Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server

Gilt für: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business Mehr

Zusammenfassung


In diesem Artikel wird beschrieben, wie Sie Server Message Block (SMB) Version 1 (SMBv1), SMB Version 2 (SMBv2) und SMB Version 3 (SMBv3) auf den SMB-Client- und Serverkomponenten aktivieren und deaktivieren. 
 

In Windows 7 und Windows Server 2008 R2 wird durch das Deaktivieren von SMBv2 die folgende Funktionalität deaktiviert:
  • Verbindung von Anforderungen - ermöglicht es, mehrere SMB 2-Anforderungen als eine Netzwerkanforderung zu senden
  • Größere Lese- und Schreibvorgänge - bessere Nutzung schnellerer Netzwerke
  • Zwischenspeicherung von Ordner- und Dateieigenschaften - Clients speichern lokale Kopie von Ordnern und Dateien
  • Dauerhafte Handles - ermöglichen es, dass eine Serververbindung bei einer kurzzeitigen Verbindungsunterbrechung transparent wiederhergestellt wird
  • Verbesserte Nachrichtensignierung - HMAC SHA-256 ersetzt den MD5-Hashalgorithmus
  • Verbesserte Skalierbarkeit zur Dateifreigabe - sehr viel größere Anzahl der Benutzer, Freigaben und geöffneten Dateien pro Server
  • Unterstützung für symbolische Links
  • Client-Oplock-Leasingmodell - begrenzt die Datenmenge, die zwischen Client und Server übertragen wird, verbessert die Leistung bei Netzwerken mit hoher Latenz und verbessert die SMB-Serverskalierbarkeit
  • Unterstützung großer MTUs - zur optimalen Nutzung von 10-Gigabyte-Ethernet
  • Verbesserte Energieeffizienz - Clients, die auf dem Server Dateien geöffnet haben, können in den Ruhezustand versetzt werden
In Windows 8, Windows 8.1, Windows 10, Windows Server 2012 und Windows Server 2016 wird durch das Deaktivieren von SMBv3 die folgende Funktionalität (sowie die SMBv2-Funktionalität, die in der vorherigen Liste beschrieben wurde) deaktiviert:
  • Transparentes Failover – Clients stellen während Wartung oder Failover unterbrechungsfrei die Verbindung zu Clusterknoten wieder her
  • Skalierung – gleichzeitiger Zugriff auf freigegebene Daten auf allen Dateiclusterknoten 
  • Verwendung mehrerer Kanäle – Aggregation der Netzwerkbandbreite und Fehlertoleranz, wenn mehrere Pfade zwischen Client und Server verfügbar sind
  • SMB Direct – bietet zusätzlich RDMA-Netzwerkunterstützung für höchste Leistung mit niedriger Latenz und niedriger CPU-Nutzung
  • Verschlüsselung – Bietet End-zu-End-Verschlüsselung und schützt vor Lauschangriffen in nicht vertrauenswürdigen Netzwerken
  • Verzeichnisleasing – Verbesserte Reaktionszeiten von Anwendungen in Zweigniederlassungen durch Zwischenspeicherung
  • Leitungsoptimierungen – Optimierungen für kleine wahlfreie Lese-/Schreib-EA-Vorgänge

Weitere Informationen


Das SMBv2-Protokoll wurde in Windows Vista und Windows Server 2008 eingeführt.

Das SMBv3-Protokoll wurde in Windows 8 und Windows Server 2012 eingeführt.

Weitere Informationen zu den Funktionen von SMBv2 und SMBv3 finden Sie auf den folgenden Microsoft TechNet-Websites:
 

Ordnungsgemäßes Entfernen von SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2 und Windows Server 2016


Windows Server 2012 R2 und 2016: PowerShell-Methoden

SMB v1

Erkennen:

Get-WindowsFeature FS-SMB1

Deaktivieren:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Aktivieren:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Erkennen:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Deaktivieren:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Aktivieren:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 und Windows Server 2016: Server-Manager-Methode zum Deaktivieren von SMB

SMB v1
Server-Manager – Dashboardmethode



Windows 8.1 und Windows 10: PowerShell-Methode

SMB v1-Protokoll



Windows 8.1 und Windows 10: „Programme hinzufügen oder entfernen“-Methode

Clientmethode zum Hinzufügen/Entfernen von Programmen
 
 

Statuserkennung, Aktivieren oder Deaktivieren der SMB-Protokolle auf dem SMB-Server


Windows 8 und Windows Server 2012

In Windows 8 und Windows Server 2012 wird das neue Windows PowerShell-Cmdlet Set-SMBServerConfiguration eingeführt. Das Cmdlet ermöglicht Ihnen, die Protokolle SMBv3, SMBv1 und SMBv2 auf der Serverkomponente zu aktivieren oder zu deaktivieren. 


