

После этого необходимо установить обновление MS17-010. Обновление вышло подо все версии Windows, включая не поддерживаемые больше Windows XP и Windows Server 2003.

И в заключении хочется сказать, что, не смотря на установленный антивирус и регулярные обновления операционной системы, если Вам дороги ваши данные, необходимо в первую очередь думать о резервном копировании.

Как обнаруживать, включать и отключать SMBv1, SMB и SMBv3 в Windows

  • Чтение занимает 8 мин

В этой статье

Область применения: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies to: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описывается, как включить и отключить протокол SMB версии 1 (SMBv1), SMB версии 2 (SMB) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.This article describes how to enable and disable Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2), and SMB version 3 (SMBv3) on the SMB client and server components.

Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программами, SMBv1 имеет существенные уязвимости, и мы настоятельно рекомендуем не использовать ее.While disabling or removing SMBv1 might cause some compatibility issues with old computers or software, SMBv1 has significant security vulnerabilities and we strongly encourage you not to use it.

Отключение SMB или SMBv3 для устранения неполадокDisabling SMBv2 or SMBv3 for troubleshooting

Хотя мы рекомендуем использовать протоколы SMB 2.0 и SMBv3, может оказаться полезным временно отключить их для устранения неполадок, как описано в статье Обнаружение состояния, включение и отключение протокола SMB на сервере SMB.While we recommend that you keep SMBv2 and SMBv3 enabled, you might find it useful to disable one temporarily for troubleshooting, as described in How to detect status, enable, and disable SMB protocols on the SMB Server.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функции 2.0, описанные в предыдущем списке):In Windows 10, Windows 8.1, and Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, disabling SMBv3 deactivates the following functionality (and also the SMBv2 functionality that's described in the previous list):

  • Прозрачная отработка отказа — клиенты повторно подключаются без прерывания узлов кластера во время обслуживания или отработки отказаTransparent Failover - clients reconnect without interruption to cluster nodes during maintenance or failover
  • Scale Out — одновременный доступ к общим данным на всех узлах кластеров файловScale Out – concurrent access to shared data on all file cluster nodes
  • Многоканальное агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и серверомMultichannel - aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server
  • SMB Direct — добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП.SMB Direct – adds RDMA networking support for very high performance, with low latency and low CPU utilization
  • Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях.Encryption – Provides end-to-end encryption and protects from eavesdropping on untrustworthy networks
  • Аренда каталога — улучшает время отклика приложений в филиалах за счет кэшированияDirectory Leasing - Improves application response times in branch offices through caching
  • Оптимизация производительности — оптимизация для небольшого случайного чтения и записи ввода-выводаPerformance Optimizations - optimizations for small random read/write I/O

В Windows 7 и Windows Server 2008 R2 отключение SMB отключает следующие функциональные возможности.In Windows 7 and Windows Server 2008 R2, disabling SMBv2 deactivates the following functionality:

  • Составной запрос — позволяет отправлять несколько запросов SMB 2 в виде одного сетевого запроса.Request compounding - allows for sending multiple SMB 2 requests as a single network request
  • Большие операции чтения и записи — лучшее использование более быстрых сетей.Larger reads and writes - better use of faster networks
  • Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файловCaching of folder and file properties - clients keep local copies of folders and files
  • Устойчивые дескрипторы. разрешение на прозрачное повторное подключение к серверу при наличии временного отключенияDurable handles - allow for connection to transparently reconnect to the server if there is a temporary disconnection
  • Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 как алгоритм хешированияImproved message signing - HMAC SHA-256 replaces MD5 as hashing algorithm
  • Улучшенная масштабируемость общего доступа к файлам — число пользователей, общих папок и открытых файлов на сервере значительно увеличилось.Improved scalability for file sharing - number of users, shares, and open files per server greatly increased
  • Поддержка символьных ссылокSupport for symbolic links
  • Модель нежесткой аренды клиента — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и повышая масштабируемость сервера SMB.Client oplock leasing model - limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability
  • Поддержка большого MTU — для полного использования 10-гигабе (ГБ) EthernetLarge MTU support - for full use of 10-gigabye (GB) Ethernet
  • Повышение эффективности энергопотребления — клиенты, которые имеют открытые файлы на сервере, могут перейти в спящий режимImproved energy efficiency - clients that have open files to a server can sleep

Протокол SMB был впервые появился в Windows Vista и Windows Server 2008, а протокол SMBv3 появился в Windows 8 и Windows Server 2012.The SMBv2 protocol was introduced in Windows Vista and Windows Server 2008, while the SMBv3 protocol was introduced in Windows 8 and Windows Server 2012. Дополнительные сведения о возможностях протоколов SMB 2.0 и SMBv3 см. в следующих статьях:For more information about the capabilities of SMBv2 and SMBv3 capabilities, see the following articles:

Общие сведения о протоколе SMBServer Message Block overview

Новые возможности SMBWhat's New in SMB

Удаление SMB v1How to remove SMB v1

Вот как можно удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.Here's how to remove SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, and Windows 2012 R2.

Методы PowerShellPowerShell methods
SMB v1 (клиент и сервер)SMB v1 (client and server)
  • АвтоматическоеDetect:

    Get-WindowsOptionalFeature -Online -FeatureName smb1protocol 
  • ВключенDisable:

    Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol 
  • Включите параметрEnable:

    Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol 
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: диспетчер сервера метод отключения SMBWindows Server 2012 R2, Windows Server 2016, Windows Server 2019: Server Manager method for disabling SMB
SMB v1SMB v1

Windows 8.1 и Windows 10: метод PowerShellWindows 8.1 and Windows 10: PowerShell method
Протокол SMB v1SMB v1 Protocol
  • АвтоматическоеDetect:

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol 
  • ВключенDisable:

    Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol 
  • Включите параметрEnable:

    Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol 
Протокол SMB V2/V3 (отключается только сервер SMB V2/V3)SMB v2/v3 Protocol (only disables SMB v2/v3 Server)
  • АвтоматическоеDetect:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol 
  • ВключенDisable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false 
  • Включите параметрEnable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true 
Windows 8.1 и Windows 10: метод "Установка и удаление программ"Windows 8.1 and Windows 10: Add or Remove Programs method

Как определить состояние, включить и отключить протоколы SMB на сервере SMBHow to detect status, enable, and disable SMB protocols on the SMB Server

Для Windows 8 и Windows Server 2012For Windows 8 and Windows Server 2012

Windows 8 и Windows Server 2012 представляют новый командлет Windows PowerShell Set-смбсерверконфигуратион .Windows 8 and Windows Server 2012 introduce the new Set-SMBServerConfiguration Windows PowerShell cmdlet. Командлет позволяет включать или отключать протоколы SMBv1, SMB и SMBv3 на серверном компоненте.The cmdlet enables you to enable or disable the SMBv1, SMBv2, and SMBv3 protocols on the server component.

Примечание

При включении или отключении протоколов SMB в Windows 8 или Windows Server 2012 также включается или отключается SMBv3.When you enable or disable SMBv2 in Windows 8 or Windows Server 2012, SMBv3 is also enabled or disabled. Это происходит из-за того, что эти протоколы используют один и тот же стек.This behavior occurs because these protocols share the same stack.

После запуска командлета Set-смбсерверконфигуратион перезагружать компьютер не требуется.You do not have to restart the computer after you run the Set-SMBServerConfiguration cmdlet.

SMB v1 на SMB ServerSMB v1 on SMB Server
  • АвтоматическоеDetect:

    Get-SmbServerConfiguration | Select EnableSMB1Protocol 
  • ВключенDisable:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false 
  • Включите параметрEnable:

    Set-SmbServerConfiguration -EnableSMB1Protocol $true 

Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.For more information, see Server storage at Microsoft.

SMB V2/V3 на SMB-сервереSMB v2/v3 on SMB Server
  • АвтоматическоеDetect:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol 
  • ВключенDisable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false 
  • Включите параметрEnable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true 

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008For Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Чтобы включить или отключить протоколы SMB на сервере SMB под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.

Методы PowerShellPowerShell methods

Примечание

Для этого метода требуется PowerShell 2,0 или более поздней версии PowerShell.This method requires PowerShell 2.0 or later version of PowerShell.

SMB v1 на SMB ServerSMB v1 on SMB Server

АвтоматическоеDetect:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath} 

Конфигурация по умолчанию — включено (раздел реестра не создается), поэтому значение SMB1 не будет возвращено.Default configuration = Enabled (No registry key is created), so no SMB1 value will be returned

ВключенDisable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force 

Включите параметрEnable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force 

Примечание . После внесения этих изменений необходимо перезагрузить компьютер.Note You must restart the computer after you make these changes. Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.For more information, see Server storage at Microsoft.

SMB V2/V3 на SMB-сервереSMB v2/v3 on SMB Server

АвтоматическоеDetect:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath} 

ВключенDisable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force 

Включите параметрEnable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force 

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.You must restart the computer after you make these changes.

Редактор реестраRegistry Editor

Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:To enable or disable SMBv1 on the SMB server, configure the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1 REG_DWORD: 0 = Disabled REG_DWORD: 1 = Enabled Default: 1 = Enabled (No registry key is created) 

Чтобы включить или отключить протокол SMB 2.0 на сервере SMB, настройте следующий раздел реестра:To enable or disable SMBv2 on the SMB server, configure the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2 REG_DWORD: 0 = Disabled REG_DWORD: 1 = Enabled Default: 1 = Enabled (No registry key is created) 

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.You must restart the computer after you make these changes.

Как определить состояние, включить и отключить протоколы SMB на клиенте SMBHow to detect status, enable, and disable SMB protocols on the SMB Client

Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012For Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Примечание

При включении или отключении SMB 2.0 в Windows 8 или Windows Server 2012 также включается или отключается SMBv3.When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. Это происходит из-за того, что эти протоколы используют один и тот же стек.This behavior occurs because these protocols share the same stack.

SMB v1 на клиенте SMBSMB v1 on SMB Client
  • ОпределениеDetect

    sc.exe qc lanmanworkstation 
  • ВключенDisable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled 
  • Включите параметрEnable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto 

Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт .For more information, see Server storage at Microsoft

SMB V2/V3 на клиенте SMBSMB v2/v3 on SMB Client
  • АвтоматическоеDetect:

    sc.exe qc lanmanworkstation 
  • ВключенDisable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled 
  • Включите параметрEnable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto 

Примечание

  • Эти команды необходимо выполнить в командной строке с повышенными привилегиями.You must run these commands at an elevated command prompt.
  • После внесения этих изменений необходимо перезагрузить компьютер.You must restart the computer after you make these changes.

Отключение сервера SMBv1 с групповая политикаDisable SMBv1 Server with Group Policy

Эта процедура настраивает следующий новый элемент в реестре:This procedure configures the following new item in the registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  • Запись реестра: SMB1Registry entry: SMB1
  • REG_DWORD: 0 = отключеноREG_DWORD: 0 = Disabled

Чтобы настроить это с помощью групповая политика, выполните следующие действия.To configure this by using Group Policy, follow these steps:

  1. Откройте Консоль управления групповыми политиками.Open the Group Policy Management Console. Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент настройки, а затем щелкните Изменить.Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit.

  2. В дереве консоли в разделе Конфигурация компьютера разверните папку настройки , а затем разверните папку Параметры Windows .In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.

  3. Щелкните правой кнопкой мыши узел реестра , наведите указатель на пункт создать и выберите пункт Реестр.Right-click the Registry node, point to New, and select Registry Item.

В диалоговом окне « Свойства нового реестра» выберите следующие параметры.In the New Registry Properties dialog box, select the following:

  • Действие: создатьAction: Create
  • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
  • Путь к ключу: систем\куррентконтролсет\сервицес\ланмансервер\параметерсKey Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Имя значения: SMB1Value name: SMB1
  • Тип значения: REG_DWORDValue type: REG_DWORD
  • Данные значения: 0Value data: 0

Это отключает серверные компоненты SMBv1.This disables the SMBv1 Server components. Этот групповая политика должен применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.This Group Policy must be applied to all necessary workstations, servers, and domain controllers in the domain.

Примечание

Фильтры WMI также можно настроить таким образом, чтобы исключить Неподдерживаемые операционные системы или выбранные исключения, например Windows XP.WMI filters can also be set to exclude unsupported operating systems or selected exclusions, such as Windows XP.

Важно!

Будьте внимательны при внесении этих изменений на контроллерах домена, на которых устаревшие ОС Windows XP или Linux и сторонние системы (которые не поддерживают протоколы SMB или SMBv3) не нуждаются в доступе к SYSVOL или другим общим папкам, в которых отключен SMB v1.Be careful when you make these changes on domain controllers on which legacy Windows XP or older Linux and third-party systems (that do not support SMBv2 or SMBv3) require access to SYSVOL or other file shares where SMB v1 is being disabled.

Отключение клиента SMBv1 с групповая политикаDisable SMBv1 Client with Group Policy

Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра Services, чтобы отключить запуск MRxSMB10 , а затем зависимость от MRxSMB10 должна быть удалена из записи для LanmanWorkstation , чтобы ее можно было запустить нормально, не требуя запуска MRxSMB10 .To disable the SMBv1 client, the services registry key needs to be updated to disable the start of MRxSMB10 and then the dependency on MRxSMB10 needs to be removed from the entry for LanmanWorkstation so that it can start normally without requiring MRxSMB10 to first start.

При этом будут обновлены и заменены значения по умолчанию в следующих двух элементах реестра:This will update and replace the default values in the following two items in the registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Запись реестра: Start REG_DWORD: 4= отключеноRegistry entry: Start REG_DWORD: 4= Disabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstationHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Запись реестра: депендонсервице REG_MULTI_SZ: "Бовсер", "MRxSmb20", "NSI"Registry entry: DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20″,"NSI"

Примечание

Включенная по умолчанию MRxSMB10, которая теперь удалена как зависимость.The default included MRxSMB10 which is now removed as dependency.

Чтобы настроить это с помощью групповая политика, выполните следующие действия.To configure this by using Group Policy, follow these steps:

  1. Откройте Консоль управления групповыми политиками.Open the Group Policy Management Console. Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент настройки, а затем щелкните Изменить.Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit.

  2. В дереве консоли в разделе Конфигурация компьютера разверните папку настройки , а затем разверните папку Параметры Windows .In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.

  3. Щелкните правой кнопкой мыши узел реестра , наведите указатель на пункт создать и выберите пункт Реестр.Right-click the Registry node, point to New, and select Registry Item.

  4. В диалоговом окне « Свойства нового реестра » выберите следующие параметры.In the New Registry Properties dialog box, select the following:

    • Действие: обновлениеAction: Update
    • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
    • Путь к ключу: SYSTEM\CurrentControlSet\services\mrxsmb10Key Path: SYSTEM\CurrentControlSet\services\mrxsmb10
    • Имя значения: началоValue name: Start
    • Тип значения: REG_DWORDValue type: REG_DWORD
    • Данные значения: 4Value data: 4

  5. Затем удалите зависимость от MRxSMB10 , который был только что отключен.Then remove the dependency on the MRxSMB10 that was just disabled.

    В диалоговом окне « Свойства нового реестра » выберите следующие параметры.In the New Registry Properties dialog box, select the following:

    • Действие: ReplaceAction: Replace
    • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
    • Путь к ключу: систем\куррентконтролсет\сервицес\ланманворкстатионKey Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
    • Имя значения: депендонсервицеValue name: DependOnService
    • Тип значения: REG_MULTI_SZValue type: REG_MULTI_SZ
    • Данные значения:Value data:
      • бовсерBowser
      • MRxSmb20MRxSmb20
      • NSINSI

    Примечание

    Эти три строки не будут содержать маркеры (см. следующий снимок экрана).These three strings will not have bullets (see the following screen shot).

    Значение по умолчанию включает в себя MRxSMB10 во многих версиях Windows, поэтому, заменяя их строкой с несколькими значениями, она действует путем удаления MRxSMB10 в качестве зависимости для LanmanServer и перехода от четырех значений по умолчанию к этим трем приведенным выше значениям.The default value includes MRxSMB10 in many versions of Windows, so by replacing them with this multi-value string, it is in effect removing MRxSMB10 as a dependency for LanmanServer and going from four default values down to just these three values above.

    Примечание

    При использовании консоль управления групповыми политиками не нужно использовать кавычки или запятые.When you use Group Policy Management Console, you don't have to use quotation marks or commas. Просто введите каждую запись в отдельные строки.Just type the each entry on individual lines.

  6. Перезапустите целевые системы, чтобы завершить отключение SMB v1.Restart the targeted systems to finish disabling SMB v1.

