Az SMBv1, az SMBv2 és az SMBv3 észlelése, engedélyezése és letiltása Windows és Windows Server rendszereken

A következőkre vonatkozik: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business Részletek megjelenítése

Összefoglalás


Ez a cikk azt írja le, hogyan lehet engedélyezni és letiltani az SMB protokoll 1-es (SMBv1), 2-es (SMBv2) és 3-as (SMBv3) verzióját az SMB ügyfél- és kiszolgálói összetevőjén. 
 

A Windows 7 és a Windows Server 2008 R2 rendszerben az SMBv2 letiltása deaktiválja a következő funkciókat:
  • Kérelmek összevonása – ez a funkció lehetővé teszi több SMB 2 kérelem egyetlen hálózati kérelemként való elküldését
  • Nagyobb olvasások és írások – a gyorsabb hálózatok jobb kihasználása
  • Mappa- és fájltulajdonságok gyorsítótárazása – az ügyfelek helyi másolatot tárolnak a mappákból és fájlokból
  • Tartós leírók – lehetővé teszi, hogy a kiszolgálóval való megszakadt kapcsolat transzparens módon helyreálljon
  • Fejlett üzenet-aláírás – az MD5 helyett a HMAC SHA-256 a kivonatoló algoritmus
  • Jobb méretezhetőség a fájlmegosztáshoz – kiszolgálónként jóval több felhasználó, megosztás és megnyitott fájl kezelhető
  • Szimbolikus hivatkozások támogatása
  • Megnyitás-zárolás bérbeadási modellje az ügyfélnél – korlátozza az ügyfél és a kiszolgáló között átvitt adatok mennyiségét, amely javítja a nagy késleltetésű hálózatok teljesítményét, illetve az SMB-kiszolgáló méretezhetőségét
  • Nagy méretű MTU-k támogatása – a 10 gigabites (GB) Ethernet-kapcsolatok jobb kihasználása érdekében
  • Jobb energiahatékonyság – a kiszolgáló felé nyitott fájlokkal rendelkező ügyfelek alvó üzemmódba kapcsolhatnak
Windows 8, Windows 8.1, Windows 10, Windows Server 2012 és Windows Server 2016 rendszereken az SMBv3 letiltása deaktiválja a következő funkciókat (a fenti listában szereplő SMBv2-funkciókon felül):
  • Transzparens feladatátvétel – az ügyfelek kiesés nélkül tudnak csatlakozni a fürtcsomópontokhoz a karbantartás vagy a feladatátvétel időtartama alatt
  • Horizontális felskálázás – egyidejű hozzáférés az összes fájlfürtcsomópontban tárolt megosztott adathoz 
  • Több csatorna – a hálózati sávszélesség és hibatűrés összesítése, ha az ügyfél és a kiszolgáló között több útvonal is elérhető
  • SMB Direct – lehetővé teszi az RDMA hálózatkezelés támogatását, amely rendkívül nagy teljesítményt, kis késleltetést és kis processzorterhelést biztosít
  • Titkosítás – végpontok közötti titkosítást biztosít, és nem megbízható hálózatokon is védelmet nyújt a lehallgatással szemben
  • Mappabérlés – gyorsítótárazás segítségével javítja az alkalmazások válaszidejét a fiókirodákban
  • Teljesítményoptimalizálás – a kis méretű, véletlenszerű írási/olvasási I/O-műveletek optimalizálása

További információ


Az SMBv2 protokoll a Windows Vista és a Windows Server 2008 rendszerekben jelent meg először.

Az SMBv3 protokoll a Windows 8 és a Windows Server 2012 rendszerekben jelent meg először.

Az SMBv2 és az SMBv3 protokoll funkcióival kapcsolatos további információkért keresse fel a következő Microsoft TechNet webhelyeket:
 

Az SMB v1 szabályos eltávolítása Windows 8.1, Windows 10, Windows 2012 R2 és Windows Server 2016 rendszeren


Windows Server 2012 R2 és 2016: PowerShell-módszerek

SMB v1

Észlelés:

Get-WindowsFeature FS-SMB1

Letiltás:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Engedélyezés:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Észlelés:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Letiltás:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Engedélyezés:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 és Windows Server 2016: Kiszolgálókezelői módszer az SMB letiltására

SMB v1
Server Manager - Dashboard method



Windows 8.1 és Windows 10: PowerShell-módszer

SMB v1 protokoll



Windows 8.1 és Windows 10: Programok telepítése és törlése módszer

Add-Remove Programs client method
 
 

Az SMB protokollok állapotának észlelése, engedélyezése és letiltása az SMB-kiszolgálón


Windows 8 és Windows Server 2012

A Windows 8 és a Windows Server 2012 rendszerbe bekerült az új Set-SMBServerConfiguration Windows PowerShell-parancsmag. Ez a parancsmag lehetővé teszi az SMBv1, SMBv2 és SMBv3 protokoll engedélyezését és letiltását a kiszolgálói összetevőn. 


