Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows dan Windows Server.

Berlaku untuk: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business

Ringkasan


Artikel ini menjelaskan cara mengaktifkan dan menonaktifkan Blokir Pesan Server (SMB) versi 1 (SMBv1), SMB versi 2 (SMBv2), dan SMB versi 3 (SMBv3) di klien SMB dan komponen server. 
 

Pada Windows 7 dan Windows Server 2008 R2, menonaktifkan SMBv2 akan menonaktifkan fungsi berikut:
  • Pengumpulan permintaan - memungkinkan pengiriman beberapa permintaan SMB 2 sebagai satu permintaan jaringan
  • Bacaan dan tulisan yang lebih besar - penggunaan jaringan cepat yang lebih baik
  • Membuat cache properti folder dan file - klien menyimpan salinan lokal folder dan file
  • Handel tahan lama - memungkinkan koneksi terhubung secara transparan ke server jika koneksi terputus sementara
  • Penandaan pesan ditingkatkan - HMAC SHA-256 menggantikan MD5 sebagai algoritma hash
  • Skalabilitas ditingkatkan untuk berbagi file - jumlah pengguna, berbagi, dan pembukaan file per server meningkat pesat
  • Dukungan untuk tautan simbolis
  • Model penyewaan oplock klien - membatasi data yang ditransfer antara klien dan server, meningkatkan kinerja pada jaringan latensi tinggi, dan meningkatkan skalabilitas server SMB.
  • Dukungan MTU besar - untuk penggunaan penuh Ethernet 10 gigabita (GB)
  • Lebih hemat energi - klien yang memiliki file terbuka di server dapat tidur
Pada Windows 8, Windows 8.1, Windows 10, Windows Server 2012, dan Windows Server 2016, menonaktifkan SMBv3 dapat menonaktifkan fungsi berikut (dan juga fungsi SMBv2 yang dijelaskan pada daftar sebelumnya):
  • Kegagalan Transparan - klien memutuskan hubungan tanpa interupsi ke node kluster selama pemeliharaan atau kegagalan
  • Penambahan - akses bersamaan ke data bersama di semua node kluster file 
  • Beberapa saluran - agregasi bandwidth jaringan dan toleransi kesalahan jika beberapa jalur tersedia antara klien dan server
  • SMB Langsung - menambah dukungan jaringan RDMA untuk kinerja sangat tinggi, dengan latensi rendah dan utilisasi CPU rendah
  • Enkripsi - Memberikan enkripsi end-to-end dan melindungi dari curi dengar pada jaringan tidak terpercaya
  • Penyewaan Direktori - Meningkatkan waktu respons aplikasi di kantor cabang melalui pembuatan cache
  • Optimalisasi Kinerja - optimalisasi untuk I/O baca/tulis acak

Informasi Selengkapnya


Protokol SMBv2 diperkenalkan di Windows Vista dan Windows Server 2008.

Protokol SMBv3 diperkenalkan di Windows 8 dan Windows Server 2012.

Untuk informasi lengkap tentang kemampuan SMBv2 dan SMBv3, buka situs web Microsoft TechNet berikut:
 

Cara melepaskan SMB v1 di Windows 8.1, Windows 10, Windows 2012 R2, dan Windows Server 2016 dengan benar


Windows Server 2012 R2 & 2016: Metode PowerShell

SMB v1

Deteksi:

Get-WindowsFeature FS-SMB1

Nonaktifkan:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Aktifkan:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Deteksi:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Nonaktifkan:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Aktifkan:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 dan Windows Server 2016: Metode Manajer Server untuk menonaktifkan SMB

SMB v1
Server Manager - Dashboard method
 


Windows 8.1 dan Windows 10: Metode PowerShell

Protokol SMB v1



Windows 8.1 dan Windows 10: Metode Tambah atau Hapus Program

Add-Remove Programs client method
 
 

Cara mendeteksi status, mengaktifkan, dan menonaktifkan protokol Server SMB


Untuk Windows 8 dan Windows Server 2012

Windows 8 dan Windows Server 2012 meperkenalkan Set-SMBServerConfiguration Windows PowerShell cmdlet baru. cmdlet memungkinkan Anda mengaktifkan atau menonaktifkan protokol SMBv1, SMBv2, dan SMBv3 di komponen server. 