Аудит использования SMBv1Auditing SMBv1 usage

Чтобы определить, какие клиенты пытаются подключиться к серверу SMB с помощью SMBv1, можно включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019.To determine which clients are attempting to connect to an SMB server with SMBv1, you can enable auditing on Windows Server 2016, Windows 10, and Windows Server 2019. Вы также можете проводить аудит в Windows 7 и Windows Server 2008 R2, если они установили обновление Май 2018 ежемесячно и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за Июль 2017.You can also audit on Windows 7 and Windows Server 2008 R2 if they installed the May 2018 monthly update and on Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2 if they installed the July 2017 monthly update.

  • Включите параметрEnable:

    Set-SmbServerConfiguration -AuditSmb1Access $true 
  • ВключенDisable:

    Set-SmbServerConfiguration -AuditSmb1Access $false 
  • АвтоматическоеDetect:

    Get-SmbServerConfiguration | Select AuditSmb1Access 

Если включен аудит SMBv1, в журнале событий Микрософт-Виндовс-смбсервер\аудит появляется событие 3000, определяющее каждого клиента, который пытается подключиться с помощью SMBv1.When SMBv1 auditing is enabled, event 3000 appears in the "Microsoft-Windows-SMBServer\Audit" event log, identifying each client that attempts to connect with SMBv1.

СводкаSummary

Если все параметры находятся в одном объекте групповая политика (GPO), групповая политика управления отображает следующие параметры.If all the settings are in the same Group Policy Object (GPO), Group Policy Management displays the following settings.

Тестирование и проверкаTesting and validation

После настройки разрешите репликацию и обновление политики.After these are configured, allow the policy to replicate and update. При необходимости выполните команду gpupdate/Force из командной строки, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно.As necessary for testing, run gpupdate /force at a command prompt, and then review the target computers to make sure that the registry settings are applied correctly. Убедитесь, что SMB V2 и SMB v3 работают для всех остальных систем в среде.Make sure SMB v2 and SMB v3 is functioning for all other systems in the environment.

Примечание

Не забудьте перезапустить целевые системы.Do not forget to restart the target systems.

Как включить или отключить протокол SMBv1 в Windows

Компьютер подвержен вирусным атакам, нередко выводящим его из строя. Для обеспечения безопасности используются антивирусные программы, а разработчики операционных систем снабжают свои продукты защитными компонентами, обеспечивающими базовую защиту. Кроме защитных инструментов, в системе имеются и «проблемные» компоненты, которыми злоумышленники могут воспользоваться с целью выполнения мошеннических операций. Об одном из инструментов такого класса, а именно о его надёжности и соответствии требованиям времени по защите устройств, пойдёт речь в этом повествовании. В этой статье расскажем, что собой являет протокол SMBv1, входящий в состав операционной системы Windows, проанализируем потребность в нём, актуальность его работы, и методы его включения или отключения.

Потребность в поддержке SMBv1 в ОС Windows

Для многих пользователей ПК словосочетание «Протокол SMBv1» является непонятным и  непонятно, нужен ли этот компонент в системе для выполнения конкретных задач. Протокол SMB первой серии является по умолчанию системным компонентом ОС Windows, независимо от её версии, отвечает за файлообменные процессы на ПК, причём его «возраст» составляет около тридцати лет. Естественно, по меркам компьютерных технологий, согласно возрасту протокола, его можно смело назвать устаревшим, но поддержка SMBv1 по непонятным причинам, применяется не только в седьмой или восьмой версии ОС, но и в Windows 10. Причина этого кроется далеко не в некомпетентности разработчиков Microsoft, а в банальном применении файловых продуктов в обиходе, с которыми невозможно будет работать без этого протокола.

ВНИМАНИЕ. На базе этой информации возникает логичный вопрос, почему тогда есть смысл рассуждать о необходимости отключения поддержки, если она до сих пор используется, и даже необходима в определённой сфере компьютерной деятельности? Вирусная атака, несколько лет назад парализовавшая работу компьютерных систем, под именем Petya, внедрилась в ПК именно через уязвимую область. Этим «слабым звеном» и выступал протокол SMB.

Через аналогичную лазейку попадают на ПК и не менее известные программы-вымогатели, к примеру, WannaCry, Satana и подобные им вирусы, способные полностью парализовать функционирование компьютерного устройства. Суть заражения заключается в полной блокировке работоспособности системы, что предусматривает возможную переустановку ОС, в то время как для глобальных компаний такой метод является недопустимым.

Разобравшись в сути проблемы, стоит переходить к вопросу, нужен ли протокол SMB, отвечающий за файлообменные процессы в локальной сети и возможность работы с файлами, надо ли его деактивировать или включить на своём ПК поддержку SMBv1. Если пользователь эксплуатирует приложения, для работы с которыми необходим протокол SMBv1, тогда поддержку надо активизировать, так как в ином случае работать с ними будет невозможно. На официальном сайте Microsoft пользователь самостоятельно может изучить список приложений, для работы с которыми необходима поддержка этого протокола. Если вашим программам не нужна поддержка этого протокола, тогда его нужно отключить, при этом можно оставить в рабочем состоянии последующие версии поддержки класса SMB. Рассмотрим метод включения и отключения протокола SMBv1, различающуюся по процессу выполнения, в зависимости от версии у

Отключение smb v1 или как защититься от wannacrypt

Добрый день уважаемые читатели, в прошлый раз я вам подробно рассказал, как защититься от шифровальщика, если он уже попал к вам на компьютер, сегодня же я хочу рассмотреть вопрос, как не дать ему к вам попасть из вне, мы разберем отключение smb v1 или как защититься от wannacrypt и вируса petya. Уверен, что описанный тут материал окажется для вас весьма полезным и актуальным, так как разновидностей данной заразы, будет еще очень много в будущем.

Что такое протокол SMB v1

Прежде, чем начать перекрывать кислород для вирусов шифровальщиков, я хочу вас познакомить с источником, через который они лезут и называется он протокол Server Message Block (SMB).

Server Message Block - это сетевой протокол, работающий на прикладном уровне модели OSI, для доступа к сетевым ресурсам, принтерам, папкам, для взаимодействия процессов. Наверняка многие из вас знают, такое понятие как UNC пути, вида \\server\share, когда вы обращаетесь к сетевой папке или принтеру, так например, сервер печати Windows, расшаривает их.

Ранее SMB протокол работал и NetBIOS прослойкой, где использовал порты UDP 137-138 и TCP 137, 139, но это было до появления 2000-го Windows, где порт поменяли на 445, он так же применяется и для входа компьютеров в домен Active Directory. Самая первая версию данного протокола, имела название "Common Internet File System" (CIFS ), ее придумали еще в далеких 90-х, я тогда еще пешком под стол ходил. Протокол долго не развивался и приобрел вторую версию, лишь в 2006 году с выходом провальной Windows Vista. Windows 8 уже принесла нам SMB 3.0.

Каждая новая версия реализации протокола, привносила новые возможности, и это логично, необходимо было увеличивать скорость передачи данных, так как локальные сети, уже превращались в гигабитные и очень часто стали появляться твердотельные накопители. Новые версии по старинке, поддерживали предыдущие, для обратной совместимости операционных систем и устройств, это и является Ахиллесовой пятой у него, через который лезут wannacrypt и petya.

Ниже вы можете посмотреть, эволюцию протокола SMB v1 с выходом новых операционных систем.

Для чего отключать smb v1

Расскажу небольшую предысторию о появлении вирусов wannacrypt и petya. В начале 2017 года, одна хакерская команда, смогла взломать службу АНБ и похитить у нее данные, о всевозможных лазейках в компьютерных системах, благодаря которым можно получать удаленный доступ к нужному компьютеру и следить за жертвой, получая о ней все данные. Среди этих дыр безопасности, были лазейки для:

Хакеры попытались продать все сворованное, но в итоге покупателей не нашли, не долго думая они выложили все это в сеть, тут и понеслось, другие хакеры и группы, быстро все это дело понахватали и создали свои вирусы, их очень много, но вот за май и июнь 2017 года, мир выучил названия двух, petya и wannacry (wannacrypt). Оба они используют старую уязвимость в протоколе smb v1, являющийся частью операционных систем Windos XP, вплоть до Windows 10, но у десятки все лучше, там по умолчанию работает версия SMB 3.1.1, поэтому она пока спит спокойно.

Вот посмотрите как выглядит экран блокировки после вируса petya. У пострадавшего компьютера просят 300 долларов в биткоинах, ни в коем случае не отправляйте деньги, вы ничего не получите, так как изначально данная зараза не включала в себя разблокировку.

А вот как выглядит экран после заражения wannacrypt. Как и в случае с Петей, все данные зашифрованы и уже являются цифровым мусором.

Что нужно чтобы не стать жертвой шифровальщиков

Давайте я приведу небольшой чек лист, который вам поможет сделать вашу систему более защищенной:

  1. Своевременно устанавливайте обновления в системе, так как это основная проблема большинства пораженных компьютеров
  2. Не устанавливайте не проверенный софт
  3. Посещайте только проверенные веб ресурсы
  4. Закройте лишние порты на фаэрволе
  5. Не открывайте электронные письма от неизвестных людей.

Как проверить можно ли заразить ваш компьютер

Как я и писал выше, жертвами становятся те компьютеры у кого работает протокол smb v1, который требует отключения. Ниже я вам предоставлю утилиту, с помощью которой вы сможете проверить удовлетворяет ли ваш или другой компьютер в сети, требованиям по безопасности.

KB обновления защищающие от wannacrypt  и Petya

Вот подробный список KB для разных операционных систем Windows:

Windows XP

  • https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Windows Vista и Windows Server 2008

  • KB4012598 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598
  • KB4012598 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598

Windows 7

  • KB4012212 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
  • KB4012215 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215
  • KB4012212 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
  • KB4012215 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows Server 2008 R2

  • KB4012212 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
  • KB4012215 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows 8.1

  • KB4012213 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
  • KB4012216 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216
  • KB4012213 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
  • KB4012216 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows Server 2012 R2

  • KB4012214 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
  • KB4012217 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012217
  • KB4012213 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
  • KB4012216 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows 10

  • KB4012606 -32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
  • KB4012606 -64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
  • Windows 10 1511 - KB4013198 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
  • Windows 10 1511 - KB4013198 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
  • Windows 10 1607 - KB4013429 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429
  • Windows 10 1607 - KB4013429 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Windows Server 2016

  • KB4013429 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Теперь зная нужные KB мы легко можем проверить, где не хватает обновлений и включен протокол smb v1. Ниже я вам предоставлю два метода поиска бреши.

  • Утилита SecurityChecker.v2
  • Power shell

Утилита SecurityChecker.v2

Данная утилита может показать, где включен smb v1 и 2.0, а так же проверить компьютер или компьютеры локальной сети на наличие нужного обновления.

В открывшейся программе, вам необходимо нажать кнопку "Add" и добавить компьютер или компьютеры, требующие проверки. Через кнопку KB вы можете подгрузить файл находящийся в корне утилиты с нужными KB для проверки, после чего нажимаете "Check". По результату проверки, вы увидите, стоит ли вам выполнить отключение smb v1 или же нет. На моем примере, вы видите, что и первая и вторая версии включены.

Проверить протокол smb v1 можно и через powershell. Открываем его от имени администратора и вводим такую команду:

get-hotfix -ComputerName имя вашего компьютера -Id нужная kb

Если у вас есть UNC соединения к вашему компьютеру, то вы можете посмотреть их версии командой

Как отключить smb v1

Я вам хочу рассказать о методах деактивирующих протокол SMB старой версии:

  • Через компоненты Windows
  • Через PowerShell
  • Через реестр Windows
  • Через групповую политику
  • Оставить и установить обновления
  • Через команду sc.exe config

Отключаем smb v1 через компоненты системы

Данный метод подойдет для любой не серверной версии Windows, начиная с Wista и заканчивая Windows 10.Вам необходимо открыть панель управления Windows. Нажимаете одновременно Win+R и в открывшемся окне вводите control panel, это такой универсальный метод, отработает в любой винде.

Находим пункт "Программы и компоненты"

Нажимаем "Включение и отключение компонентов Windows" именно тут, мы уберем доступ для wannacrypt  и petya

Снимаем галку "Поддержка общего доступа к файлам SMB 1.0/CIFS"

Начнется удаление компонента.

Все, теперь потребуется перезагрузка.

Теперь если со старого компьютера, по типу Windpws XP вы попытаетесь попасть на UNC шару, вы увидите ошибку

Если же вам необходимо сохранить его функциональность и быть защищенным, то устанавливаем нужные KB.

Установка KB против wannacrypt и petya

Выше вы найдете список исправлений для протокола smb v1, скачиваете их из центра обновлений.Это будут файлы формата msu.

Производите установку KB.

Вот так выглядит процесс установки KB.

Вам потребуется произвести перезагрузку системы. теперь, когда все обновления у вас установлены вам не страшны вирусы wannacrypt  и petya.

Отключаем smb v1 через powershell

Данный метод подойдет для серверной операционной системы Windows Server 2012 R2 и Windos 8.1, выполните вот такую команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

После ее выполнения smb v1 будет выключен.

Для отключения SMB версии 2 и 3 выполните:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Если захотите включить, то поменяйте $false на $true.

Теперь для Windows 7 и Windows 2008 R2, выполните следующее:

  • Чтобы отключить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

  • Чтобы отключить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

  • Чтобы включить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

  • Чтобы включить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Отключаем smb v1 через реестр

Перед тем как править реестр Windows я советую вам сделать резервную копию, так на всякий случай. Открываем реестр, делается это через нажатие кнопок Win+R и ввода команды regedit.

Находим ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Тут будет параметр SMB1 , по умолчанию там стоит 1, значит включено, меняем его на 0 и закрываем, после перезагрузки все будет выключено. Wannacrypt вас теперь не побеспокоит.

Если нужно отключить SMB2, то находим ветку и меняем там параметр SMB2, так же на ноль.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Отключить через DISM

Откройте командную стоку от имени администратора и введите команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Как видите еще один метод защититься от wannacrypt.

Отключение через sc.exe config

Начиная с Windows 7 вы можете выполнить внутри системы вот такие команды через cmd запущенного от имени администратора:

  • Чтобы отключить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= disabled

  • Чтобы включить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
    sc.exe config mrxsmb10 start= auto

  • Чтобы отключить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi 
    sc.exe config mrxsmb20 start= disabled

  • Чтобы включить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
    sc.exe config mrxsmb20 start= auto

Как защититься от wannacrypt в Active Directory

Когда речь идет о домене Active Directory, то у системного администратора сразу это ассоциируется с групповыми политиками. Давайте посмотрим как GPO поможет нам в массовом отключении smb v1. По сути групповая политика это изменение ключей реестра на клиентах. Открываем редактор и создаем новую политику, прилинковываем ее к нужному организационному подразделению и изменяем.

Политика для серверных ОС

Нас будет интересовать объект "Конфигурация компьютера - Настройка - Конфигурация Windows - Реестр", создаем элемент реестра.

  • Действие: Создать
  • Куст: HKEY_LOCAL_MACHINE
  • Путь к разделу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Имя параметра: SMB1
  • Тип значения: REG_DWORD.
  • Значение: 0

Политика для клиентских ОС

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров. Сначала отключим службу протокола SMB v1:

  • путь: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
  • параметр: REG_DWORD c именем Start;
  • значение: 4.

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

  • путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
  • параметр: REG_MULTI_SZ с именем DependOnService;
  • значение: три строки – Bowser, MRxSmb20 и NSI.

Клиентским компьютерам осталось только перезагрузиться и все будет отключено

Учтите, что выключив smb v1, вы защититесь конечно от wannacrypt  и petya, но будьте осторожны, если у вас в локальной сети остались старые компьютеры, они не смогут связаться с контроллерами домена и не смогут пройти аутентификацию, так как не умеют работать по SMB 2

Как отключить протокол SMBv1 в Windows 7, 8, 8.1, 10?

SMBv1 является устаревшим протоколом, который подвергается атакам вирусов вымогателей, например, WannaCry. Рассмотрим, как отключить протокол SMBv1 в Windows и полностью его заблокировать.

Зачем нужна поддержка SMBv1 в Windows

SMBv1 это устаревший протокол обмена файлами, которому уже приблизительно 30 лет. В связи с чем может быть использоваться различными видами вирусов, как калитка, предоставляющая доступ к нашему компьютеру. Нашумевшим подтверждением этому является вирус вымогатель WannaCry, который заразил десятки тысяч операционных систем, зашифровал на них файлы и требовал оплату за расшифровку данных.