Nach der Ausführung des Set-SMBServerConfiguration-Cmdlets muss der Computer nicht neu gestartet werden.

SMB v1 auf dem SMB-Server
Erkennen: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Deaktivieren: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Aktivieren: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Weitere Informationen finden Sie unter Serverspeicher von Microsoft.

SMB v2/v3 auf dem SMB-Server
Erkennen: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Deaktivieren: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Aktivieren: Set-SmbServerConfiguration -EnableSMB2Protocol $true


Windows 7, Windows Server 2008 R2, Windows Vista und Windows Server 2008

Verwenden Sie zum Aktivieren oder Deaktivieren der SMB-Protokolle auf einem SMB-Server unter Windows 7, Windows Server 2008 R2, Windows Vista oder Windows Server 2008 Windows PowerShell oder den Registrierungs-Editor.

PowerShell-Methoden


SMB v1 auf dem SMB-Server

Erkennen:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Default configuration = Enabled (kein Registrierungsschlüssel wird erstellt), daher wird kein SMB1-Wert zurückgegeben.

Deaktivieren:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Aktivieren:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Hinweis Sie müssen Ihren Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.

Weitere Informationen finden Sie unter Serverspeicher von Microsoft.

SMB v2/v3 auf dem SMB-Server

Erkennen:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Deaktivieren:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Aktivieren:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Hinweis Sie müssen Ihren Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.


Registrierungs-Editor

Wichtig Dieser Artikel enthält Informationen über das Bearbeiten der Registrierung. Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie die Registrierung bearbeiten. Sie müssen wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Um SMBv1 auf dem SMB-Server zu aktivieren oder zu deaktivieren, konfigurieren Sie den folgenden Registrierungsschlüssel:

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registrierungseintrag: SMB1
REG_DWORD: 0 = Deaktiviert
REG_DWORD: 1 = Aktiviert
Standardwert: 1 = Aktiviert (Es wird kein Registrierungsschlüssel erstellt)

Um SMBv2 auf dem SMB-Server zu aktivieren oder zu deaktivieren, konfigurieren Sie den folgenden Registrierungsschlüssel:

Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registrierungseintrag: SMB2
REG_DWORD: 0 = Deaktiviert
REG_DWORD: 1 = Aktiviert
Standardwert: 1 = Aktiviert (Es wird kein Registrierungsschlüssel erstellt)


Hinweis Sie müssen Ihren Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.

Statuserkennung, Aktivieren oder Deaktivieren der SMB-Protokolle auf dem SMB-Client


Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012

Hinweis Wenn Sie SMBv2 in Windows 8 oder in Windows Server 2012 aktivieren oder deaktivieren, wird SMBv3 ebenfalls aktiviert oder deaktiviert. Dieses Verhalten tritt auf, weil diese Protokolle denselben Stapel verwenden.

SMBv1 auf dem SMB-Client
Erkennen: sc.exe qc lanmanworkstation
Deaktivieren: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Aktivieren: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Weitere Informationen finden Sie unter Serverspeicher von Microsoft.

SMBv2/v3 auf dem SMB-Client
Erkennen: sc.exe qc lanmanworkstation
Deaktivieren: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Aktivieren: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Hinweise

  • Sie müssen diese Befehle an einer Eingabeaufforderung mit erhöhten Rechten ausführen.
  • Sie müssen Ihren Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.

Deaktivieren des SMBv1-Servers mithilfe der Gruppenrichtlinien


Dieser Vorgang konfiguriert das folgende neue Element in der Registrierung:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registrierungseintrag: SMB1 REG_DWORD: 0 = Deaktiviert


So nehmen Sie die Konfiguration mithilfe der Gruppenrichtlinien vor:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.
  2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen, und erweitern Sie anschließend den Ordner Windows-Einstellungen.
  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement aus.