Anda tidak perlu memulai ulang komputer setelah menjalankan Set-SMBServerConfiguration cmdlet.

SMB v1 pada Server SMB
Deteksi: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Nonaktifkan: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Aktifkan: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Untuk informasi selengkapnya, lihat Penyimpanan server di Microsoft.

SMB v2/v3 pada Server SMB
Deteksi: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Nonaktifkan: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Aktifkan: Set-SmbServerConfiguration -EnableSMB2Protocol $true


Untuk Windows 7, Windows Server 2008 R2, Windows Vista, dan Windows Server 2008

Untuk mengaktifkan atau menonaktifkan protokol SMB di SMB Server yang menjalankan Windows 7, Windows Server 2008 R2, Windows Vista, atau Windows Server 2008, gunakan Windows PowerShell atau Editor Registri.

Metode PowerShell


SMB v1 pada Server SMB

Deteksi:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Konfigurasi default = Diaktifkan (Tidak ada kunci registri yang dibuat), jadi tidak ada nilai SMB1 yang dihasilkan

Nonaktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Aktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Catatan Anda harus memulai ulang komputer setelah melakukan perubahan ini.

Untuk informasi selengkapnya, lihat Penyimpanan server di Microsoft.

SMB v2/v3 pada Server SMB

Deteksi:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Nonaktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Aktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Catatan Anda harus memulai ulang komputer setelah melakukan perubahan ini.


Editor Registri

Penting Artikel ini berisi informasi tentang cara mengubah registri. Pastikan Anda telah membuat cadangan registri sebelum mengubahnya. Pastikan Anda tahu cara memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan, memulihkan, dan mengubah registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows

Untuk mengaktifkan atau menonaktifkan SMBv1 di server SMB, jalankan kunci registri berikut:

Subkunci registri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Entri registri: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Diaktifkan (Tidak ada kunci registri yang dibuat)

Untuk mengaktifkan atau menonaktifkan SMBv2 di server SMB, jalankan kunci registri berikut:

Subkunci registri:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Entri registri: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Diaktifkan (Tidak ada kunci registri yang dibuat)


Catatan Anda harus memulai ulang komputer setelah membuat perubahan ini.

Cara mendeteksi status, mengaktifkan, dan menonaktifkan protokol Klien SMB


Untuk Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, dan Windows Server 2012

Catatan Saat mengaktifkan atau menonaktifkan SMBv2 di Windows 8 atau Windows Server 2012, SMBv3 juga diaktifkan atau dinonaktifkan. Perilaku ini terjadi karena protokol berikut berbagi tumpukan yang sama.

SMB v1 di Klien SMB
Deteksi: sc.exe qc lanmanworkstation
Nonaktifkan: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Aktifkan: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Untuk informasi selengkapnya, lihat Penyimpanan server di Microsoft

SMB v2/v3 di Klien SMB
Deteksi: sc.exe qc lanmanworkstation
Nonaktifkan: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Aktifkan: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Catatan

  • Anda harus menjalankan perintah ini dari prompt perintah yang ditampilkan.
  • Anda harus memulai ulang komputer setelah membuat perubahan ini.

Menonaktifkan Server SMBv1 dengan Kebijakan Grup


Prosedur ini akan mengonfigurasi item baru berikut di registri:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Entri registri: SMB1 REG_DWORD: 0 = Disabled


Untuk mengonfigurasi ini menggunakan Kebijakan Grup:

  1. Buka Konsol Manajemen Kebijakan Grup. Klik kanan Objek Kebijakan Grup (GPO) yang berisi item preferensi baru, lalu klik Edit.
  2. Pada pohon konsol dalam Konfigurasi Komputer, buka folder Preferensi, lalu buka folder Pengaturan Windows.
  3. Klik kanan node Registri, arahkan ke Baru, dan pilih Item Registri.