Проблемы можно было избежать, если бы протокол был выключен на компьютере. И все-таки, стоит его отключить. Несмотря на то, что Майкрософт выпустил патчи для устранения уязвимости даже для старых систем, неизвестно что через некоторое время не появится еще одна итерация вируса WannaCry, который использует дырявый протокол SMBv1 иным образом. Рассмотрим, как полностью отключить протокол в Windows XP, 7, 8, 8.1 и 10?

Выключение SMBv1 в Windows 7, Server 2008, Server 2008 R2

Откройте меню Пуск, а затем с помощью поисковой системы найдите программу PowerShell. В списке результатов поиска кликните на нее правой кнопкой мыши и выберите «запуск от имени администратора».

В окне PowerShell введите следующую команду для отключения SMBv1:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 0 -Force

После выполнения команды перезапустите Windows. Таким образом можно блокировать проникновение вирусов полностью отключив поддержку smbv1.

Выключение SMBv1 в Windows 8 и выше

Зайдите в Панель управления, а затем в «Программы – Удаление Программ». Откроется список программ, установленных в системе. В левом меню кликните на кнопку «Включение или отключение компонентов Windows».

Отобразится окно, в котором у нас появляется возможность управлять отдельными функциями Windows. Здесь нужно найти SMBv1 и отключить его.

Поддержка общего доступа к файлам SMB1.0/CIFS

По умолчанию напротив этой записи установлен флажок, это означает, что функция активирована. Снимите его и нажмите на ОК, чтобы ее отключить.

Появится индикатор хода выключения функции. Затем нажмите на кнопку «Перезагрузка», чтобы завершить отключение через перезапуск компьютера. После перезагрузки протокол будет полностью отключен.

Дополнительная блокировка портов с помощью Брандмауэра

Если хотите обезопасить себя еще больше хорошей идеей является блокирование портов, которые использует SMBv1. Это 445 TCP и 137-139 UDP. Их можно легко отключить с помощью встроенного в систему Брандмауэра.

С помощью системного поиска в меню Пуск найдите инструмент «Брандмауэр Windows». В окне брандмауэра кликните правой кнопкой мыши на поле «Правила для входящих подключений» и выберите пункт «Новое правило».

Здесь укажите тип «Port» и нажмите «Далее». В следующем шаге нужно указать тип. Выберите «TCP», а затем в поле «Определенные локальные порты» введите 445.

Нажмите на кнопку «Далее». В следующем окне нужно выбрать действие с указанным портом. Установите флажок «Блокировать подключение».

Нажмите «Далее» и все остальные настройки оставьте без изменений. На последнем шаге введите название для созданного правила – например, «Блокировка 445» и нажмите «Готово».

Созданное правило будет блокировать порт 445. Теперь создайте правило для блокировки UDP-портов в диапазоне 137-139. Все сделайте точно также только тип укажите UDP, а поле «Определенные локальные порты» введите 137-139.

Таким образом, созданы два правила, которые блокируют соединение по портам и тем самым вирусные атаки, проникающие через этот протокол.

Включение/отключение протоколов SMB в Windows

Windows 8, 10 и Windows Server 2012, 2016

В Windows 8, 10 и Windows Server 2012, 2016 представлен командлет Windows PowerShell Set-SMBServerConfiguration. Он позволяет включать или отключать протоколы SMB версии 1, 2, 3.

При включении или отключении протокола SMB версии 2 в Windows или Windows Server также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.

После выполнения командлета Set-SMBServerConfiguration не требуется перезагрузка компьютера.

Узнать состояние

  • Чтобы получить текущее состояние конфигурации протокола SMB-сервера, выполните следующий командлет:

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Отключить
  • Чтобы отключить протокол версии 1 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Set-SmbServerConfiguration -EnableSMB1Protocol $false

  • Чтобы отключить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Включить
  • Чтобы включить протокол версии 1 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB1Protocol $true

Set-SmbServerConfiguration -EnableSMB1Protocol $true

  • Чтобы включить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Set-SmbServerConfiguration -EnableSMB2Protocol $true


Windows 7 и Windows Server 2008 R2

Windows PowerShell 2.0

Чтобы включить или отключить протоколы SMB на сервере с Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, воспользуйтесь Windows PowerShell или редактором реестра.

Отключить

  • Чтобы отключить протокол версии 1 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer" -Name DependOnService -Value "SamSS,Srv2"

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer" -Name DependOnService -Value "SamSS,Srv2"

  • Чтобы отключить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Включить
  • Чтобы включить протокол версии 1 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

  • Чтобы включить протоколы версии 2 и 3 на сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

После внесения этих изменений компьютер необходимо перезагрузить.


Редактор реестра

Сервер
  • Чтобы включить или отключить протокол версии 1 на сервере, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Запись реестра: SMB1
REG_DWORD: 0 = отключено
REG_DWORD: 1 = включено
По умолчанию: 1 = включено

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer

Запись реестра: DependOnService

REG_MULTI_SZ: SamSS,Srv2
По умолчанию: SamSS,Srv

  • Чтобы включить или отключить протокол версии 2 на сервере, настройте следующий раздел реестра:
    Подраздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Запись реестра: SMB2
REG_DWORD: 0 = отключено
REG_DWORD: 1 = включено
По умолчанию: 1 = включено
Клиент
  • Как включить и отключить протоколы SMB на клиенте Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

При включении или отключении протокола SMB версии 2 в Windows 8 или Windows Server 2012 также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.

Эти команды следует вводить в командной строке с повышенными привилегиями.
После внесения этих изменений компьютер необходимо перезагрузить.

Отключить

  • Чтобы Отключить протокол версии 1 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= disabled

  • Чтобы Отключить протокол версии 2 и 3 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi

 

sc.exe config mrxsmb20 start= disabled

Включить
  • Чтобы Включить протокол версии 1 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi

sc.exe config mrxsmb10 start= auto

  • Чтобы Включить протокол версии 2 и 3 на клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi

sc.exe config mrxsmb20 start= auto

 

Help Microsoft https://support.microsoft.com/ru-ru/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and

Как обнаружить, включить и отключить SMBv1, SMBv2 и SMBv3 в Windows

  • На чтение 9 минут

В этой статье

Применимо к: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описывается, как включить и отключить серверный блок сообщений (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) в клиентских и серверных компонентах SMB.

Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, SMBv1 имеет значительные уязвимости безопасности, и мы настоятельно рекомендуем вам не использовать его.

Отключение SMBv2 или SMBv3 для устранения неполадок

Хотя мы рекомендуем оставить SMBv2 и SMBv3 включенными, вы можете счесть полезным временно отключить один из них для устранения неполадок, как описано в разделе Как определять состояние, включать и отключать протоколы SMB на сервере SMB.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функциональность SMBv2, описанную в предыдущем списке):

  • Transparent Failover - клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
  • Scale Out - одновременный доступ к общим данным на всех узлах файлового кластера
  • Многоканальный - агрегирование пропускной способности сети и отказоустойчивости, если между клиентом и сервером доступно несколько путей
  • SMB Direct - добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП
  • Шифрование - обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях
  • Directory Leasing - сокращает время отклика приложений в филиалах за счет кэширования
  • Оптимизация производительности - оптимизация для небольших операций ввода-вывода произвольного чтения / записи

В Windows 7 и Windows Server 2008 R2 отключение SMBv2 деактивирует следующие функции:

  • Составление запросов - позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
  • Больше операций чтения и записи - лучшее использование более быстрых сетей
  • Кэширование свойств папок и файлов - клиенты сохраняют локальные копии папок и файлов
  • Надежные ручки - позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
  • Улучшенная подпись сообщений - HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
  • Улучшенная масштабируемость для совместного использования файлов - количество пользователей, общих ресурсов и открытых файлов на сервере значительно увеличилось
  • Поддержка символических ссылок
  • Модель аренды клиентской оппортунистической блокировки - ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB
  • Поддержка большого MTU - для полноценного использования 10-гигабайтного (ГБ) Ethernet
  • Повышенная энергоэффективность - клиенты, у которых есть открытые файлы на сервере, могут спать

Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012.Дополнительные сведения о возможностях SMBv2 и SMBv3 см. В следующих статьях:

Обзор блока сообщений сервера

Что нового в SMB

Как удалить SMB v1

Вот как удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.

Методы PowerShell
SMB v1 (клиент и сервер)
  • Обнаружить:

      Get-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • Отключить:

      Отключить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • Включить:

      Включить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера сервера для отключения SMB
SMB v1

Windows 8.1 и Windows 10: метод PowerShell
Протокол SMB v1
  • Обнаружить:

      Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • Отключить:

      Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • Включить:

      Включить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
Протокол SMB v2 / v3 (отключает только сервер SMB v2 / v3)
  • Обнаружить:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • Отключить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  
Windows 8.1 и Windows 10: метод установки и удаления программ

Как определить статус, включить и отключить протоколы SMB на сервере SMB

для Windows 8 и Windows Server 2012

Windows 8 и Windows Server 2012 представляют новый командлет Set-SMBServerConfiguration Windows PowerShell. Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.

Примечание

Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается.Это происходит потому, что эти протоколы используют один и тот же стек.

Нет необходимости перезагружать компьютер после выполнения командлета Set-SMBServerConfiguration .

SMB v1 на сервере SMB
  • Обнаружить:

      Get-SmbServerConfiguration | Выберите EnableSMB1Protocol.  
  • Отключить:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ false  
  • Включить:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ true  

Для получения дополнительной информации см. Хранилище сервера в Microsoft.

SMB v2 / v3 на сервере SMB
  • Обнаружить:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • Отключить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  

для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы включить или отключить протоколы SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Методы PowerShell

Примечание

Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

SMB v1 на сервере SMB

Обнаружить:

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

Конфигурация по умолчанию = Включено (раздел реестра не создается), поэтому значение SMB1 не возвращается

Отключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

Примечание После внесения этих изменений необходимо перезагрузить компьютер.Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB v2 / v3 на сервере SMB

Обнаружить:

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

Отключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

Редактор реестра

Важно

Внимательно выполните действия, описанные в этом разделе. При неправильном изменении реестра могут возникнуть серьезные проблемы. Перед внесением изменений создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Примечание

После внесения этих изменений необходимо перезагрузить компьютер.

Как определить статус, включить и отключить протоколы SMB на SMB-клиенте

для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Примечание

Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит потому, что эти протоколы используют один и тот же стек.

SMB v1 на клиенте SMB
  • Обнаружить

      сбн.exe qc lanmanworkstation  
  • Отключить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb20 / nsi sc.exe config mrxsmb10 start = отключено  
  • Включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb10 start = auto  

Для получения дополнительной информации см. Хранилище сервера в Microsoft

.
SMB v2 / v3 на клиенте SMB
  • Обнаружить:

      сбн.exe qc lanmanworkstation  
  • Отключить:

      sc.exe конфигурация lanmanworkstation зависит = bowser / mrxsmb10 / nsi sc.exe config mrxsmb20 start = отключено  
  • Включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb20 start = auto  

Примечание

  • Эти команды необходимо запускать из командной строки с повышенными привилегиями.
  • После внесения этих изменений необходимо перезагрузить компьютер.

Отключить сервер SMBv1 с помощью групповой политики

Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  • Запись в реестре: SMB1
  • REG_DWORD: 0 = Отключено

Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Откройте консоль управления групповой политикой .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

  2. В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

  3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .

В диалоговом окне New Registry Properties выберите следующее:

  • Действие : Создать
  • Улей : HKEY_LOCAL_MACHINE
  • Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
  • Имя значения : SMB1
  • Тип значения : REG_DWORD
  • Значение данных : 0

Отключает компоненты сервера SMBv1.Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Примечание

Фильтры WMI

также могут быть настроены для исключения неподдерживаемых операционных систем или выбранных исключений, таких как Windows XP.

Важно

Будьте осторожны при внесении этих изменений на контроллеры домена, на которых устаревшая Windows XP или более ранняя версия Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен.

Отключить клиент SMBv1 с помощью групповой политики

Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы отключить запуск MRxSMB10 , а затем нужно удалить зависимость от MRxSMB10 из записи для LanmanWorkstation , чтобы он мог нормально запускаться без необходимости MRxSMB10 до первого запуска.

Это обновит и заменит значения по умолчанию в следующих двух элементах реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

Запись реестра: Начало REG_DWORD: 4 = Отключено

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

Запись реестра: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20 ″,« NSI »

Примечание

По умолчанию включен MRxSMB10, который теперь удален как зависимость.

Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Откройте консоль управления групповой политикой . Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

  2. В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

  3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .

  4. В диалоговом окне New Registry Properties выберите следующее:

    • Действие : Обновление
    • Улей : HKEY_LOCAL_MACHINE
    • Путь к ключу : SYSTEM \ CurrentControlSet \ services \ mrxsmb10
    • Имя значения : Начало
    • Тип значения : REG_DWORD
    • Значение данных : 4

  5. Затем удалите зависимость от MRxSMB10 , которая была только что отключена.

    В диалоговом окне New Registry Properties выберите следующее:

    • Действие : заменить
    • Улей : HKEY_LOCAL_MACHINE
    • Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
    • Имя значения : DependOnService
    • Тип значения : REG_MULTI_SZ
    • Значение данных :

    Примечание

    Эти три строки не будут иметь патронов (см. Следующий снимок экрана).

    Значение по умолчанию включает MRxSMB10 во многих версиях Windows, поэтому, заменяя их этой многозначной строкой, он фактически удаляет MRxSMB10 как зависимость для LanmanServer и переходит от четырех значений по умолчанию к этим три значения выше.

    Примечание

    При использовании консоли управления групповой политикой не нужно использовать кавычки или запятые. Просто введите каждую запись в отдельной строке.

  6. Перезапустите целевые системы, чтобы завершить отключение SMB v1.

Аудит использования SMBv1

Чтобы определить, какие клиенты пытаются подключиться к SMB-серверу с SMBv1, вы можете включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Вы также можете проводить аудит в Windows 7 и Windows Server 2008 R2, если они установили майский Ежемесячное обновление 2018 г. и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за июль 2017 г.

  • Включить:

      Set-SmbServerConfiguration -AuditSmb1Access $ true  
  • Отключить:

      Set-SmbServerConfiguration -AuditSmb1Access $ false  
  • Обнаружить:

      Get-SmbServerConfiguration | Выберите AuditSmb1Access  

Когда включен аудит SMBv1, в журнале событий «Microsoft-Windows-SMBServer \ Audit» появляется событие 3000, идентифицирующее каждого клиента, который пытается подключиться к SMBv1.

Сводка

Если все параметры находятся в одном объекте групповой политики (GPO), Управление групповой политикой отображает следующие параметры.

Тестирование и валидация

После их настройки разрешите репликацию и обновление политики. При необходимости для тестирования запустите gpupdate / force в командной строке, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно. Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Примечание

Не забудьте перезагрузить целевые системы.

.

Как включить / отключить SMBv1, SMBv2 и SMBv3 в Windows и Windows Server - Руководство по развертыванию безопасности

В этой статье описывается, как включить и отключить серверный блок сообщений (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2), и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.

Затронутая функциональность

Примечание : Мы не рекомендуем отключать SMBv2 или SMBv3. Отключите SMBv2 или SMBv3 только в качестве временной меры по устранению неполадок. Не оставляйте SMBv2 или SMBv3 отключенными.

Отключение SMBv2

В Windows 7 и Windows Server 2008 R2 отключение SMBv2 отключает следующие функции:

  • Составление запросов - позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
  • Увеличение объема операций чтения и записи - лучшее использование более быстрых сетей
  • Кэширование свойств папок и файлов - клиенты хранят локальные копии папок и файлов
  • Надежные дескрипторы - разрешить подключение для прозрачного переподключения к серверу при временном отключении
  • Улучшенная подпись сообщений - HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
  • Улучшенная масштабируемость для совместного использования файлов - количество пользователей, общих и открытых файлов на сервере значительно увеличились
  • Поддержка символических ссылок
  • Модель аренды клиентской оппортунистической блокировки - ограничивает данные, передаваемые между клиентом и сервером, улучшая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB
  • Поддержка большого MTU - для полного использования 10- Gigabyte (GB) Ethernet
  • Повышенная энергоэффективность - клиенты, у которых есть открытые файлы на сервере может спать

Отключение SMBv3

В Windows 8, Windows 8.1, Windows 10, Windows Server 2012 и Windows Server 2016, отключение SMBv3 деактивирует следующие функции (а также функции SMBv2, описанные в предыдущем списке):

  • Transparent Failover - клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
  • Scale Out - одновременный доступ к общим данным на всех узлах файлового кластера
  • Многоканальный - агрегирование пропускной способности сети и отказоустойчивость, если между клиентом и сервер
  • SMB Direct - добавляет поддержку сети RDMA для очень высокой производительности, с низкой задержкой и низкой загрузкой ЦП
  • Шифрование - Обеспечивает сквозное шифрование и защищает от прослушивания в ненадежных сетях
  • Аренда каталога - Улучшает время отклика приложений в филиалы посредством кэширования
  • Оптимизация производительности - оптимизация для небольших операций ввода-вывода произвольного чтения / записи

Как включить и отключить протоколы SMB на сервере SMB

Для Windows 8 и Windows Server 2012

Windows 8 и Windows Server 2012 представляет новый Set-SMBServerConfigurat ion командлет Windows PowerShell.Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.

