SMBv1:n, SMBv2:n ja SMBv3:n havaitseminen, ottaminen käyttöön ja poistaminen käytöstä Windowsissa ja Windows Serverissä

Koskee seuraavia: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business Enemmän

Yhteenveto


Tässä artikkelissa kuvataan, miten Server Message Block (SMB) -protokollan versio 1 (SMBv1), versio 2 (SMBv2) ja versio 3 (SMBv3) otetaan käyttöön ja poistetaan käytöstä SMB-asiakkaassa ja palvelinkomponenteissa. 
 

Windows 7:ssä ja Windows Server 2008 R2:ssa SMBv2:n poistaminen käytöstä estää seuraavat toiminnot:
  • Pyyntöjen yhdistäminen - useiden SMB 2 -pyyntöjen lähettäminen yhtenä verkkopyyntönä
  • Suuret luku- ja kirjoitustoiminnot - nopeitten verkkojen tehostettu käyttö
  • Kansioiden ja tiedostojen ominaisuuksien siirto välimuistiin - asiakkaat voivat pitää paikallisia kopioita kansioista ja tiedostoista
  • Kestävät kahvat - läpinäkyvän uudelleenyhdistämisen salliminen palvelimeen yhteyden katketessa tilapäisesti
  • Parannettu viestien allekirjoitus - HMAC SHA-256 korvaa MD5:n hajautusalgoritmina
  • Tiedostojen jakamisen parannettu skaalaus - käyttäjien, jaettujen verkkoresurssien ja avoimien tiedostojen määrän selvä kasvattaminen palvelinkohtaisesti
  • Symbolisten linkkien tuki
  • Asiakkaan oplock-vuokrausmalli - rajoittaa asiakkaan ja palvelimen välistä tiedonsiirtoa, mikä parantaa suorituskykyä verkoissa, joissa on paljon viipeitä, ja lisää SMB-palvelimen skaalautuvuutta
  • Suuri MTU-tuki - 10 gigatavun Ethernetin täysimittainen käyttö
  • Parannettu energiatehokkuus - asiakkaat, joilla on avoimia tiedostoja palvelimessa, voivat mennä lepotilaan
SMBv3:n poistaminen käytöstä Windows 8:ssa, Windows 8.1:ssä, Windows 10:ssä, Windows Server 2012:ssa ja Windows Server 2016:ssa estää seuraavat toiminnot (sekä edellä olevassa luettelossa kuvatut SMBv2:n toiminnot):
  • Läpinäkyvä vikasieto - asiakkaan uudelleenyhdistäminen ilman keskeytystä klusterisolmuihin ylläpidon aikana tai vikasietotilanteessa
  • Skaalaus – jaettujen tietojen samanaikainen käyttö kaikissa tiedostoklusterisolmuissa 
  • Monikanavaisuus - verkon kaistanleveyden ja vikasiedon yhdistäminen, kun asiakkaan ja palvelimen välillä on käytettävissä useita polkuja
  • SMB Direct – lisää RDMA-verkkotuen, mikä parantaa merkittävästi suorituskykyä, lyhentää viipeitä ja laskee suoritinkäyttöä
  • Salaus – kattava salaus ja suojaus kuuntelulta epäluotettavissa verkoissa
  • Hakemistovuokraus - parantaa sovellusten vasteaikoja haarakonttoreissa välimuistin käytön avulla
  • Suorituskykyparannukset - pienten satunnaisten luku- ja kirjoitustoimintojen I/O-liikenteen optimointi

Lisätietoja


SMBv2-protokolla otettiin ensimmäisen kerran käyttöön Windows Vistassa ja Windows Server 2008:ssa.

SMBv3-protokolla otettiin ensimmäisen kerran käyttöön Windows 8:ssa ja Windows Server 2012:ssa.

Lisätietoja SMBv2:n ja SMBv3:n ominaisuuksista on seuraavilla Microsoft TechNet -verkkosivuilla:
 

SMB v1:n poistaminen Windows 8.1:stä, Windows 10:stä, Windows 2012 R2:sta ja Windows Server 2016:sta normaaliin tapaan


Windows Server 2012 R2 ja 2016: PowerShell-tavat

SMB v1

Havaitse:

Get-WindowsFeature FS-SMB1

Poista käytöstä:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Ota käyttöön:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Havaitse:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Poista käytöstä:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Ota käyttöön:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 ja Windows Server 2016: Server Manager -tapa poistaa SMB käytöstä

SMB v1
Server Manager - Dashboard method



Windows 8.1 ja Windows 10: PowerShell-tapa

SMB v1 -protokolla



Windows 8.1 ja Windows 10: Lisää tai poista sovellus -tapa

Add-Remove Programs client method
 
 

SMB-protokollien tilan havaitseminen, ottaminen käyttöön tai poistaminen käytöstä SMB-palvelimessa


Windows 8 ja Windows Server 2012

Windows 8:ssa ja Windows Server 2012:ssa on uusi Windows PowerShell -cmdlet-komento nimeltä Set-SMBServerConfiguration. Tällä cmdlet-komennolla voi ottaa käyttöön tai poistaa käytöstä SMBv1-, SMBv2- ja SMBv3-protokollat palvelinkomponentissa. 