    Item registri - baru - registri

Dalam kotak dialog Properti Registri Baru, pilih hal berikut:

  • Tindakan: Buat
  • Hive: HKEY_LOCAL_MACHINE
  • Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Nama nilai: SMB1
  • Jenis nilai: REG_DWORD
  • Data nilai: 0

Properti registri baru - Umum

Tindakan ini akan menonaktifkan komponen Server SMBv1. Kebijakan Grup ini harus diterapkan ke semua stasiun kerja, server, dan pengontrol domain yang diperlukan dalam domain.

Catatan Filter WMI juga dapat diatur untuk mengecualikan sistem operasi yang tidak didukung atau pengecualian yang dipilih, seperti Windows XP. 

Menonaktifkan Klien SMBv1 dengan Kebijakan Grup


Untuk menonaktifkan klien SMBv1, kunci registri layanan harus diperbarui untuk menonaktifkan permulaan MRxSMB10 dan ketergantungan pada MRxSMB10 harus dihapus dari entri untuk LanmanWorkstation agar dapat dimulai secara normal tanpa memerlukan MRxSMB10 untuk dimulai terlebih dahulu.

Tindakan ini akan memperbarui dan mengganti nilai default di 2 item berikut dalam registri:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Entri registri: Start REG_DWORD: 4 = Disabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Entri registri: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”


CatatanDefault meliputi MRxSMB10 yang kini telah dihapus sebagai dependensi


Untuk mengonfigurasi ini menggunakan Kebijakan Grup:

  1. Buka Konsol Manajemen Kebijakan Grup. Klik kanan Objek Kebijakan Grup (GPO) yang berisi item preferensi baru, lalu klik Edit.
  2. Pada pohon konsol dalam Konfigurasi Komputer, buka folder Preferensi, lalu buka folder Pengaturan Windows.
  3. Klik kanan node Registri, arahkan ke Baru, dan pilih Item Registri.

Item registri - baru - registri

Dalam kotak dialog Properti Registri Baru, pilih hal berikut:

  • Tindakan: Perbarui
  • Hive: HKEY_LOCAL_MACHINE
  • Jalur Kunci: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Nama nilai: Mulai
  • Jenis nilai: REG_DWORD
  • Value data: 4

Mulai properti - umum

Lalu hapus ketergantungan di MRxSMB10 yang baru dinonaktifkan.

Dalam kotak dialog Properti Registri Baru, pilih hal berikut:

  • Tindakan: Ganti
  • Hive: HKEY_LOCAL_MACHINE
  • Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Nama nilai: DependOnService
  • Value type REG_MULTI_SZ
  • Value data:
    • Bowser
    • MRxSmb20
    • NSI

Catatan Ketiga string ini tidak akan memiliki butir (lihat tangkapan layar berikut).

Properti DependOnService

Nilai default menyertakan MRxSMB10 dalam beragam versi Windows, jadi menggantinya dengan string multinilai akan menghapus MRxSMB10 sebagai ketergantungan untuk LanmanServer dan berubah dari empat nilai default hanya menjadi tiga nilai di atas.

Catatan Saat menggunakan Konsol Manajemen Kebijakan Grup, Anda tidak perlu menggunakan tanda kutip atau koma. Cukup ketik tiap entri di baris satu per satu.

Perlu hidupkan ulang

Setelah kebijakan diterapkan dan pengaturan registri tersedia, sistem yang ditargetkan harus dimulai ulang sebelum SMB v1 dinonaktifkan.

Ringkasan

Jika semua pengaturan berada di Objek Kebijakan Grup (GPO) yang sama, Manajemen Kebijakan Grup akan menampilkan pengaturan berikut.

Penyunting pengelolaan kebijakan grup - registri

Pengujian dan validasi

Setelah hal ini dikonfigurasi, izinkan kebijakan untuk menggandakan dan memperbarui. Seperti yang diperlukan untuk pengujian, jalankan gpupdate /force dari perintah CMD.EXE, lalu tinjau mesin yang ditargetkan untuk memastikan pengaturan registri diterapkan dengan benar. Pastikan SMB v2 dan SMB v3 berfungsi untuk semua sistem lain di lingkungan.