Примечание : Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит потому, что эти протоколы используют один и тот же стек.

Командлет Set-SMBServerConfiguration

Нет необходимости перезагружать компьютер после выполнения командлета Set-SMBServerConfiguration.

  • Чтобы получить текущий статус конфигурации протокола SMB-сервера, запустите следующий командлет:

     
    1. Get-SmbServerConfiguration | Выберите EnableSMB1Protocol, EnableSMB2Protocol
  • Чтобы отключить SMBv1 на сервере SMB, запустите следующий командлет:

     
    1. Set-SmbServerConfiguration -EnableSMB1Protocol $ false
  • Чтобы отключить SMBv2 и SMBv3 на сервере SMB, запустите следующие командлеты:

     
    1. Set-SmbServerConfiguration -EnableSMB2Protocol $ false
  • Чтобы включить SMBv1 на сервере SMB, выполните следующий командлет:

     
    1. Set-SmbServerConfiguration -EnableSMB1Protocol $ true
  • Чтобы включить SMBv2 и SMBv3 на сервере SMB, запустите следующий командлет:

     
    1. Set-SmbServerConfiguration -EnableSMB2Protocol $ true

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Для включения или отключения протоколов SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008 используйте Windows PowerShell или редактор реестра.

Методы PowerShell

Примечание : Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

  • Чтобы отключить SMBv1 на сервере SMB, запустите следующий командлет:

     
    1. Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
  • Чтобы отключить SMBv2 и SMBv3 на сервере SMB, запустите следующие командлеты:

     
    1. Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force
  • Чтобы включить SMBv1 на сервере SMB, запустите следующее командлет:

     
    1. Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force
  • Чтобы включить SMBv2 и SMBv3 на сервере SMB, запустите следующий командлет:

     
    1. Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force

Примечание : Вы должны перезагрузить компьютер после того, как вы внести эти изменения.

Редактор реестра

Примечание : Это следующее содержимое содержит информацию о том, как изменить реестр. Убедитесь, что вы создали резервную копию реестра, прежде чем вносить в него изменения. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании, восстановлении и изменении реестра см. В разделе Резервное копирование и восстановление реестра в Windows.

  • Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

    • Подраздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
    • Запись реестра: SMB1
    • REG_DWORD: 0 = отключено
    • REG_DWORD: 1 = включено
    • раздел реестра по умолчанию: 1 = включено Создано)
  • Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:

    • Подраздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
    • Запись реестра: SMB2
    • REG_DWORD: 0 = отключено
    • REG_DWORD: 1 = включено
    • раздел реестра по умолчанию: 1 = включено создано)

Примечание : После внесения этих изменений необходимо перезагрузить компьютер

Как включить и отключить протоколы SMB на SMB-клиенте

Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Примечание : Когда вы включаете или отключаете SMBv2 в В Windows 8 или Windows Server 2012 SMBv3 также включен или отключен.Это происходит потому, что эти протоколы используют один и тот же стек.

  • Чтобы отключить SMBv1 на SMB-клиенте, выполните следующую команду:

     
    1. sc.exe config lanmanworkstation зависимость = bowser / mrxsmb20 / nsi
    2. sc.exe config mrxsmb10 start = disabled
  • Чтобы включить SMBv1 на SMB-клиенте, выполните следующую команду:

     
    1. sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi
    2. sc.exe config mrxsmb10 start = auto
  • Чтобы отключить SMBv2 и SMBv3 на SMB-клиенте, выполните следующую команду:

     
    1. sc.exe config lanmanworkstation зависимость = bowser / mrxsmb10 / nsi
    2. sc.exe config mrxsmb20 start = disabled
  • Чтобы включить SMBv2 и SMBv3 на SMB-клиенте, выполните следующую команду:

     
    1. sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi
    2. sc.exe config mrxsmb20 start = auto

Примечание :

  • Эти команды необходимо запускать в командной строке с повышенными привилегиями.
  • После внесения этих изменений необходимо перезагрузить компьютер.

Отключить сервер SMBv1 с помощью групповой политики

Это настраивает следующий новый элемент в реестре

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

Запись реестра: SMB1 REG_DWORD: 0 = отключено

Процедура

Для настройки с помощью групповой политики:

  1. Откройте консоль управления групповой политикой .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

  2. В дереве консоли в разделе Конфигурация компьютера разверните папку Preferences , а затем разверните папку Windows Settings .

  3. Щелкните правой кнопкой мыши узел Registry , укажите на New и выберите Registry Item .

  4. В диалоговом окне «Новые свойства реестра» выберите следующее:

    • Действие: Создать
    • Улей: HKEY_LOCAL_MACHINE
    • Путь к ключу: SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
    • Имя значения: SMB1
    • Тип значения: REG_DWORD
    • Данные значения: 0

  5. Отключает компоненты сервера SMBv1.Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Примечание : будьте осторожны при внесении этих изменений на контроллерах домена, где устаревшая Windows XP или более старые Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен .

Отключить клиент SMBv1 с групповой политикой

Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы запретить запуск MRxSMB10, а затем необходимо удалить зависимость от MRxSMB10 из записи для LanmanWorkstation, чтобы он мог нормально запускаться без необходимости MRxSMB10 для первого запуска.

Это обновляет и заменяет значения по умолчанию в следующих 2 элементах реестра

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

    Запись реестра: Start REG_DWORD: 4 = Disabled

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

    Запись реестра: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20 ″,« NSI »

Примечание : по умолчанию включен MRxSMB10, который теперь удален как зависимость

Процедура

Для настройки с помощью групповой политики:

  1. Откройте консоль управления групповой политикой .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

  2. В дереве консоли в разделе Конфигурация компьютера разверните папку Preferences , а затем разверните папку Windows Settings .

  3. Щелкните правой кнопкой мыши узел Registry , укажите на New и выберите Registry Item .

  4. В диалоговом окне «Новые свойства реестра» выберите следующее:

    • Действие: Обновление
    • Улей: HKEY_LOCAL_MACHINE
    • Путь к ключу: SYSTEM \ CurrentControlSet \ services \ mrxsmb10
    • Имя значения: Начало
    • Тип значения: REG_DWORD
    • Данные значения: 4

    Затем удалите зависимость от MRxSMB10, которая была только что отключена

  5. В диалоговом окне «Новые свойства реестра» выберите следующее:

Значение по умолчанию включает MRxSMB10 во многих версиях Windows, поэтому, заменяя их этой многозначной строкой, фактически удаляется MRxSMB10 как зависимость для LanmanServer и происходит переход от четырех значений по умолчанию только к этим трем предыдущим значениям.

Примечание : При использовании консоли управления групповыми политиками нет необходимости использовать кавычки или запятые. Просто введите каждую запись в отдельной строке, как показано выше.

Требование перезагрузки

После применения политики и настройки параметров реестра необходимо перезагрузить систему, прежде чем SMB v1 будет отключен.

Сводка

Если все параметры находятся в одном объекте групповой политики (GPO), Управление групповой политикой показывает параметры ниже.

Тестирование и проверка

После их настройки разрешите репликацию и обновление политики. При необходимости для тестирования запустите gpupdate / force из приглашения CMD.EXE , а затем просмотрите целевые машины, чтобы убедиться, что настройки реестра применяются правильно. Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Примечание : Вы должны перезапустить целевые системы.

Как аккуратно удалить SMB v1 в Windows 8.1, Windows 10, Windows 2012 R2 и Windows Server 2016

Windows Server 2012 R2 и Windows Server 2016: метод диспетчера сервера для отключения SMB

Windows Server 2012 R2 и 2016: методы PowerShell (Remove-WindowsFeature FS-SMB1)

Windows 8.1 и Windows 10: метод «Установка и удаление программ»

Windows 8.1 и Windows 10: метод Powershell (Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol)

Спасибо! Мы получили ваш отзыв.

.

Как отключить / включить SMB v 1.0 в Windows 10 / Server 2016?

В Windows Server 2016/2019 и Windows 10 (начиная со сборки 1709) сетевой протокол Server Message Block 1.0 (SMBv1), используемый для доступа к общим папкам, по умолчанию отключен. В большинстве случаев этот протокол требуется для доступа к общим папкам, размещенным в устаревших системах, таких как Windows XP, Windows Server 2003 и более старые ОС, которые больше не поддерживаются. В этой статье мы рассмотрим, как включить или отключить поддержку клиента и сервера SMBv1 в Windows 10 и Windows Server 2016/2019.

Если в вашей сети не осталось клиентов SMB 1.x, необходимо полностью отключить SMBv1 на всех устройствах Windows. Отключив SMB 1.0, вы можете защитить компьютеры с Windows от широкого спектра уязвимостей в этом устаревшем протоколе (самый известный публичный эксплойт для SMBv1 - EternalBlue). В результате ваши устройства будут использовать новые, более эффективные, безопасные и функциональные версии протокола SMB при доступе к общим сетевым ресурсам.

В одной из предыдущих статей мы показали таблицу совместимости клиентских и серверных версий SMB.Согласно таблице, старые версии клиентов (XP, Server 2003 и некоторые * nix-клиенты) могут обращаться к сетевым папкам общего доступа только по протоколу SMB v1.0. Если таких клиентов в сети нет, вы можете полностью отключить SMB 1.0 на стороне файловых серверов (включая контроллеры домена AD) и клиентских рабочих столов.

В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента - SMB-клиент и SMB-сервер , которые можно включать / отключать независимо.

Аудит доступа к общей папке через SMB v1.0

Перед отключением или полным удалением драйвера SMB 1.0 на стороне файлового сервера SMB стоит убедиться, что в вашей сети нет старых клиентов, которые его используют. Для этого включите аудит доступа к файловому серверу по SMB v1.0 с помощью следующей команды PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $ true

Через несколько дней откройте средство просмотра событий на сервере, проверьте журнал Applications and Services -> Microsoft -> Windows -> SMBServer -> Audi t и посмотрите, обращались ли какие-либо клиенты к файловому серверу через SMB1.

Наконечник. Вы можете отобразить список событий из этого журнала событий, используя следующую команду PowerShell:
Get-WinEvent -LogName Microsoft-Windows-SMBServer / Audit

В нашем примере в журнале было обнаружено событие с EventID 3000 из источника SMBServer . Событие означает, что клиент 192.168.1.10 пытается получить доступ к серверу по протоколу SMB1.

 доступ SMB1 Адрес клиента: 192.168.1.10 Руководство: Это событие указывает на то, что клиент попытался получить доступ к серверу с помощью SMB1. Чтобы остановить аудит доступа SMB1, используйте командлет Windows PowerShell Set-SmbServerConfiguration. 

Вам необходимо найти этот компьютер или устройство в сети и обновить ОС или прошивку до версии, которая поддерживает новые версии протокола SMB: SMBv2 или SMBv3.

В нашем случае мы проигнорируем эту информацию, но следует иметь в виду, что позже этот клиент не сможет получить доступ к общим папкам на этом сервере SMB.

Включение / отключение SMB 1.0 в Windows Server 2016/2019

В Windows Server 2016, начиная со сборки 1709 и Windows Server 2019, SMBv1 по умолчанию отключен. Чтобы включить поддержку клиентского протокола SMBv1 в новых версиях Windows Server, необходимо установить отдельную функцию SMB 1.0 / CIFS File Sharing Support .

Вы можете установить компонент SMBv1 с помощью диспетчера сервера или PowerShell.

Вы можете проверить, включен ли SMBv1 с помощью команды PowerShell:

Get-WindowsFeature | Где-Объект {$ _.name -eq "FS-SMB1"} | ft Имя, Installstate

Чтобы установить компонент FS-SMB1 , запустите:

Установка-Windows Функция FS-SMB1

Чтобы удалить компонент клиента SMBv1 (требуется перезагрузка), выполните команду:

Uninstall-WindowsFeature –Name FS-SMB1 –Remove

Другая команда PowerShell, которая также удаляет функцию SMB1Protocol:

Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Удалить

Для того, чтобы ваш сервер обрабатывал SMBv1.0 необходимо включить поддержку SMBv1 на уровне файлового сервера SMB в дополнение к компоненту FS-SMB1 . Чтобы проверить, включен ли доступ SMBv1 для общих сетевых ресурсов на вашем сервере, запустите:

Get-SmbServerConfiguration

Строка « EnableSMB1Protocol: True » означает, что вам разрешен доступ к общим папкам на этом сервере с использованием протокола SMBv1. Чтобы отключить поддержку сервера SMBv1 в Windows Server, выполните команду PowerShell:

Set-SmbServerConfiguration -EnableSMB1Protocol $ false -Force

Теперь используйте командлет Get-SmbServerConfiguration , чтобы убедиться, что сервер SMB1 отключен.

Чтобы включить поддержку SMBv1 на сервере, выполните команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $ True -Force

В Windows 7/8 и Windows Server 2008 R2 / 2012, чтобы отключить клиент SMB 1.0, необходимо отключить службу и драйвер доступа SMBv1 с помощью команд:

sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = disabled

Как включить / отключить SMBv1 в Windows 10?

Как мы уже говорили, во всех новых сборках Windows10 (начиная с 1709) отключена поддержка протокола SMB1 (гостевой доступ по протоколу SMBv2 также отключен).

В Windows 10 вы можете проверить состояние компонентов протокола SMBv1 с помощью команды DISM:

Dism / online / Get-Features / формат: таблица | найти "SMB1Protocol"

В нашем примере вы можете видеть, что все функции SMBv1 отключены:

 SMB1Protocol | Отключено SMB1Protocol-Client | Отключено SMB1Protocol-Сервер | Отключено SMB1Protocol-Устаревший | Инвалид 

В Windows 10 вы также можете управлять функциями SMB 1 с панели управления ( optionalfeatures.exe ). Разверните параметр SMB 1.0 / CIFS File Sharing Support . Как видите, здесь также доступны 3 компонента SMBv1:

  • SMB 1.0 / CIFS Автоматическое удаление
  • Клиент SMB 1.0 / CIFS
  • Сервер SMB 1.0 / CIFS

Вы можете включить клиент и сервер SMBv1 в Windows 10 из окна управления функциями или с помощью команд:

Dism / online / Enable-Feature / FeatureName: «SMB1Protocol»
Dism / online / Enable-Feature / FeatureName: «SMB1Protocol-Client»
Dism / online / Enable-Feature / FeatureName: «SMB1Protocol-Server»

Вы также можете включить сервер и клиент SMBv1 в Windows 10 с помощью PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Если после включения клиента SMBv1 он не используется более 15 дней, он автоматически отключается.

Автоматическое удаление клиента SMBv1 - разовая операция. Если администратор снова включит SMBv1 вручную, он не будет отключен автоматически.

Чтобы отключить поддержку клиента и сервера SMB1 в Windows 10, выполните следующие команды DISM:

Dism / online / Disable-Feature / FeatureName: «SMB1Protocol»
Dism / online / Disable-Feature / FeatureName: «SMB1Protocol-Client»
Dism / online / Disable-Feature / FeatureName: «SMB1Protocol-Server»

Если вы отключили клиент SMBv1 в Windows 10, то при доступе к привязанной папке на файловом сервере, который поддерживает только SMBv1 (протоколы SMBv2 и v3 отключены или не поддерживаются), вы можете получить следующие ошибки:

  •  0x80070035 Сетевой путь не найден; 
  •  Невозможно подключиться к общим файловым ресурсам, потому что это небезопасно.Для этого общего ресурса требуется устаревший протокол SMB1, который небезопасен и может подвергнуть вашу систему атакам; 
  •  Вы не можете подключиться к общей папке, потому что это небезопасно. Для этого общего ресурса требуется устаревший протокол SMB1, который небезопасен и может подвергнуть вашу систему атаке. Ваша система требует SMB2 или выше. 