Tietokonetta ei tarvitse käynnistää uudelleen Set-SMBServerConfiguration-cmdlet-komennon suorittamisen jälkeen.

SMB v1, joka on SMB-palvelimessa
Havaitse: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Poista käytöstä: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Ota käyttöön: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Lisätietoja: Server storage at Microsoft (Palvelimen säilytys Microsoftin tiloissa).

SMB v2/v3, joka on SMB-palvelimessa
Havaitse: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Poista käytöstä: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Ota käyttöön: Set-SmbServerConfiguration -EnableSMB2Protocol $true


Windows 7, Windows Server 2008 R2, Windows Vista ja Windows Server 2008

Jos haluat ottaa käyttöön tai poistaa käytöstä SMB-protokollia SMB-palvelimessa, jossa on Windows 7, Windows Server 2008 R2, Windows Vista tai Windows Server 2008, käytä Windows PowerShelliä tai Rekisterieditoria.

PowerShell-tavat


SMB v1, joka on SMB-palvelimessa

Havaitse:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Oletuskokoonpano = Käytössä (Rekisteriavainta ei luoda), joten SMB1-arvoa ei saada

Poista käytöstä:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Ota käyttöön:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Huomautus Tietokone on käynnistettävä uudelleen näiden muutosten jälkeen.

Lisätietoja: Server storage at Microsoft (Palvelimen säilytys Microsoftin tiloissa).

SMB v2/v3, joka on SMB-palvelimessa

Havaitse:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Poista käytöstä:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Ota käyttöön:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Huomautus Tietokone on käynnistettävä uudelleen näiden muutosten jälkeen.


Rekisterieditori

Tärkeää Tässä artikkelissa on rekisterin muokkaamiseen liittyviä tietoja. Muista varmuuskopioida rekisteri ennen muokkaustoimia. Varmista, että osaat palauttaa rekisterin ongelmatilanteessa. Lisätietoja rekisterin varmuuskopioimisesta, palauttamisesta ja muokkaamisesta saat napsauttamalla seuraavaa Microsoft Knowledge Base -artikkelinumeroa:
322756 Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa

Jos haluat ottaa SMBv1:n käyttöön tai poistaa sen käytöstä SMB-palvelimessa, määritä seuraava rekisteriavain:

Rekisterin aliavain: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Rekisterin merkintä: SMB1
REG_DWORD: 0 = Ei käytössä
REG_DWORD: 1 = Käytössä
Oletusarvo: 1 = Käytössä (Rekisteriavainta ei luoda)

Jos haluat ottaa SMBv2:n käyttöön tai poistaa sen käytöstä SMB-palvelimessa, määritä seuraava rekisteriavain:

Rekisterin aliavain:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Rekisterin merkintä: SMB2
REG_DWORD: 0 = Ei käytössä
REG_DWORD: 1 = Käytössä
Oletusarvo: 1 = Käytössä (Rekisteriavainta ei luoda)


Huomautus Tietokone on käynnistettävä uudelleen näiden muutosten jälkeen.

SMB-protokollien tilan havaitseminen, ottaminen käyttöön tai poistaminen käytöstä SMB-asiakkaassa


Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 ja Windows Server 2012

Huomautus Kun otat käyttöön tai poistat käytöstä SMBv2:n Windows 8:ssa tai Windows Server 2012:ssa, myös SMBv3 tulee käyttöön tai poistuu käytöstä. Näin tapahtuu siksi, että protokollat ovat samassa pinossa.

SMB v1, joka on SMB-asiakkaassa
Havaitse: sc.exe qc lanmanworkstation
Poista käytöstä: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Ota käyttöön: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Lisätietoja: Server storage at Microsoft (Palvelimen säilytys Microsoftin tiloissa)

SMB v2/v3, joka on SMB-asiakkaassa
Havaitse: sc.exe qc lanmanworkstation
Poista käytöstä: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Ota käyttöön: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Huomautuksia

  • Nämä komennot on suoritettava järjestelmänvalvojan oikeuksin suoritettavasta komentokehotteesta.
  • Tietokone on käynnistettävä uudelleen näiden muutosten jälkeen.

SMBv1-palvelinprotokollan poistaminen käytöstä ryhmäkäytännön avulla


Tämä toimenpide määrittää rekisteriin seuraavan uuden kohteen:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Rekisterin merkintä: SMB1 REG_DWORD: 0 = Ei käytössä


Määrittäminen ryhmäkäytännön avulla:

  1. Avaa ryhmäkäytäntöjen hallintakonsoli. Napsauta hiiren kakkospainikkeella sitä ryhmäkäytäntöobjektia (GPO), johon uusi asetuskohde on tarkoitus sisällyttää, ja valitse sitten Muokkaa.
  2. Laajenna kohdan Tietokoneasetukset alla olevan konsolipuun Asetukset-kansio ja laajenna sitten Windows-asetukset-kansio.
  3. Napsauta Rekisteri-solmua hiiren kakkospainikkeella, osoita kohtaa Uusi ja valitse Rekisterikohde.