A Set-SMBServerConfiguration parancsmag futtatása után nem szükséges újraindítani a számítógépet.

SMB v1 az SMB-kiszolgálón
Észlelés: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Letiltás: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Engedélyezés: Set-SmbServerConfiguration -EnableSMB1Protocol $true

További információkért lásd: Server storage at Microsoft (Kiszolgálói tárhely a Microsoftnál).

SMB v2/v3 az SMB-kiszolgálón
Észlelés: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Letiltás: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Engedélyezés: Set-SmbServerConfiguration -EnableSMB2Protocol $true


Windows 7, Windows Server 2008 R2, Windows Vista és Windows Server 2008

Ha egy Windows 7, Windows Server 2008 R2, Windows Vista vagy Windows Server 2008 rendszerrel futó SMB-kiszolgálón szeretné engedélyezni vagy letiltani az SMB protokollokat, használja a Windows PowerShellt vagy a Beállításszerkesztőt.

PowerShell-módszerek


SMB v1 az SMB-kiszolgálón

Észlelés:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Alapértelmezett konfiguráció = Engedélyezve (A rendszer nem hoz létre beállításkulcsot), így nem fog SMB1 értéket visszakapni

Letiltás:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Engedélyezés:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Megjegyzés: A módosítások elvégzését követően indítsa újra a számítógépet.

További információkért lásd: Server storage at Microsoft (Kiszolgálói tárhely a Microsoftnál).

SMB v2/v3 az SMB-kiszolgálón

Észlelés:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Letiltás:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Engedélyezés:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Megjegyzés: A módosítások elvégzését követően indítsa újra a számítógépet.


Beállításszerkesztő

Fontos: Ebben a cikkben a beállításjegyzék módosításával kapcsolatos tudnivalók olvashatók. A módosítás előtt készítsen biztonsági másolatot a beállításjegyzékről, Győződjön meg arról, hogy tisztában van a beállításjegyzék visszaállításának módjával, ha valamilyen probléma merül fel. A Microsoft Tudásbázis következő számú cikkében bővebben olvashat a beállításjegyzék biztonsági mentéséről, visszaállításáról, illetve módosításáról; a cikk megnyitásához kattintson a sorszámra:
322756: A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben

Ha szeretné engedélyezni vagy letiltani az SMBv1 protokollt az SMB-kiszolgálón, állítsa be a következő beállításkulcsot:

Beállításalkulcs: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Beállításjegyzékbeli bejegyzés: SMB1
REG_DWORD: 0 = Letiltva
REG_DWORD: 1 = Engedélyezve
Alapértelmezett érték: 1 = Engedélyezve (Nincs létrehozva beállításkulcs)

Ha szeretné engedélyezni vagy letiltani az SMBv2 protokollt az SMB-kiszolgálón, állítsa be a következő beállításkulcsot:

Beállításalkulcs:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Beállításjegyzékbeli bejegyzés: SMB2
REG_DWORD: 0 = Letiltva
REG_DWORD: 1 = Engedélyezve
Alapértelmezett érték: 1 = Engedélyezve (Nincs létrehozva beállításkulcs)


Megjegyzés: A módosítások elvégzését követően indítsa újra a számítógépet.

Az SMB protokollok állapotának észlelése, engedélyezése és letiltása az SMB-ügyfélen


Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 és Windows Server 2012

Megjegyzés: Ha Windows 8 vagy Windows Server 2012 rendszeren engedélyezi/letiltja az SMBv2 protokollt, a rendszer az SMBv3 protokollt is engedélyezi/letiltja. Ez azért történik, mivel a két protokoll ugyanazt a vermet használja.

SMB v1 az SMB-kiszolgálón
Észlelés: sc.exe qc lanmanworkstation
Letiltás: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Engedélyezés: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


További információkért lásd: Server storage at Microsoft (Kiszolgálói tárhely a Microsoftnál)

SMB v2/v3 az SMB-kiszolgálón
Észlelés: sc.exe query lanmanworkstation
Letiltás: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Engedélyezés: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Megjegyzések

  • A parancsokat rendszergazdai jogú parancssorból kell kiadnia.
  • A módosítások elvégzését követően indítsa újra a számítógépet.

SMBv1 kiszolgáló letiltása csoportszabályzattal


Ehhez a következő új bejegyzésre van szükség a beállításjegyzékben:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Beállításjegyzékbeli bejegyzés: SMB1 REG_DWORD: 0 = Letiltva


Konfigurálás csoportházirenddel:

  1. Nyissa meg a Csoportházirend-kezelő konzol menüt. Kattintson jobb gombbal arra a csoportházirend-objektumra (GPO-ra), amelynek tartalmaznia kell az új beállítási elemet, majd kattintson a Szerkesztés gombra.
  2. A konzolfában, a Számítógép konfigurációja résznél bontsa ki a Beállítások mappát, majd a Windowsos beállítások mappát.
  3. Kattintson jobb gombbal a Beállításjegyzék csomópontra, mutasson az Új elemre, majd válassza ki a Beállításjegyzék-elem lehetőséget.