Кроме того, если отключить клиент SMBv1, служба Computer Browser , которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети, перестает работать на компьютере.Чтобы правильно отображать соседние компьютеры в сети Windows 10, необходимо настроить службу Feature Discovery Provider Host (см. Эту статью).

Отключение клиента и сервера SMBv1 с помощью групповой политики

В среде домена Active Directory вы можете отключить SMBv1 на всех серверах и компьютерах с помощью групповых политик (GPO). Поскольку в стандартных групповых политиках Windows нет отдельной политики конфигурации SMB, вам придется отключить ее через политику реестра.

  1. Откройте консоль управления групповой политикой ( gpmc.msc ), создайте новый объект групповой политики ( disableSMBv1 ) и свяжите его с OU, содержащим компьютеры, на которых вы хотите отключить SMB1;
  2. Перейти в режим редактирования политики. Разверните раздел GPO Computer Configuration -> Preferences -> Windows Settings -> Registry ;
  3. Создайте новый элемент реестра со следующим параметром:
    Действие: Обновление
    Улей: HKEY_LOCAL_MACHINE
    Путь к ключу: SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
    Имя значения: SMB1
    Тип значения: REG_DWORD
    Значение данных: 0

    Эта политика отключит поддержку компонента сервера SMBv1 через реестр на всех компьютерах.Вы можете исключить некоторую версию Windows из этой политики с помощью фильтра WMI.

Если вы хотите отключить клиент SMB на компьютерах домена через GPO, создайте два дополнительных параметра реестра:

  • Параметр Start (тип REG_DWORD) со значением 4 в разделе реестра HKLM \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10;
  • Параметр DependOnService (тип REG_MULTI_SZ) со значением Bowser , MRxSmb20 , NSI (каждое значение в новой строке) в ключе реестра HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation.

Осталось обновить настройки групповой политики на клиентах ( gpupdate / force ) после перезагрузки убедиться, что компоненты SMBv1 полностью отключены.

Объекты групповой политики Security Baseline из набора Microsoft Security Compliance Toolkit имеют отдельный административный шаблон MS Security Guide (файлы SecGuide.adml и SecGuide.admx ), которые имеют отдельные параметры для отключения сервера и клиента SMB:
  • Настроить сервер SMB v1;
  • Настройте драйвер клиента SMB v1.

.

Включите, отключите и отключите SMBv1, SMBv2 и SMBv3 в Windows

  • 9 минут для лета

In questo articolo

Si приложение: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Применимо к: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Эта статья описывает возможность и отключение блока сообщений сервера (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3), а также компонентов клиента и сервера SMB. В этой статье описывается, как включить и отключить серверное сообщение Блокировать (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) на компонентах клиента и сервера SMB.

Если нарушение функциональности SMBv1 может вызвать проблемы совместимости с векторным программным обеспечением, SMBv1 представляет собой значительную уязвимость и не использует его.Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, SMBv1 имеет значительные уязвимости в системе безопасности, и мы настоятельно рекомендуем вам не использовать его.

Отключение SMBv2 или SMBv3 для решения проблем Отключение SMBv2 или SMBv3 для устранения неполадок

Теперь, когда используется SMBv2 и SMBv3, можно использовать временные ограничения для решения проблем, которые можно найти в статусе, разрешить и отключить протокол SMB на сервере SMB.Хотя мы рекомендуем оставить SMBv2 и SMBv3 включенными, вы можете счесть полезным временно отключить один из них для устранения неполадок, как описано в разделе Как определять состояние, включать и отключать протоколы SMB на сервере SMB.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, отключение SMBv3, лишенное функциональной возможности (и еще одно функциональное описание SMBv2, не имеющее предшествующего уровня): Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, отключение SMBv3 деактивирует следующие функции (а также функции SMBv2, описанные в предыдущем списке):

  • Отказоустойчивое переключение клиента, связанное с подключением к узлам кластера, управляемым при отказе Транспарентное отказоустойчивое переключение - клиенты без прерывания подключаются к узлам кластера во время обслуживания или отработки отказа
  • Scale Out: одновременный доступ к данным на всех узлах кластера из fileScale Out - одновременный доступ к общим данным на всех узлах файлового кластера
  • Multicanale: объединение большой пропускной способности полосы частот и допуска ошибок, предоставляемых всем клиентом и сервером. Многоканальный - объединение пропускной способности сети и отказоустойчивость при наличии нескольких путей между клиентом и сервером
  • SMB Diretto: добавление поддержки для ретрансляции RDMA для большого повышения, с задержкой и использованием CPU ridottoSMB Direct - добавляет поддержку сети RDMA для очень высокой производительности, с низкой задержкой и низкой загрузкой ЦП
  • Crittografia: fornisce la crittografia end-to-end e protegge l'intercettazione su reti non serveibiliEncryption - Обеспечивает сквозное шифрование и защищает от подслушивания в ненадежных сетях
  • Leasing di directory: migliora i tempi di risposta delle application nelle succursali attverso la memorizzazione nella cacheDirectory Leasing - сокращает время отклика приложений в филиалах за счет кэширования
  • Ottimizzazioni delle prestazioni: ottimizzazioni per I / O lettura / scrittura casuali di piccole sizesiPerformance Optimizations - оптимизация для небольших случайных операций чтения / записи операций ввода-вывода

В Windows 7 и Windows Server 2008 R2, отключение SMBv2 отключено от соответствующей функциональности: в Windows 7 и Windows Server 2008 R2 отключение SMBv2 деактивирует следующие функции:

  • Composizione della richiesta: consente di inviare più richieste SMB 2 come single richiesta di rete Составление запросов - позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
  • Letture e scritture più grandi: uso migliore di reti più velociБольше чтения и записи - лучшее использование более быстрых сетей
  • Кэширование собственных файлов и картелей: клиент сохраняет локальные копии картелей и файлов Кэширование свойств папок и файлов - клиенты хранят локальные копии папок и файлов
  • Handle durevoli-Consenti alla connessione di riconnettersi in modo trasparente al server in caso di disconnessione temporanea Долговечные дескрипторы - позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
  • Firma del messaggio migliorata-HMAC SHA-256 sostituisce MD5 с алгоритмом хеширования Улучшено подписывание сообщений - HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
  • Масштабирование для переноса файлов: число пользователей, возможность деления файлов на сервер и добавление заметок Улучшенная масштабируемость для совместного использования файлов - количество пользователей, общих и открытых файлов на сервере значительно увеличилось
  • Поддержка символических ссылок Поддержка символьных ссылок
  • Modello di leasing blocco в сетях с высокой задержкой и увеличивающейся масштабируемости SMB-сервера
  • Поддержка максимального MTU: для полного использования Ethernet 10 гигабайт (ГБ) Поддержка большого MTU - для полного использования 10-гигабайтного (ГБ) Ethernet
  • Efficienza energetica migliorata: i client con file aperti a un server Возможные возможности для использования Повышенная энергоэффективность - клиенты, у которых есть открытые файлы на сервере, могут спать

Протокол SMBv2 является введением в Windows Vista и Windows Server 2008, а также протоколом SMBv3 и введением в Windows 8 и Windows Server 2012.Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012. Дополнительная информация о функциональных возможностях SMBv2 и SMBv3, приведена для следующих статей: Дополнительные сведения о возможностях о возможностях SMBv2 и SMBv3 см. в следующих статьях:

Panoramica di SMB (блок сообщений сервера) Обзор блока сообщений сервера

Novità di SMBЧто нового в SMB

Come rimuovere SMB v1 Как удалить SMB v1

Сегмент, который иллюстрирует SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2. Вот как удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.

Методы PowerShell Методы PowerShell
SMB v1 (клиент и сервер) SMB v1 (клиент и сервер)
  • Rilevare Обнаружение:

      Get-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • DisabilitareDisable:

      Отключить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • Abilitare: включить:

      Включить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера сервера для отключения SMB Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера сервера для отключения SMB
SMB v1SMB v1

Windows 8.1 e Windows 10: метод PowerShell Windows 8.1 и Windows 10: метод PowerShell
Протокол SMB v1 Протокол SMB v1
  • Rilevare Обнаружение:

      Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • DisabilitareDisable:

      Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • Abilitare: включить:

      Включить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
Protocollo SMB V2 / V3 (отключение одиночного сервера SMB V2 / V3) Протокол SMB v2 / v3 (отключает только сервер SMB v2 / v3)
  • Rilevare Обнаружение:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • DisabilitareDisable:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Abilitare: включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  
Windows 8.1 e Windows 10: метод добавления или Rimuovi программ Windows 8.1 и Windows 10: метод установки и удаления программ

Приходите со статусом, возможностью и отключением протоколов SMB на сервере SMB Как определять статус, включать и отключать протоколы SMB на сервере SMB

для Windows 8 и Windows Server 2012 для Windows 8 и Windows Server 2012

Windows 8 и Windows Server 2012 представляют новый командлет set-SMBServerConfiguration для Windows PowerShell.Windows 8 и Windows Server 2012 представляют новый командлет Windows PowerShell Set-SMBServerConfiguration . Командлет позволяет отключать протоколы SMBv1, SMBv2 и SMBv3 на сервере компонента. Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.

Nota

Quando si Abilita o Disabilita SMBv2 in Windows 8 o Windows Server 2012, anche SMBv3 abilitato or disabilitato. Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается.Это происходит из-за того, что эти протоколы используют один и тот же стек.

Не требуется, если на компьютере установлен командлет set-SMBServerConfiguration . Вам не нужно перезагружать компьютер после выполнения командлета Set-SMBServerConfiguration .

SMB v1 nel server SMBSMB v1 на SMB Server
  • Rilevare Обнаружение:

      Get-SmbServerConfiguration | Выберите EnableSMB1Protocol.  
  • DisabilitareDisable:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ false  
  • Abilitare: включить:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ true  

Per ulteriori informazioni, vedere archiviazione server in Microsoft.Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB V2 / V3 nel server SMBSMB v2 / v3 на SMB Server
  • Rilevare Обнаружение:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • DisabilitareDisable:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Abilitare: включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  

для Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008 Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы отключить протокол SMB на сервере SMB, например, в Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор регистрации системы.Чтобы включить или отключить протоколы SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Методы PowerShell Методы PowerShell

Nota

Этот метод богат PowerShell 2,0 или успешной версии PowerShell. Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

SMB v1 nel server SMBSMB v1 на SMB Server
Обнаружение:

Rilevare

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _.pspath}  

Конфигурация по умолчанию = Включено (nessuna chiave del registro di sistema creata), quindi non verrà restituito alcun valore SMB1 Конфигурация по умолчанию = Enabled (ключ реестра не создается), поэтому значение SMB1 не будет возвращено

DisabilitareDisable:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

Abilitare: Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

Nota Допускается приложение для изменения, которое необходимо сделать с помощью компьютера. Примечание После внесения этих изменений необходимо перезагрузить компьютер. Согласно скрытой информации, сервер архивируется в Microsoft. Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB V2 / V3 nel server SMBSMB v2 / v3 на SMB Server
Обнаружение:

Rilevare

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

DisabilitareDisable:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

Abilitare: Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

Nota

Может быть установлено, что это модифицируется, если необходимо использовать компьютер.После внесения этих изменений необходимо перезагрузить компьютер.

Editor del Registro di sistemaRegistry Editor

Importante

Следуйте инструкциям по описанию процедуры в этом разделе. Внимательно следуйте инструкциям в этом разделе. Выберите модифицируемый регистр системы, внесенный в систему без исправления ошибок, возможную проверку проблем с серьезностью. При неправильном изменении реестра могут возникнуть серьезные проблемы. Прежде всего, это резервная копия системы Registro для каждого случая, когда вы проверяете проблемы.Перед внесением изменений создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы отключить SMBv1 на сервере SMB, настройте chiave del registro di sistema seguente: Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters и нажмите кнопку для выбора. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Чтобы отключить SMBv2 на сервере SMB, настройте chiave del registro di sistema seguente: Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters и нажмите кнопку для выбора. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Nota

Если вы хотите внести изменения, необходимо перезагрузить компьютер. После внесения этих изменений необходимо перезагрузить компьютер.

Приходите со статусом, возможностью и отключением протоколов SMB для клиента SMB Как определять состояние, включать и отключать протоколы SMB на SMB-клиенте

для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012 Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Nota

Если требуется или отключить SMBv2 в Windows 8 или Windows Server 2012, также SMBv3 может быть отключен.Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит из-за того, что эти протоколы используют один и тот же стек.

SMB v1 nel client SMBSMB v1 на SMB Client
  • Обнаружить Обнаружить

      sc.exe qc lanmanworkstation  
  • DisabilitareDisable:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb20 / nsi sc.exe config mrxsmb10 start = отключено  
  • Abilitare: включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb10 start = auto  

Per ulteriori informazioni, vedere archive server in Microsoft Для получения дополнительной информации см. Серверное хранилище в Microsoft

.
SMB V2 / V3 nel client SMBSMB v2 / v3 на SMB Client
  • Rilevare Обнаружение:

      сбн.exe qc lanmanworkstation  
  • DisabilitareDisable:

      sc.exe конфигурация lanmanworkstation зависит = bowser / mrxsmb10 / nsi sc.exe config mrxsmb20 start = отключено  
  • Abilitare: включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb20 start = auto  

Nota

  • : необходимо выполнить запрос на ввод команды с указанием привилегий.Эти команды необходимо запускать в командной строке с повышенными привилегиями.
  • Если вы хотите внести изменения, необходимо перезагрузить компьютер. После внесения этих изменений компьютер необходимо перезагрузить.

Отключить сервер SMBv1 с критериями группы Отключить сервер SMBv1 с групповой политикой

Эта процедура позволяет настроить новый элемент, связанный с регистрацией системы: Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters и нажмите кнопку для выбора. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  • Voce del registro di sistema: SMB1 Запись в реестре: SMB1
  • REG_DWORD: 0 = отключено REG_DWORD: 0 = отключено

В соответствии с настройкой данного параметра Критерии группы, участвующие в последовательной процедуре: Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Aprire Console Gestione Criteri di gruppo .Откройте консоль управления групповой политикой . Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните правой кнопкой мыши на объекте групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем нажмите Изменить .

  2. Nell'albero della console in Configurazione computer espandere la cartella Preferenze , quindi espandere la cartella imstazioni di Windows .В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

  3. Нажмите на кнопку, чтобы удалить мышь на узле Registro di sistema Scegliere Nuovo и нажмите на Elemento Registro di sistema . Щелкните правой кнопкой мыши узел реестра , укажите на и выберите New Запись реестра .

Nella finestra di dialogo Proprietà nuovo registro di sistema selezionare le options seguenti: В диалоговом окне New Registry Properties выберите следующее:

  • Azione : crea Action : Create
  • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
  • Percorso della chiave : System \ CurrentControlSet \ Services \ LanManServer \ Parameters Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
  • Номинальное значение : SMB1 Имя значения : SMB1
  • Тип значения : REG_DWORD Тип значения : REG_DWORD
  • Данные значения : 0 Данные значения : 0

В случае отказа от отказа компонентов сервера SMBv1.Это отключает компоненты сервера SMBv1. Эти критерии группы разрабатывают такое приложение для всех рабочих станций, как сервер или контроллер, требующий доминирования. Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Nota

Фильтр WMI может быть установлен в режимах расширенных систем, не поддерживающих выбранный режим, а также в Windows XP. Фильтры WMI также могут быть настроены для исключения неподдерживаемых операционных систем или отдельных исключений, таких как Windows XP.

Importante

Предоставьте доступ, если это приложение может изменить новый контроллер в Windows XP или системе Linux и другие предыдущие части (которые не поддерживают SMBv2 или SMBv3), богатые доступом к SYSVOL или дополнительным файлам для дополнительных устройств в отдельном разделе di SMB v1. Будьте осторожны при внесении этих изменений на контроллеры домена, на которых устаревшая Windows XP или более старые Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен. .

Отключить клиент SMBv1 с критериями группы Отключить клиент SMBv1 с групповой политикой

Для отключения клиента SMBv1, если необходимо добавить chiave del registro di sistema dei servizi, чтобы заблокировать доступ к MRxSMB10 и больше, чем MRxSMB10 deve essere rimossa dalla 9018 avviata normalmente senza che sia обязательно avviare MRxSMB10 per la prima volta.Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы отключить запуск MRxSMB10 , а затем необходимо удалить зависимость от MRxSMB10 из записи для LanmanWorkstation , чтобы он мог нормально запускаться, не требуя MRxSMB10 до первого запуска.