    -Neu - Registrierung Registrierungselement

Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:

  • Aktion: Create
  • Struktur: HKEY_LOCAL_MACHINE
  • Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Wertname: SMB1
  • Werttyp: REG_DWORD
  • Wert: 0

Registrierungseigenschaften der neuen - Allgemein

Hiermit werden die SMBv1-Serverkomponenten deaktiviert. Diese Gruppenrichtlinie muss auf alle erforderlichen Arbeitsstationen, Server und Domänencontroller in der Domäne angewendet werden.

Hinweis WMI-Filter können ebenfalls festgelegt werden, um nicht-unterstützte Betriebssysteme oder ausgewählte Ausschlüsse, wie Windows XP, auszuschließen. 

Deaktivieren des SMBv1-Clients mithilfe der Gruppenrichtlinien


Zum Deaktivieren des SMBv1-Clients muss der Registrierungsschlüssel „Services“ aktualisiert werden, um das Starten von MRxSMB10 zu deaktivieren. Anschließend muss die Abhängigkeit von MRxSMB10 im Registrierungseintrag für LanmanWorkstation entfernt werden, damit die Komponente normal gestartet werden kann, ohne dass zuvor MRxSMB10 gestartet werden muss.

Hiermit werden die Standardwerte in den folgenden zwei Elementen in der Registrierung aktualisiert und ersetzt:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registrierungseintrag: Start REG_DWORD: 4 = Deaktiviert

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registrierungseintrag: DependOnService REG_MULTI_SZ: „Bowser“, „MRxSmb20“, „NSI“


Hinweis MRxSMB10 war standardmäßig enthalten und wurde nun als Abhängigkeit entfernt.


So nehmen Sie die Konfiguration mithilfe der Gruppenrichtlinien vor:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.
  2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen, und erweitern Sie anschließend den Ordner Windows-Einstellungen.
  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement aus.

-Neu - Registrierung Registrierungselement

Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:

  • Aktion: Update
  • Struktur: HKEY_LOCAL_MACHINE
  • Schlüsselpfad: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Wertname: Start
  • Werttyp: REG_DWORD
  • Wert: 4

Start-Eigenschaften - Allgemein

Entfernen Sie anschließend die Abhängigkeit von der soeben deaktivierten MRxSMB10-Komponente.

Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:

  • Aktion: Replace
  • Struktur: HKEY_LOCAL_MACHINE
  • Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Wertname: DependOnService
  • Werttyp: REG_MULTI_SZ
  • Wert:
    • Bowser
    • MRxSmb20
    • NSI

Hinweis Diese drei Strings haben keine Stichpunkte (siehe folgenden Screenshot).

DependOnService Eigenschaften

MRxSMB10 ist standardmäßig in vielen Windows-Versionen enthalten. Durch Ersetzen mit dieser mehrwertigen Zeichenfolge wird MRxSMB10 als Abhängigkeit für LanmanServer entfernt und die vier Standardwerte werden auf die obigen drei Werte reduziert.

Hinweis Wenn Sie die Verwaltungskonsole für Gruppenrichtlinien verwenden, müssen Sie keine Anführungszeichen oder Kommas verwenden. Geben Sie einfach wie oben dargestellt jeden Eintrag in eine separate Zeile ein.

Neustart erforderlich.

Nachdem die Richtlinie angewendet wurde und die Registrierungseinstellungen vorhanden sind, müssen die Zielsysteme neu gestartet werden, damit SMB v1 deaktiviert wird.

Zusammenfassung

Wenn alle Einstellungen im selben Gruppenrichtlinienobjekt (GPO) vorhanden sind, werden im Gruppenrichtlinienverwaltungs-Editor die nachfolgenden Einstellungen angezeigt.

Gruppenrichtlinienverwaltungs-Editor - Registrierung

Testen und Validieren

Nach erfolgter Konfiguration sollte die Richtlinie repliziert und aktualisiert werden. Soweit dies zu Testzwecken erforderlich ist, führen Sie gpupdate /force in einer CMD.EXE-Eingabeaufforderung aus und überprüfen Sie dann die Zielcomputer, um sicherzustellen, dass die Registrierungseinstellungen ordnungsgemäß angewendet werden. Stellen Sie sicher, dass SMB v2 und SMB v3 für alle anderen Systeme in der Umgebung ordnungsgemäß funktionieren.