    Registry - New - Registry Item

Tee New Registry Properties (Uuden rekisterin ominaisuudet) -valintaikkunassa seuraavat valinnat:

  • Toiminto: Luo
  • Rakenne: HKEY_LOCAL_MACHINE
  • Avaimen polku: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Arvon nimi: SMB1
  • Arvon tyyppi: REG_DWORD
  • Arvon data: 0

New Registry Properties - General

Tämä poistaa SMBv1-protokollan palvelinkomponentit käytöstä. Tämä ryhmäkäytäntö on otettava käyttöön toimialueen kaikissa tarvittavissa työasemissa, palvelimissa ja toimialueen ohjauskoneissa.

Huomautus WMI-suodattimet voidaan myös määrittää sulkemaan pois ei-tuetut käyttöjärjestelmät tai valitut käyttöjärjestelmät, kuten Windows XP. 

SMBv1-asiakasprotokollan poistaminen käytöstä ryhmäkäytännön avulla


SMBv1-protokollan asiakasominaisuudet poistetaan käytöstä päivittämällä palveluiden rekisteriavain siten, että komponentin MRxSMB10 käynnistys poistetaan käytöstä, minkä jälkeen LanmanWorkstation-merkinnästä on poistettava sen riippuvuus komponentista MRxSMB10, jotta se voi käynnistyä normaalisti ilman MRxSMB10-komponenttia.

Tämä toimenpide päivittää ja korvaa seuraavien 2 rekisterikohteen oletusarvot:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Rekisterin merkintä: Start REG_DWORD: 4 = Ei käytössä

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Rekisterin merkintä: DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20","NSI"


Huomautus MRxSMB10 sisältyi oletusarvoon, mutta tämä riippuvuus on nyt poistettu


Määrittäminen ryhmäkäytännön avulla:

  1. Avaa ryhmäkäytäntöjen hallintakonsoli. Napsauta hiiren kakkospainikkeella sitä ryhmäkäytäntöobjektia (GPO), johon uusi asetuskohde on tarkoitus sisällyttää, ja valitse sitten Muokkaa.
  2. Laajenna kohdan Tietokoneasetukset alla olevan konsolipuun Asetukset-kansio ja laajenna sitten Windows-asetukset-kansio.
  3. Napsauta Rekisteri-solmua hiiren kakkospainikkeella, osoita kohtaa Uusi ja valitse Rekisterikohde.

Registry - New - Registry Item

Tee New Registry Properties (Uuden rekisterin ominaisuudet) -valintaikkunassa seuraavat valinnat:

  • Toiminto: Päivitä
  • Rakenne: HKEY_LOCAL_MACHINE
  • Avaimen polku: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Arvon nimi: Käynnistä
  • Arvon tyyppi: REG_DWORD
  • Arvon data: 4

Start Properties - General

Poista sitten juuri käytöstä poistetun komponentin MRxSMB10 riippuvuus

Tee New Registry Properties (Uuden rekisterin ominaisuudet) -valintaikkunassa seuraavat valinnat:

  • Toiminto: Korvaa
  • Rakenne: HKEY_LOCAL_MACHINE
  • Avaimen polku: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Arvon nimi: DependOnService (Riippuu palvelusta)
  • Arvon tyyppi REG_MULTI_SZ
  • Arvon data:
    • Bowser
    • MRxSmb20
    • NSI

Huomautus Näissä kolmessa merkkijonossa ei ole luettelomerkkejä (katso seuraavaa näyttökuvaa).

DependOnService Properties

Useissa Windows-versioissa MRxSMB10 sisältyy oletusarvoon, joten sen poistaminen tällä moniarvoisella merkkijonolla tosiasiassa poistaa MRxSMB10 -komponentin aseman LanmanServer-merkinnän riippuvuutena ja korvaa neljä oletusarvoa edellä mainituilla kolmella arvolla.

HuomautusRyhmäkäytäntöjen hallintakonsolia käytettäessä lainausmerkkejä tai pilkkuja ei tarvita. Kirjoita vain kukin merkintä omalle rivilleen.

Uudelleenkäynnistys tarvitaan

Kun käytäntö on otettu käyttöön ja rekisteriasetukset ovat valmiit, SMB v1 poistuu käytöstä vasta, kun kohdejärjestelmät on käynnistetty uudelleen.

Yhteenveto

Jos kaikki asetukset sisältyvät samaan ryhmäkäytäntöobjektiin (GPO), ryhmäkäytäntöjen hallinta näyttää seuraavat asetukset.

Group Policy Management Editor - Registry

Testaaminen ja vahvistaminen

Kun määritykset ovat valmiit, salli käytännön replikointi ja päivitys. Suorita testausta varten gpupdate /force komentokehotteessa ja varmista sitten, että rekisteriasetukset on otettu käyttöön oikein kohdelaitteissa. Varmista, että SMB v2- ja SMB v3 -protokollat toimivat kaikissa muissa saman ympäristön järjestelmissä.