Я предварительно определил необходимые элементы для регистрации обновленной системы и составления: это обновит и заменит значения по умолчанию в следующих двух элементах реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

Voce del registro di sistema: Start REG_DWORD: 4 = disabled Запись в реестре: Start REG_DWORD: 4 = Disabled

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

Voce del registro di sistema: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20", "NSI" Запись в реестре: DependOnService REG_MULTI_SZ: "Bowser "20," 18

Nota

Il MRxSMB10 incluso предопределенный, который сейчас является статическим, как правило.По умолчанию включен MRxSMB10, который теперь удален как зависимость.

В соответствии с конфигурацией данного задания Критерии группы, участвующие в последовательной процедуре: Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Aprire Console Gestione Criteri di gruppo . Откройте консоль управления групповой политикой . Нажмите кнопку с пульсирующим уничтожением мыши по критериям группы, которая должна соответствовать новым элементам предпочтения, а затем нажмите на ссылку на Modifica .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

  2. Nell'albero della console in Configurazione computer espandere la cartella Preferenze , quindi espandere la cartella impstazioni di Windows . В дереве консоли в разделе Computer Configuration разверните папку Preferences и затем разверните папку Папка настроек Windows .

  3. Нажмите на кнопку, чтобы удалить мышь на узле Registro di sistema Scegliere Nuovo и нажмите на Elemento Registro di sistema . Щелкните правой кнопкой мыши узел реестра , укажите на и выберите New Запись реестра .

  4. Nella finestra di dialogo Proprietà nuovo registro di sistema selezionare le options seguenti: В диалоговом окне New Registry Properties выберите следующее:

    • Azione : agiornamento Action : обновление
    • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
    • Percorso della chiave : SYSTEM \ CurrentControlSet \ services \ mrxsmb10 Путь к ключу : SYSTEM \ CurrentControlSet \ services \ mrxsmb10
    • Номинальное значение : Начало Имя значения : Начало
    • Тип значения : REG_DWORD Тип значения : REG_DWORD
    • Данные значения : 4 Данные значения : 4

  5. Rimuovere quindi la dipendenza da MRxSMB10 che is stata appena disabilitata.Затем удалите зависимость от MRxSMB10 , которая была только что отключена.

    Nella finestra di dialogo Proprietà nuovo registro di sistema selezionare le opzioni seguenti: В диалоговом окне New Registry Properties выберите следующее:

    • Azione : заменить Действие : заменить
    • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
    • Percorso della chiave : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
    • Номинальное значение : DependOnService Имя значения : DependOnService
    • Тип значения : REG_MULTI_SZ Тип значения : REG_MULTI_SZ
    • Данные значения : Данные значения :
      • BowserBowser
      • MRxSmb20MRxSmb20
      • НСИНСИ

    Nota

    Queste tre stringhe non avranno punti elenco (vedere la schermata seguente).У этих трех строк не будет маркеров (см. Следующий снимок экрана).

    Предварительно определенные значения включают MRxSMB10 в нескольких версиях Windows. Pertanto, состоит из строки с многозначной строкой, и в этом случае необходимо использовать более MRxSMB10 , чтобы получить LanmanServer и пройти все предыдущие версии MR2. заменяя их этой многозначной строкой, он фактически удаляет MRxSMB10 как зависимость для LanmanServer и переходит от четырех значений по умолчанию к только этим трем значениям выше.

    Nota

    Quando si usa Console Gestione Criteri di gruppo, non è обязательно use le virgolette or le virgole. Когда вы используете консоль управления групповой политикой, вам не нужно использовать кавычки или запятые. Sufficiente digitare ogni voce su singole righe. Просто введите каждую запись в отдельной строке.

  6. Восстановите систему, предназначенную для полного отключения SMB v1. Перезапустите целевые системы, чтобы завершить отключение SMB v1.

Controllo dell'utilizzo di SMBv1Auditing SMBv1 usage

Для определения качественного клиента, подключенного к серверу SMB с SMBv1, возможно управление в Windows Server 2016, Windows 10 и Windows Server 2019.Чтобы определить, какие клиенты пытаются подключиться к SMB-серверу с помощью SMBv1, вы можете включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Также возможно управление в Windows 7 и Windows Server 2008 R2, если оно установлено. Обновление обновлений 2018 и Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 должно быть установлено после обновления 2017 г. Вы также можете выполнять аудит в Windows 7 и Windows Server 2008 R2, если они установили майский Ежемесячное обновление 2018 и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за июль 2017 г.

  • Возможности: Включить:

      Set-SmbServerConfiguration -AuditSmb1Access $ true  
  • DisabilitareDisable:

      Set-SmbServerConfiguration -AuditSmb1Access $ false  
  • Rilevare Обнаружение:

      Get-SmbServerConfiguration | Выберите AuditSmb1Access  

Если это функционально для управления SMBv1, визуализируется событие 3000 и регистрируется даже «Microsoft-Windows-SMBServer \ Audit», который идентифицирует клиента, который подключается к SMBv1.Когда аудит SMBv1 включен, в журнале событий «Microsoft-Windows-SMBServer \ Audit» появляется событие 3000, идентифицирующее каждого клиента, который пытается подключиться к SMBv1.

RiepilogoSummary

Установите все настройки в одном объекте групповой политики (GPO). Если все параметры находятся в одном объекте групповой политики (GPO), в управлении групповой политикой отображаются следующие параметры.

Test e convalida Тестирование и валидация

Una volta configurate queste imstazioni, consentire la replica e l'aggiornamento dei criteri.После их настройки разрешите репликацию и обновление политики. При необходимости для проверки, eseguire gpupdate / force al prompt dei comandi e quindi esaminare i computer di destinazione for assicurarsi le imposioni del registro di sistema siano Applicate Correttamente. При необходимости для тестирования запустите команду gpupdate / force , а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно. Убедитесь, что SMB V2 и SMB V3 функционируют для всех других систем.Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Nota

Non dimenticare di riavviare i sistemi di destinazione.Не забудьте перезагрузить целевые системы.

.

Включено, активировано и отключено SMBv1, SMBv2 и SMBv3 в Windows

  • 8 минут Леседауэр

В Diesem Artikel

Gilt для: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Применимо к: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этом артикуле доступен блок сообщений сервера (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) на SMB-Client-und-Server Komponenten active und deaktivieren.В этой статье описывается, как включить и отключить серверный блок сообщений (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.

Beim Deaktivieren oder Entfernen von SMBv1 kann es zu einigen Kompatibilitätsproblemen mit alten Computern oder der Software kommen. SMBv1 имеет erhebliche Sicherheitsrisiken, und Wir empfehlen Ihnen dringend, Sie nicht zu verwenden. Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, SMBv1 имеет значительные уязвимости безопасности, и мы настоятельно рекомендуем вам не использовать его.

Отключение SMBv2 или SMBv3 для устранения проблем Отключение SMBv2 или SMBv3 для устранения неполадок

Es wird empfohlen, SMBv2 und SMBv3 aktiviert zu lassen, aber es ist möglicherweise sinnvoll, eine für die Problembehandlung vorübergehend zu deaktivieren, wie unter Erkennen von deaktivierenzu deaktivieren, wie unter Erkennen von deaktiviert zu deaktivieren. оставьте включенными SMBv2 и SMBv3, может оказаться полезным временно отключить один из них для устранения неполадок, как описано в разделе «Как определять состояние, включать и отключать протоколы SMB на сервере SMB».

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключены функции отключения SMBv3 (и все функции SMBv2), которые не работают. ): В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 деактивирует следующие функции (а также функциональность SMBv2, описанную в предыдущем списке) :

  • Transparentes Failover: клиенты работают с Wartung или Failover keine Unterbrechung der Cluster Knoten wieder her.Transparent Failover - клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
  • Scale Out - gleichzeitigen Zugriff auf freigegebene Daten auf allen Datei Cluster KnotenScale Out - одновременный доступ к общим данным на всех узлах файлового кластера
  • Multichannel-Aggregation der Netzwerkbandbreite und Fehlertoleranz, wenn mehrere Pfade zwischen Client und Server verfügbar sindMultichannel - агрегирование пропускной способности сети и отказоустойчивость, если между клиентом и сервером доступно несколько путей
  • SMB Direct - bietet RDMA-Netzwerkunterstützung für eine sehr hohe Leistung mit geringer Latenz und geringer CPU-Auslastung.SMB Direct - добавляет поддержку сети RDMA для очень высокой производительности с низкой задержкой и низкой загрузкой ЦП
  • Verschlüsselung - bietet eine End-to-End-Verschlüsselung und schützt vor dem eavesdrop in nicht vertrauenswürdigen Netzwerken. Шифрование - обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях
  • Verzeichnis Leasing: verbessert die Reaktionszeiten von Anwendungen in Zweigstellen durch CachingDirectory Leasing - сокращает время отклика приложений в филиалах за счет кэширования
  • Leistungsoptimierungen-Optimierungen für kleine zufällige e / a-Vorgänge mit Lese- / SchreibzugriffPerformance Optimizations - оптимизация для небольших операций ввода-вывода со случайным чтением / записью

В Windows 7 и Windows Server 2008 R2 были отключены следующие функции: в Windows 7 и Windows Server 2008 R2 отключение SMBv2 деактивирует следующие функции:

  • Anfordern von Anforderungen: ermöglicht das Senden mehrerer SMB 2-Anforderungen als einzelne Netzwerk Anforderung.Составление запросов - позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
  • Größere Lese-und Schreibvorgänge-bessere Verwendung schnellerer NetzwerkeLarger чтение и запись - лучшее использование более быстрых сетей
  • Zwischenspeichern von Ordner-und Dateieigenschaften-Clients lokale Kopien von Ordnern und Dateien bei Кэширование свойств папок и файлов - клиенты хранят локальные копии папок и файлов
  • Dauerhafte Handles: ermöglichen der Verbindung, um eine Transparente Verbindung mit dem Server herzustellen, wenn eine temporäre Trennung vorliegt Долговечные ручки - позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
  • Verbesserte Nachrichten Signierung: HMAC SHA-256 ersetzt MD5 als Hash Algorithmus.Улучшенная подпись сообщений - HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
  • Verbesserte Skalierbarkeit für die Dateifreigabe: die Anzahl von Benutzern, Freigaben und geöffneten Dateien pro Server wurde erheblich erhöht. Улучшенная масштабируемость для обмена файлами - количество пользователей, общих и открытых файлов на сервере значительно увеличилось
  • Unterstützung für symbolische VerknüpfungenПоддержка символьных ссылок
  • Client-Oplock-Leasingmodell: schränkt die zwischen Client und Server übertragenen Daten ein, verbessert die Leistung bei Netzwerken mit hoher Latenz und erhöht die Skalierbarkeit von SMB-Servern.Модель аренды клиентской oplock - ограничивает данные, передаваемые между клиентом и сервером, улучшая производительность в сетях с высокой задержкой и увеличивая масштабируемость SMB-сервера
  • Unterstützung großer MTU-für die vollständige Nutzung von 10-гигабайт (ГБ) Ethernet Поддержка больших MTU - для полноценного использования 10-гигабайтного (ГБ) Ethernet
  • Verbesserte Energieeffizienz: Clients mit geöffneten Dateien auf einem Server können in den Standbymodus wechseln. Повышенная энергоэффективность - клиенты, у которых есть открытые файлы на сервере, могут спать

Протокол SMBv2-Protokoll работает в Windows Vista и Windows Server 2008, а также используется SMBv3-Protokoll в Windows 8 и Windows Server 2012.Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012. Дополнительная информация о функциях SMBv2 и SMBv3: дополнительные сведения о о возможностях SMBv2 и SMBv3 см. в следующих статьях:

Блок сообщений сервера (Übersicht) Обзор блока сообщений сервера

Neues in SMB Что нового в SMB

Entfernen von SMB v1 Как удалить SMB v1

Gehen Sie wie folgt vor, um SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2 zu entfernen. Вот как удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.

Методы PowerShell-MethodenPowerShell
SMB v1 (клиент и сервер) SMB v1 (клиент и сервер)
  • Auf Обнаружение:

      Get-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • IerDisable:

      Отключить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • Aktivieren Sie: Включить:

      Включить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: Server-Manager Methode zum Deaktivieren von SMBWindows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера серверов для отключения SMB
SMB v1SMB v1

Windows 8.1 и Windows 10: PowerShell-Methode Windows 8.1 и Windows 10: метод PowerShell
SMB v1-ProtokollSMB v1 Протокол
  • Auf Обнаружение:

      Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • IerDisable:

      Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • Aktivieren Sie: Включить:

      Включить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
SMB v2 / v3-Protokoll (nur der SMB v2 / v3-Server wird deaktiviert) Протокол SMB v2 / v3 (отключает только сервер SMB v2 / v3)
  • Auf Обнаружение:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • IerDisable:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Aktivieren Sie: Включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  
Windows 8.1 и Windows 10: Methode zum Hinzufügen или Entfernen von Programmen Windows 8.1 и Windows 10: Установка и удаление программ метод

Erkennen von Status, активировать и деактивировать SMB-Protokollen на SMB-Server Как определить статус, включить и отключить протоколы SMB на SMB-сервере

для Windows 8 и Windows Server 2012 Для Windows 8 и Windows Server 2012

Mit Windows 8 и Windows Server 2012 wird das neue Windows PowerShell-Cmdlet " Set-smbserverconfiguration " eingeführt.Windows 8 и Windows Server 2012 представляют новый командлет Windows PowerShell Set-SMBServerConfiguration . Mit dem-Cmdlet können Sie die SMBv1-, SMBv2-und SMBv3-Protokolle für die Serverkomponente aktivieren bzw. Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.

Hinweis

Венн Сим SMBv2 в Windows 8 или Windows Server 2012 активирован или деактивирован, его SMBv3 активирован или деактивирован.Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Dieses Verhalten tritt auf, weil diese Protokolle denselben Stapel gemeinsam verwenden. Это происходит потому, что эти протоколы используют один и тот же стек.

Sie müssen den Computer nach dem Ausführen des Cmdlets " Set-smbserverconfiguration " nicht neu startten. Вам не нужно перезагружать компьютер после запуска командлета Set-SMBServerConfiguration .

SMB v1 на SMB-ServerSMB v1 на сервере SMB
  • Auf Обнаружение:

      Get-SmbServerConfiguration | Выберите EnableSMB1Protocol.  
  • IerDisable:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ false  
  • Aktivieren Sie: Включить:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ true  

Weitere Informationen Finden Sie unter Server Speicher bei Microsoft.Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB v2 / v3 на SMB-сервере SMB v2 / v3 на сервере SMB
  • Auf Обнаружение:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • IerDisable:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Aktivieren Sie: Включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008 Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Zum Aktivieren или Deaktivieren von SMB-Protokollen на SMB-Server, на Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, поддерживает Windows PowerShell или редактор Registrierungs.Чтобы включить или отключить протоколы SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Методы PowerShell-MethodenPowerShell

Hinweis

Diese Methode erfordert PowerShell 2,0 или eine höhere Version von PowerShell. Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

SMB v1 на SMB-ServerSMB v1 на сервере SMB

Auf Обнаружение:

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _.pspath}  

Standardkonfiguration = aktiviert (es wurde kein Registrierungsschlüssel erstellt), daher wird kein Server Message Block-Wert zurückgegeben. Конфигурация по умолчанию = Включено (ключ реестра не создается), поэтому значение SMB1 не возвращается

IerDisable:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

Aktivieren Sie: Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

Hinweis Sie müssen den Computer neu start, nachdem Sie diese Änderungen vorgenommen haben. Примечание После внесения этих изменений необходимо перезагрузить компьютер. Weitere Informationen finden Sie unter Server Speicher bei Microsoft. Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB v2 / v3 на SMB-сервере SMB v2 / v3 на сервере SMB

Auf Обнаружение:

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

IerDisable:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

Aktivieren Sie: Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

Hinweis

Sie müssen den Computer neu start, nachdem Sie diese Änderungen vorgenommen haben.После внесения этих изменений необходимо перезагрузить компьютер.

Registrierungs-Editor Редактор реестра

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Внимательно следуйте инструкциям в этом разделе. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. При неправильном изменении реестра могут возникнуть серьезные проблемы. Bevor Sie sie ändern, sichern Sie die Registrierung zwecks Wiederherstellung für den Fall, dass Probleme auftreten.Перед внесением изменений создайте резервную копию реестра для восстановления на случай возникновения проблем.

Um SMBv1 auf dem SMB-Server zu aktivieren or zu deaktivieren, konfigurieren Sie den folgenden Registrierungsschlüssel: Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Um SMBv2 auf dem SMB-Server zu aktivieren or zu deaktivieren, konfigurieren Sie den folgenden Registrierungsschlüssel: Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий ключ реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Hinweis

Sie müssen den Computer neu start, nachdem Sie diese Änderungen vorgenommen haben.После внесения этих изменений необходимо перезагрузить компьютер.