    Registry - New - Registry Item

Az Új beállításjegyzék tulajdonságai párbeszédpanelen válassza ki a következőt:

  • Művelet: Létrehozás
  • Struktúra: HKEY_LOCAL_MACHINE
  • Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Azonosítónév: SMB1
  • Értéktípus: REG_DWORD
  • Érték: 0

New Registry Properties - General

Ezzel letiltja az SMBv1 kiszolgálói összetevőit. Ezt a csoportházirendet a tartományban lévő összes érintett munkaállomásra, kiszolgálóra és tartományvezérlőre alkalmazni kell.

Megjegyzés WMI-szűrőket is beállíthat, ha szeretné kizárni a műveletből a nem támogatott operációs rendszereket vagy a kiválasztott kizárásokat, mint például a Windows XP-t. 

SMBv1 ügyfél letiltása csoportszabályzattal


Az SMBv1 ügyfél letiltásához módosítani kell a szolgáltatások beállításkulcsát, hogy az ne engedélyezze az MRxSMB10 elindulását, majd el kell távolítani a LanmanWorkstation bejegyzésből az MRxSMB10 függőséget, hogy az az MRxSMB10 elindulása nélkül is futni tudjon.

Ezzel a két alábbi beállításjegyzékbeli bejegyzés alapértelmezett módosításait fogja frissíteni és kicserélni:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Beállításjegyzékbeli bejegyzés: Start REG_DWORD: 4 = Letiltva

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Beállításjegyzékbeli bejegyzés: DependOnService REG_MULTI_SZ: „Bowser”, „MRxSmb20″, „NSI”


Megjegyzés Az alapértelmezés tartalmazta az MRxSMB10 részt, amelyet most eltávolítottunk a függőségek közül.


Konfigurálás csoportházirenddel:

  1. Nyissa meg a Csoportházirend-kezelő konzol menüt. Kattintson jobb gombbal arra a csoportházirend-objektumra (GPO-ra), amelynek tartalmaznia kell az új beállítási elemet, majd kattintson a Szerkesztés gombra.
  2. A konzolfában, a Számítógép konfigurációja résznél bontsa ki a Beállítások mappát, majd a Windowsos beállítások mappát.
  3. Kattintson jobb gombbal a Beállításjegyzék csomópontra, mutasson az Új elemre, majd válassza ki a Beállításjegyzék-elem lehetőséget.

Registry - New - Registry Item

Az Új beállításjegyzék tulajdonságai párbeszédpanelen válassza ki a következőt:

  • Művelet: Frissítés
  • Struktúra: HKEY_LOCAL_MACHINE
  • Kulcs elérési útja: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Azonosítónév: Start
  • Értéktípus: REG_DWORD
  • Érték: 4

Start Properties - General

Ezt követően távolítsa el a korábban letiltott MRxSMB10 részt.

Az Új beállításjegyzék tulajdonságai párbeszédpanelen válassza ki a következőt:

  • Művelet: Csere
  • Struktúra: HKEY_LOCAL_MACHINE
  • Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Azonosítónév: DependOnService
  • Érték típusa: REG_MULTI_SZ
  • Érték:
    • Bowser
    • MRxSmb20
    • NSI

Megjegyzés: Ez a három karakterlánc nem fog golyót tartalmazni (lásd a következő képernyőképet).

DependOnService Properties

Az alapértelmezett érték a Windows számos verziójában tartalmazza az MRxSMB10 részt. Azzal, hogy ezt erre a többértékes karaktersorra cseréjük, eltávolítjuk az MRxSMB10 függőséget a LanmanServer bejegyzésről, és a négy alapértelmezett értéket a fenti három értékre csökkentjük.

Megjegyzés:  A csoportházirend-kezelő konzol használatakor nem kell idézőjelet vagy vesszőt használni. Egyszerűen írja be az egyes bejegyzéseket egy-egy sorba.

Újraindítás szükséges

A házirend alkalmazását és a beállításjegyzék beállítását követően a célzott rendszereket újra kell indítani, hogy az SMBv1 protokollt le lehessen tiltani.

Összefoglalás

Ha az összes beállítás ugyanahhoz a csoportházirend-objektumhoz (GPO-hoz) tartozik, a Csoportházirend-kezelő a következő beállításokat jeleníti meg.

Group Policy Management Editor - Registry

Tesztelés és ellenőrzés

Ha elvégezte a fenti beállításokat, engedélyezze a házirendnek a replikálást és a frissítést. Ha tesztelés szükséges, futtassa a gpupdate /force parancsot egy CMD.EXE parancssorból, majd ellenőrizze a célzott gépeken, hogy megfelelően alkalmazta-e a beállításjegyzék beállításait. Ellenőrizze, hogy az SMB v2 és az SMB v3 működik-e a környezet többi rendszerén.