Erkennen von Status, active and Deaktivieren von SMB-Protokollen auf dem SMB-Client Как определять статус, включать и отключать протоколы SMB на SMB-клиенте

Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012 Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Hinweis

Венн Сим SMBv2 в Windows 8 или Windows Server 2012 активирован или деактивирован, его SMBv3 активирован или деактивирован.Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Dieses Verhalten tritt auf, weil diese Protokolle denselben Stapel gemeinsam verwenden. Это происходит потому, что эти протоколы используют один и тот же стек.

SMB v1 на SMB-ClientSMB v1 на SMB Client
  • Обнаружить Обнаружить

      sc.exe qc lanmanworkstation  
  • IerDisable:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb20 / nsi sc.exe config mrxsmb10 start = отключено  
  • Aktivieren Sie: Включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb10 start = auto  

Weitere Informationen finden Sie unter Server Speicher bei Microsoft. Для получения дополнительной информации см. Серверное хранилище в Microsoft

.
SMB v2 / v3 на SMB-ClientSMB v2 / v3 на SMB Client
  • Auf Обнаружение:

      сбн.exe qc lanmanworkstation  
  • IerDisable:

      sc.exe конфигурация lanmanworkstation зависит = bowser / mrxsmb10 / nsi sc.exe config mrxsmb20 start = отключено  
  • Aktivieren Sie: Включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb20 start = auto  

Hinweis

  • Sie müssen diese Befehle an einer Eingabeaufforderung mit erhöhten Rechten ausführen.Эти команды необходимо запускать в командной строке с повышенными привилегиями.
  • Sie müssen den Computer neu start, nachdem Sie diese Änderungen vorgenommen haben. После внесения этих изменений необходимо перезагрузить компьютер.

SMBv1-Server mit Gruppenrichtlinie deaktivieren Отключение сервера SMBv1 с групповой политикой

Mit diesem Verfahren wird das folgende neue Element in der Registrierung konfiguriert: Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  • Registrierungs Eintrag: Блок сообщений сервера Запись в реестре: SMB1
  • REG_DWORD: 0 = deaktiviertREG_DWORD: 0 = отключено

Führen Sie die folgenden Schritte aus, um dies mithilfe Gruppenrichtlinie zu konfigurieren: Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole .Откройте консоль управления групповой политикой . Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO, объект групповой политики), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten . Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтения. , а затем нажмите Изменить .

  2. Erweitern Sie in der Konsolen Struktur unter Computer Konfiguration den Ordner Einstellungen , und erweitern Sie dann den Ordner Windows-Einstellungen .В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung , zeigen Sie auf Neu , und wählen Sie Registrierungselement . Щелкните правой кнопкой мыши узел реестра , наведите курсор на , выберите новый , и выберите пункт New .

Wählen Sie im Dialogfeld neue Registrierungs Eigenschaften Folgendes aus: В диалоговом окне New Registry Properties выберите следующее:

  • Aktion : Erstellen Action : Create
  • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
  • Schlüssel Pfad : system \ currentcontrolset \ services \ lanmanserver \ parameters Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
  • Wertname : Блок сообщений сервера Имя значения : SMB1
  • Werttyp : REG_DWORD Тип значения : REG_DWORD
  • Wertdaten : 0 Данные значения : 0

Dadurch werden die SMBv1-Server Komponenten deaktiviert.Это отключает компоненты сервера SMBv1. Diese Gruppenrichtlinie muss auf all erforderlichen Arbeitsstationen, Server und Domänen Controller in der Domäne angewendet werden. Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Hinweis

Фильтр WMI может быть настроен так, чтобы исключить неподдерживаемые операционные системы или отдельные исключения, например Windows XP, для исключения неподдерживаемых операционных систем или отдельных исключений.

Wichtig

Gehen Sie vorsichtig vor, wenn Sie diese Änderungen auf Domänen Controllern durchführen, auf denen ältere Windows XP или Linux-und Drittanbieter Systeme (die SMBv2 or SMBv3 nicht unterstützen SYS) Zugrien . Будьте осторожны при внесении этих изменений на контроллеры домена, на которых устаревшая Windows XP или более старые Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен.

SMBv1-Client mit Gruppenrichtlinie deaktivieren Отключение клиента SMBv1 с групповой политикой

Um den SMBv1-Client zu deaktivieren, muss der Registrierungsschlüssel der Dienste aktualisiert werden, um den Start von MRxSMB10 zu deaktivieren. Отказ от работы с Abhängigkeit von MRxSMB10 aus dem Eintrag für " LanmanWorkstation ", относящийся к рабочему столу, который является обычным рабочим местом, где находится MRxSMB10 zum ersten werden.Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы отключить запуск MRxSMB10 , а затем необходимо удалить зависимость от MRxSMB10 из записи для LanmanWorkstation , чтобы он мог нормально запускаться, не требуя MRxSMB10 до первого запуска.

Dadurch werden die Standardwerte in den folgenden zwei Elementen in der Registrierung aktualisiert und ersetzt: Это обновит и заменит значения по умолчанию в следующих двух элементах реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

Registrierungs Eintrag: Start REG_DWORD: 4 = deaktiviert Запись в реестре: Start REG_DWORD: 4 = Disabled

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

Registrierungs Eintrag: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20", "NSI" Запись в реестре: DependOnService REG_MULTI_SZ: "NSI" MR18xSmbI "MR18xSmbI"

Hinweis

Der Standard MRxSMB10, der nun als Abhängigkeit entfernt wurde.По умолчанию включен MRxSMB10, который теперь удален как зависимость.

Führen Sie die folgenden Schritte aus, um dies mithilfe Gruppenrichtlinie zu konfigurieren: Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole . Откройте консоль управления групповой политикой . Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO, объект групповой политики), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

  2. Erweitern Sie in der Konsolen Struktur unter Computer Konfiguration den Ordner Einstellungen , und erweitern Sie dann den Ordner Windows-Einstellungen . В дереве консоли под Computer Configuration разверните папку , затем Preferences разверните папку Windows Settings .

  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung , zeigen Sie auf Neu , und wählen Sie Registrierungselement . Щелкните правой кнопкой мыши узел реестра , наведите курсор на , выберите новый , и выберите пункт New .

  4. Wählen Sie im Dialogfeld neue Registrierungs Eigenschaften Folgendes aus: В диалоговом окне New Registry Properties выберите следующее:

    • Aktion : Aktualisieren Action : Обновление
    • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
    • Schlüssel Pfad : system \ currentcontrolset \ services \ mrxsmb10 Путь к ключу : SYSTEM \ CurrentControlSet \ services \ mrxsmb10
    • Wertname : Start Value name : Start
    • Werttyp : REG_DWORD Тип значения : REG_DWORD
    • Wertdaten : 4 Данные значения : 4

  5. Entfernen Sie dann die Abhängigkeit von der MRxSMB10 , die gerade deaktiviert wurde.Затем удалите зависимость от MRxSMB10 , которая была только что отключена.

    Wählen Sie im Dialogfeld neue Registrierungs Eigenschaften Folgendes aus: В диалоговом окне New Registry Properties выберите следующее:

    • Aktion : ersetzen Action : Заменить
    • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
    • Schlüssel Pfad : system \ currentcontrolset \ services \ lanmanworkstation Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
    • Wertname : DependOnService Имя значения : DependOnService
    • Werttyp : REG_MULTI_SZ Тип значения : REG_MULTI_SZ
    • Wertdaten : Данные значения :
      • BowsermodusBowser
      • MRxSmb20MRxSmb20
      • НСИНСИ

    Hinweis

    Diese drei Zeichen folgen enthalten keine Aufzählungs Zeichen (скриншот siehe den folgenden).У этих трех строк не будет маркеров (см. Следующий снимок экрана).

    Der Standardwert umfasst MRxSMB10 in vielen Versionen von Windows. Wenn Sie diese также durch diese mehrwertige Zeichenfolge ersetzen, wird MRxSMB10 als Abhängigkeit für LanmanServer entfernt, und von vier Standardwerten bis zu diesen drei Werten weiter oben. Значение по умолчанию включает

    81 MR2 Werten weiter oben. их с помощью этой многозначной строки, фактически удаляется MRxSMB10 как зависимость для LanmanServer и происходит переход от четырех значений по умолчанию к только этим трем значениям выше.

    Hinweis

    Wenn Sie Gruppenrichtlinien-Verwaltungskonsole verwenden, müssen Sie keine Anführungszeichen или Kommas verwenden.При использовании консоли управления групповой политикой вам не нужно использовать кавычки или запятые. Geben Sie einfach jeden Eintrag in einzelne Zeilen ein. Просто введите каждую запись в отдельной строке.

  6. Starten Sie die Zielsysteme neu, um die Deaktivierung von SMB v1 abzuschließen. Перезапустите целевые системы, чтобы завершить отключение SMB v1.

Überwachung SMBv1 VerwendungAuditing Использование SMBv1

Um zu ermitteln, welche Clients versuchen, eine Verbindung mit einem SMB-Server mit SMBv1 herzustellen, können Sie die Überwachung unter Windows Server 2016, Windows 10 и Windows Server 2019 активны. Чтобы определить, какие клиенты пытаются подключиться к SMB-серверу с помощью SMBv1, вы можете включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Выполняйте проверку Windows 7 и Windows Server 2008 R2, а также обновляйте одноразовое обновление от мая 2018 г. и Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 installiert haben, wenn Sie das monatliche Update von Juli 2017 installiert haben. Вы также можете проводить аудит в Windows 7 и Windows Server 2008 R2, если они установили ежемесячное обновление за май 2018 г., и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за июль 2017 г.

  • Aktivieren Sie: Включить:

      Set-SmbServerConfiguration -AuditSmb1Access $ true  
  • IerDisable:

      Set-SmbServerConfiguration -AuditSmb1Access $ false  
  • Auf Обнаружение:

      Get-SmbServerConfiguration | Выберите AuditSmb1Access  

Wenn SMBv1 Auditing ist, wird das Ereignis 3000 im Ereignisprotokoll "Microsoft-Windows-SMBServer \ Audit" angezeigt, das jeden Client identifiziert, der versucht, eine Verbindung mit SMBv1 herzustellen.Когда аудит SMBv1 включен, в журнале событий «Microsoft-Windows-SMBServer \ Audit» появляется событие 3000, идентифицирующее каждого клиента, который пытается подключиться к SMBv1.

ZusammenfassungSummary

Wenn sich all Einstellungen im gleichen Gruppenrichtlinie Objekt (GPO) befinden, zeigt Gruppenrichtlinie Verwaltung die folgenden Einstellungen an. Если все параметры находятся в одном объекте групповой политики (GPO), в управлении групповой политикой отображаются следующие параметры.

Тесты и валидация Тестирование и валидация

Nachdem diese konfiguriert wurden, können Sie die Richtlinie replizieren und aktualisieren.После их настройки разрешите репликацию и обновление политики. Führen Sie gpupdate / force an der Eingabeaufforderung aus, und überprüfen Sie dann die Zielcomputer, um sicherzustellen, dass die Registrierungs Einstellungen ordnungsgemäß angewendet werden2, а затем подайте команду 9018 на проверку, затем введите команду 9018 для проверки, затем введите команду 9018 при проверке целевые компьютеры, чтобы убедиться, что параметры реестра применяются правильно. Stellen Sie sicher, dass SMB v2 and SMB V3 for all anderen Systeme in der Umgebung funktionieren.Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Hinweis

Vergessen Sie nicht, die Zielsysteme neu zu startten. Не забудьте перезапустить целевые системы.

.

Комментарий обнаружен, активирован и отключен SMBv1, SMBv2 и SMBv3 в Windows

  • 9 минут лекции

Dans cet артикул

S’applique à: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Применимо к: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Эта статья содержит комментарий, активировавший и отключивший протокол SMB (Server Message Block) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) для компонентов клиента и сервера SMB. В этой статье описывается, как включить и отключите блок сообщений сервера (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.

Дезактивация или подавление SMBv1, участвующего в проблемах совместимости с предыдущими версиями или логиками, SMBv1 представляет собой дезактивацию или подавление значимых показателей безопасности и поощрений, стимулирующих активацию без использования утилиты SMB1. На старых компьютерах или программном обеспечении SMBv1 имеет значительные уязвимости в системе безопасности, и мы настоятельно рекомендуем вам не использовать его.

Дезактивация SMBv2 или SMBv3 для решения проблем Отключение SMBv2 или SMBv3 для устранения неполадок

Bien que nous vous déconseillons d’activer SMBv2 et SMBv3, может использоваться для временного решения проблем, с учетом комментариев в комментариях к SMB на основе протокола SMB.Хотя мы рекомендуем оставить SMBv2 и SMBv3 включенными, вы можете счесть полезным временно отключить один из них для устранения неполадок, как описано в разделе Как определять состояние, включать и отключать протоколы SMB на сервере SMB.

В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, деактивация отключенных функций SMBv3 (какие-либо функции SMBv2 описаны в предварительном списке): Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, отключение SMBv3 деактивирует следующие функции (а также функции SMBv2, описанные в предыдущем списке):

  • Basculement transparent-les client se reconnectent sans interruption aux nœuds de cluster pendant для обслуживания или le basculement Прозрачное переключение при отказе - клиенты без прерывания подключаются к узлам кластера во время обслуживания или аварийного переключения
  • Scale Out: одновременный доступ к частям над узлами кластера Scale Out - одновременный доступ к общим данным на всех узлах файлового кластера
  • Multichannel-agrégation de la bande passante réseau et de la tolérance de panne si plusieurs chemins sont disponibles entre le client et le serveurMultichannel - агрегирование пропускной способности сети и отказоустойчивость, если между клиентом и сервером доступно несколько путей
  • SMB direct: добавлена ​​поддержка RDMA для повышения производительности, для обеспечения надежной задержки и надежного использования процессора SMB Direct - добавляет поддержку сети RDMA для очень высокой производительности, с низкой задержкой и низкой загрузкой ЦП
  • Chiffrement: fournit un chiffrement de bout en bout et protège contre les écoutes clandestines sur les réseaux non fiablesEncryption - Обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях
  • Leasing de répertoires: améliore les temps de réponse des applications dans les succursales grâce à la mise en cacheDirectory Leasing - сокращает время отклика приложений в филиалах за счет кэширования
  • Оптимизация производительности - оптимизация для файлов лекций / критериев Оптимизация производительности - оптимизации для небольших операций ввода-вывода произвольного чтения / записи

В Windows 7 и Windows Server 2008 R2, деактивация SMBv2 деактивированных функциональных возможностей: в Windows 7 и Windows Server 2008 R2 отключение SMBv2 деактивирует следующие функции:

  • Composition des demandes: permet d’envoyer plusieurs требует SMB 2 en tant que demande réseau uniqueRequest соединение - позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
  • Лекции и критические задания плюс превосходное использование текстов плюс быстрые операции Большее число операций чтения и записи - лучшее использование более быстрых сетей
  • Mise en cache des propriétés de dossier et de fichier-les client conservent des copy locales de dossiers et de fichiers Кэширование свойств папок и файлов - клиенты хранят локальные копии папок и файлов
  • Обрабатывает долговременный авторизатор подключения к серверу при повторном подключении и прозрачности на сервере и временном подключении Долговечные дескрипторы - позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
  • Подпись сообщения améliorée-HMAC SHA-256 заменяет алгоритм хеширования MD5 на улучшенное подписание сообщения - HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
  • Расширенный доступ к разделам файлов: количество пользователей, разделов и сотрудников, выходящих на сервер, значительно увеличено Улучшенная масштабируемость для обмена файлами - количество пользователей, общих и открытых файлов на сервере значительно увеличилось
  • Prize en charge des leiens symboliques Поддержка символических ссылок
  • Модель освобождения под залог клиента: ограниченные трансферы для клиента и обслуживающего персонала, после того, как будут выступать в качестве альтернативы для обслуживания клиентов малого и среднего бизнеса.Модель аренды клиентской oplock - ограничивает данные, передаваемые между клиентом и сервером, улучшая производительность в сетях с высокой задержкой и увеличивая масштабируемость SMB-сервера
  • Большой призовой MTU: полное использование 10 Gigabye (Go) Ethernet Поддержка большого MTU - для полного использования 10-гигабайтного (GB) Ethernet
  • Efficacité énergétique améliorée: les clients qui ont des fichiers ouverts sur un serveur peuvent se mettre en veille Повышенная энергоэффективность - клиенты, которые открывают файлы на сервере, могут спать

Протокол SMBv2, впервые введенный в Windows Vista и Windows Server 2008, а также протокол SMBv3, введенный в Windows 8 и Windows Server 2012.Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012. Чтобы получить дополнительную информацию о функциях SMBv2 и SMBv3, ознакомьтесь с дополнительными статьями: Дополнительные сведения о о возможностях SMBv2 и SMBv3 см. в следующих статьях:

Обзор блока сообщений Vue d’ensemble du protocole SMBServer

Nouveautés du système de noms de domaine (SMB) Что нового в SMB

Комментарий суппраймера SMB v1 Как удалить SMB v1

Поддержка голосовых комментариев SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2. Вот как удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.

Методы PowerShell Методы PowerShell
SMB v1 (клиент и сервер) SMB v1 (клиент и сервер)
  • Обнаружение идентификации:

      Get-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • Отключить Отключить:

      Отключить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
  • Activez: Включить:

      Включить-WindowsOptionalFeature -Online -FeatureName smb1protocol  
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод обслуживания для дезактивации SMB Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера сервера для отключения SMB
SMB v1SMB v1

Windows 8.1 и Windows 10: метод PowerShell Windows 8.1 и Windows 10: метод PowerShell
Protocole SMB v1 Протокол SMB v1
  • Обнаружение идентификации:

      Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • Отключить Отключить:

      Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
  • Activez: Включить:

      Включить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  
Protocole SMB v2 / v3 (деактивированный уникальный сервер SMB v2 / v3) Протокол SMB v2 / v3 (отключает только сервер SMB v2 / v3)
  • Обнаружение идентификации:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • Отключить Отключить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Activez: Включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  
Windows 8.1 и Windows 10: метод установки / подавления программ Windows 8.1 и Windows 10: метод установки и удаления программ

Комментарий обнаруживает, активизирует и отключает протоколы SMB на сервере SMB Как определять состояние, включать и отключать протоколы SMB на сервере SMB

Залить Windows 8 и Windows Server 2012 Для Windows 8 и Windows Server 2012

Windows 8 et Windows Server 2012 представляет собой новый апплет команды Windows PowerShell Set-SMBServerConfiguration .Windows 8 и Windows Server 2012 представляют новый командлет Windows PowerShell Set-SMBServerConfiguration . Командное приложение позволяет активировать или отключать протоколы SMBv1, SMBv2 и SMBv3 на составном сервере. Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 на серверном компоненте.

Банкноты

Активен или отключен SMBv2 в Windows 8 или Windows Server 2012, SMBv3 является активным или деактивированным.Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит из-за того, что эти протоколы используют один и тот же стек.

Вы не можете изменить координатор после выполнения приложения для команды Set-SMBServerConfiguration . Вам не нужно перезагружать компьютер после запуска командлета Set-SMBServerConfiguration .

SMB v1 на сервере SMBSMB v1 на сервере SMB
  • Обнаружение идентификации:

      Get-SmbServerConfiguration | Выберите EnableSMB1Protocol.  
  • Отключить Отключить:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ false  
  • Activez: Включить:

      Set-SmbServerConfiguration -EnableSMB1Protocol $ true  

Pour plus d’informations, consultez stockage serveur chez Microsoft.Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB v2 / v3 на сервере SMBSMB v2 / v3 на сервере SMB
  • Обнаружение идентификации:

      Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.  
  • Отключить Отключить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ false  
  • Activez: Включить:

      Set-SmbServerConfiguration -EnableSMB2Protocol $ true  

Залить Windows 7, Windows Server 2008 R2, Windows Vista et Windows Server 2008 Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Активируйте или отключите протоколы SMB на сервере SMB, чтобы запустить Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, с помощью Windows PowerShell или администратора регистрации.Чтобы включить или отключить протоколы SMB на SMB-сервере под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Методы PowerShell Методы PowerShell

Банкноты

Этот метод необходим PowerShell 2,0 или последняя версия PowerShell. Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.

SMB v1 на сервере SMBSMB v1 на сервере SMB

Обнаружение идентификации:

  Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _.pspath}  

Configuration par défaut = activé (aucune clé de Registre n’est créée), donc aucune valeur SMB1 n’est retournée Конфигурация по умолчанию = Enabled (ключ реестра не создается), поэтому значение SMB1 не будет возвращено.

Выключить Выключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force  

Activez: Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force  

Remarque Vous devez redémarrer l’ordinateur après escapeir apporté ces модификации. Примечание После внесения этих изменений необходимо перезагрузить компьютер. Pour plus d’informations, consultez stockage serveur chez Microsoft.Для получения дополнительной информации см. Серверное хранилище в Microsoft.

SMB v2 / v3 на сервере SMBSMB v2 / v3 на сервере SMB

Обнаружение идентификации:

  Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}  

Выключить Выключить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force  

Activez: Включить:

  Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force  

Банкноты

Vous devez redémarrer l’ordinateur après Избавиться от изменений.После внесения этих изменений необходимо перезагрузить компьютер.

Éditeur du Registre Редактор реестра

Важно

Следуйте инструкциям, указанным в этом разделе, внимательно. Если вы измените реестр некорректно, могут возникнуть серьезные проблемы, которые могут возникнуть при внесении изменений в реестр. Avant de le modifier, sauvegardez le Registre afin de pouvoir le restaurer en cas de problème.Перед внесением изменений создайте резервную копию реестра для восстановления на случай возникновения проблем.

Залейте активный или отключенный SMBv1 на сервере SMB, настройте запрос на регистрацию: Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Активируйте или отключите SMBv2 на сервере SMB, сконфигурируйте ключ регистрации suivante: Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  Запись в реестре: SMB2 REG_DWORD: 0 = отключено REG_DWORD: 1 = Включено По умолчанию: 1 = Включено (раздел реестра не создается)  

Банкноты

Vous devez redémarrer l’ordinateur après Избавиться от изменений.После внесения этих изменений необходимо перезагрузить компьютер.

Комментарий обнаруживает, активизирует и отключает протоколы SMB на клиенте SMB Как определять статус, включать и отключать протоколы SMB на клиенте SMB

Залить Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012 Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012

Банкноты

Активен или отключен SMBv2 в Windows 8 или Windows Server 2012, SMBv3 является активным или деактивированным.Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит из-за того, что эти протоколы используют один и тот же стек.

SMB v1 на клиенте SMBSMB v1 на клиенте SMB
  • Обнаружить Обнаружить

      sc.exe qc lanmanworkstation  
  • Отключить Отключить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb20 / nsi sc.exe config mrxsmb10 start = отключено  
  • Activez: Включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb10 start = auto  

Pour plus d’informations, consultez stockage serveur chez Microsoft Для получения дополнительной информации см. Серверное хранилище в Microsoft

.
SMB v2 / v3 на клиенте SMBSMB v2 / v3 на клиенте SMB
  • Обнаружение идентификации:

      сбн.exe qc lanmanworkstation  
  • Отключить Отключить:

      sc.exe конфигурация lanmanworkstation зависит = bowser / mrxsmb10 / nsi sc.exe config mrxsmb20 start = отключено  
  • Activez: Включить:

      sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb20 start = auto  

Банкноты

  • Vous devez exécuter ces commandes à partid’une prompt de Commandes avec élévation de Privilèges.Эти команды необходимо запускать в командной строке с повышенными привилегиями.
  • После внесения изменений после изменения внесения изменений. После внесения этих изменений компьютер необходимо перезагрузить.

Отключить сервер SMBv1 со стратегией группы Отключить сервер SMBv1 с групповой политикой

Cette procédure configure le nouvel élément suivant dans le registre: Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

  • Entrée de Registre: SMB1 Запись в реестре: SMB1
  • REG_DWORD: 0 = désactivéREG_DWORD: 0 = отключено

Залейте конфигурацию в стратегию группы, выполните следующие действия: Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Ouvrez la Console de gestion des stratégies de groupe .Откройте консоль управления групповой политикой . Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, щелкнув его по модификатору . а затем нажмите Изменить .

  2. Dans l’arborescence de la console, sous Configuration ordinateur , développez le dossier Préférences , puis développez le dossier Paramètres Windows .В дереве консоли в разделе Конфигурация компьютера разверните папку Параметры , а затем разверните папку Параметры Windows .

  3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый элемент реестра и выберите Новый элемент реестра и выберите Новый элемент реестра .

В диалоговом окне Propriétés du nouveau registre , sélectionnez les éléments suivants: В диалоговом окне New Registry Properties выберите следующее:

  • Действие : créer Действие : Создать
  • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
  • Chemin для клиента: SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
  • Номинал по цене: SMB1 Имя значения : SMB1
  • Тип значения : REG_DWORD Тип значения : REG_DWORD
  • Données de la valeur: 0 Данные значения : 0

Les composants du serveur SMBv1 sont alors désactivés.Это отключает компоненты сервера SMBv1. Эта групповая политика применяется ко всем необходимым рабочим станциям, серверам и контроллерам доменов в домене.

Банкноты

Фильтры WMI, которые могут быть определены для исключений систем эксплуатации без платы за выбранные исключения, связанные с Windows XP. Фильтры WMI также могут быть настроены для исключения неподдерживаемых операционных систем или выбранных исключений, таких как Windows XP.

Важно

Создает осторожный отчет о внесении изменений в контроллеры домена на разных уровнях Windows XP или уровней систем Linux и уровней (предварительно не пропустив SMBv2 или SMBv3). dans lesquels SMB v1 est désactivé. Будьте осторожны при внесении этих изменений на контроллеры домена, на которых устаревшая Windows XP или более старые Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим папкам, где SMB v1 отключен.

Отключить клиент SMBv1 со стратегией группы Отключить клиент SMBv1 с групповой политикой

Чтобы отключить клиентский SMBv1, нажмите кнопку регистрации услуг, чтобы сделать это после выхода из строя MRxSMB10 , после того, как он будет зависеть от MRxSMB10 , после того, как будет предоставлен доступ к станции , после входа démarrer normalement sans nécessiter le premier démarrage de MRxSMB10 . Чтобы отключить клиент SMBv1, необходимо обновить ключ реестра служб, чтобы отключить начало MRxSMB10 , а затем необходимо удалить зависимость от MRxSMB10 из записи для LanmanWorkstation , чтобы он мог нормально запускаться, не требуя для первого запуска MRxSMB10 .

Для изменения значений в журнале и восстановления данных по умолчанию в двух элементах реестра: это обновит и заменит значения по умолчанию в следующих двух элементах реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10

Entrée de Registre: Start REG_DWORD: 4 = DisabledRegistry entry: Start REG_DWORD: 4 = Disabled

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation

Entrée de Registre: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20», «NSI» Запись в реестре: DependOnService REG_MULTI_SZ: «NSI» ″ ″ MR18xSmb20 », MR18xSmb

Банкноты

Le MRxSMB10 inclus par défaut, qui est support support en tant que dependance.По умолчанию включен MRxSMB10, который теперь удален как зависимость.

Залейте конфигурацию в стратегию группы, выполните следующие действия: Чтобы настроить это с помощью групповой политики, выполните следующие действия:

  1. Ouvrez la Console de gestion des stratégies de groupe . Откройте консоль управления групповой политикой . Нажмите на кнопку «Бутон права на объект стратегии группы» (GPO), чтобы он содержал новый элемент преференции, щелкнув по модификатору .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .

  2. Dans l'arborescence de la console, sous Configuration ordinateur , développez le dossier Préférences , puis développez le dossier Paramètres Windows . В дереве консоли в папке Computer Configuration Preferences разверните затем разверните папку Windows Settings .

  3. Щелкните правой кнопкой мыши узел реестра , укажите на Новый элемент реестра и выберите Новый элемент реестра и выберите Новый элемент реестра .

  4. Dans la boîte de dialog Propriétés du nouveau registre , sélectionnez les éléments suivants: В диалоговом окне New Registry Properties выберите следующее:

    • Action : mettre à jour Action : Update
    • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
    • Chemin для клиента: SYSTEM \ CurrentControlSet \ services \ mrxsmb10 Путь к ключу : SYSTEM \ CurrentControlSet \ services \ mrxsmb10
    • Nom de la valeur: début Имя значения : Start
    • Тип значения : REG_DWORD Тип значения : REG_DWORD
    • Données de la valeur: 4 Данные значения : 4

  5. Supprimez ensuite la dependance sur le MRxSMB10 qui vient d’être désactivé.Затем удалите зависимость от MRxSMB10 , которая была только что отключена.

    Dans la boîte de dialog Propriétés du nouveau registre , sélectionnez les éléments suivants: в диалоговом окне New Registry Properties выберите следующее:

    • Действие : заменитель Действие : заменить
    • Улей : HKEY_LOCAL_MACHINE Улей : HKEY_LOCAL_MACHINE
    • Chemin для клиента: SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
    • Nom de la valeur: DependOnService Имя значения : DependOnService
    • Тип значения : REG_MULTI_SZ Тип значения : REG_MULTI_SZ
    • Données de la valeur: Данные о стоимости :
      • BowserBowser
      • MRxSmb20MRxSmb20
      • НСИНСИ

    Банкноты

    Ces trois chaînes ne comporteront pas de puces (voir la capture d’écran suivante).У этих трех строк не будет маркеров (см. Следующий снимок экрана).

    Обязательный для MRxSMB10 в различных версиях Windows. par conséquent, si vous les remplacez par cette chaîne à valeurs, multiples, vous supprimez MRxSMB10 en tant que dependance pour LanmanServer et en allant de quatre valeurs par défaut à ces trois valeurs ci-dessom

    81. во многих версиях Windows, поэтому, заменяя их этой многозначной строкой, он фактически удаляет MRxSMB10 как зависимость для LanmanServer и переходит от четырех значений по умолчанию только к этим трем значениям выше.

    Банкноты

    Lorsque vous utilisez Console de gestion des stratégies de groupe, vous n’êtes pas обязательный d’utiliser des guillemets ou des virgules. Когда вы используете консоль управления групповой политикой, вам не нужно использовать кавычки или запятые. Tapez simplement chaque entrée sur des lignes Individualuelles. Просто введите каждую запись в отдельной строке.

  6. Перезагрузите системы для завершения деактивации SMB v1. Перезапустите целевые системы, чтобы завершить отключение SMB v1.

Аудит использования SMBv1 Аудит использования SMBv1

Выполните определение клиентов, которые будут подключаться к серверу SMB по SMBv1, вы можете активировать аудит по Windows Server 2016, Windows 10 и Windows Server 2019. Чтобы определить, какие клиенты пытаются подключиться к SMB-серверу с помощью SMBv1, вы можете включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Чтобы выполнить аудит для аудита Windows 7 и Windows Server 2008 R2, нужно установить последнюю версию 2018 и Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2 устанавливаются только в июле 2017 г. Вы также можете выполнять аудит в Windows 7 и Windows Server 2008 R2, если они установили ежемесячное обновление за май 2018 г., и в Windows 8, Windows 8.1, Windows Server 2012 и Windows Server 2012 R2, если они установили ежемесячное обновление за июль 2017 г.

  • Activez: Включить:

      Set-SmbServerConfiguration -AuditSmb1Access $ true  
  • Отключить Отключить:

      Set-SmbServerConfiguration -AuditSmb1Access $ false  
  • Обнаружение идентификации:

      Get-SmbServerConfiguration | Выберите AuditSmb1Access  

Lorsque l’audit SMBv1 est activé, l’événement 3000 apparaît в журнале событий «Microsoft-Windows-SMBServer \ Audit», идентифицируемый клиентский клиент, который подключается к SMBv1.Когда аудит SMBv1 включен, в журнале событий «Microsoft-Windows-SMBServer \ Audit» появляется событие 3000, идентифицирующее каждого клиента, который пытается подключиться к SMBv1.

Резюме

Если все параметры находятся в одном объекте групповой политики (GPO), то в разделе «Управление групповой политикой» отображается следующие настройки.

Тестирование и валидация Тестирование и валидация

Une fois ces derniers configurés, autorisez la réplication et la mise à jour de la stratégie.После их настройки разрешите репликацию и обновление политики. При необходимости для проверки, выполните gpupdate / force в качестве приглашения команд, после проверки правильности параметров регистрации и исправления приложений. При необходимости для проверки запустите force в командной строке, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно. Гарантия функционирования SMB v2 и SMB v3 для всех автономных систем среды.Убедитесь, что SMB v2 и SMB v3 работают для всех других систем в среде.

Банкноты

N’oubliez pas de redémarrer les systèmes cible. Не забудьте перезапустить целевые системы.

.

Смотрите также