Kaip aptikti, įjungti arba išjungti SMBv1, SMBv2 ir SMBv3 sistemose „Windows“ ir „Windows Server“

Taikoma: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business Daugiau

Suvestinė


Šiame straipsnyje aprašoma, kaip įjungti arba išjungti serverio pranešimų bloko (SMB) 1 versiją (SMBv1), SMB 2 versiją (SMBv2) ir SMB 3 versiją (SMBv3) SMB kliente ir serverio komponentams. 
 

Sistemoje „Windows 7“ arba „Windows Server 2008 R2“ išjungus SMBv2 išjungiamos šios funkcijos:
  • Užklausų jungimas – suteikia galimybę siųsti keletą SMB 2 užklausų kaip vieną tinklo užklausą
  • Didesnės nuskaitymo ir įrašymo apimtys – efektyviau naudojami greitesni tinklai
  • Aplankų ir failų ypatybių kaupimas – klientai pasilieka vietines aplankų ir failų kopijas
  • Ilgalaikės nuorodos – leidžia skaidriai atkurti ryšį su serveriu laikino ryšio trikties atveju.
  • Patobulintas pranešimų pasirašymas – HMAC SHA-256 pakeičia MD5 kaip maišos algoritmą
  • Patobulintas failų bendrinimo mastelio keitimas – gerokai padidėja vienam serveriui leidžiamų vartotojų, bendrinimų ir atidarytų failų skaičius
  • Simbolinių saitų palaikymas
  • Klientų privilegijuotojo užrakinimo nuomos modelis – apriboja duomenų perdavimą tarp kliento ir serverio, pagerindamas ilgos gaišties tinklų našumą ir padidindamas SMB serverio mastelio keitimo galimybes.
  • Didelių MTU palaikymas – visoms 10 gigabaitų (GB) eterneto galimybėms išnaudoti
  • Taupesnis energijos suvartojimas – serveryje failus atidarę klientai gali pereiti į miego režimą
„Windows 8“, „Windows 8.1“, „Windows 10“, „Windows Server 2012“ ir „Windows Server 2016“ sistemose išjungus SMBv3 išjungiamos šios funkcijos (ir anksčiau nurodytos SMBv2 funkcijos):
  • Skaidrus perėmimas – techninės priežiūros arba perėmimo atveju klientai atkuria ryšį su klasterio mazgais be trikčių
  • Išplėtimas – vienalaikė prieiga prie bendrinamų duomenų visuose failų klasterio mazguose 
  • Daugiakanalis režimas – jei tarp kliento ir serverio galimi keli keliai, nepaisoma tinklo dažnių telkimo ir trikčių
  • Tiesioginis SMB – suteikia RDMA tinklo palaikymą itin dideliam našumui, pasižyminčiam trumpa gaištimi ir nedidelėmis CPU išteklių sąnaudomis
  • Šifravimas – suteikia visapusį šifravimą ir apsaugo nuo slapto informacijos nuskaitymo nepatikimuose tinkluose
  • Katalogų nuoma – pagerina programos reakcijos laiką įmonės padaliniuose naudojant kaupimo funkciją
  • Našumo optimizacija – nedidelių atsitiktinių nuskaitymų / įrašymų I/O optimizavimas

Daugiau informacijos


SMBv2 protokolas pradėtas naudoti „Windows Vista“ ir „Windows Server 2008“

SMBv3 protokolas pradėtas naudoti „Windows 8“ ir „Windows Server 2012“

Daugiau informacijos apie SMBv2 ir SMBv3 galimybes ieškokite šiose „Microsoft TechNet“ svetainėse:
 

Kaip sklandžiai pašalinti SMB v1 iš „Windows 8.1“, „Windows 10“, „Windows 2012 R2“ ir „Windows Server 2016“


„Windows Server 2012 R2“ ir „Windows Server 2016“: „PowerShell“ būdai

SMB v1

Aptikti:

Get-WindowsFeature FS-SMB1

Išjungti:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Įjungti:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Aptikti:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Išjungti:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Įjungti:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



„Windows Server 2012 R2“ ir „Windows Server 2016“: Serverių tvarkytuvo būdas SMB išjungti

SMB v1
Server Manager - Dashboard method



„Windows 8.1“ ir „Windows 10“: „PowerShell“ būdas

SMB v1 protokolas



„Windows 8.1“ ir „Windows 10“: sąrašo Įtraukti ar pašalinti programas būdas

Add-Remove Programs client method
 
 

Kaip aptikti statusą, įjungti arba išjungti SMB protokolus SMB serveryje


„Windows 8“ ir „Windows Server 2012“

„Windows 8“ ir „Windows Server 2012“ pristatoma nauja Set-SMBServerConfiguration „Windows PowerShell“ cmdlet. Ši cmdlet suteikia galimybę įjungti arba išjungti SMBv1, SMBv2 ir SMBv3 serverio komponento protokolus. 


Paleidus cmdlet Set-SMBServerConfiguration kompiuterio nereikia paleisti iš naujo.

SMB v1 SMB serveryje
Aptikti: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Išjungti: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Įjungti: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Jei reikia daugiau informacijos, žr. Serverio saugykla svetainėje „Microsoft“.

SMB v2/v3 SMB serveryje
Aptikti: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Išjungti: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Įjungti: Set-SmbServerConfiguration -EnableSMB2Protocol $true


„Windows 7“, „Windows Server 2008 R2“, „Windows Vista“ ir „Windows Server 2008“

Norėdami įjungti arba išjungti SMB protokolus SMB serveryje, kuriame veikia „Windows 7“, „Windows Server 2008 R2“, „Windows Vista“ arba „Windows Server 2008“ naudokite „Windows PowerShell“ arba registro rengyklę.

„PowerShell“ būdai


SMB v1 SMB serveryje

Aptikti:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Numatytoji konfigūracija = Įjungta (registro raktas nėra sukurtas), todėl SMB1 vertė nėra grąžinama.

Išjungti:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Įjungti:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Pastaba. Atlikę šiuos pakeitimus turėsite paleisti kompiuterį iš naujo.

Jei reikia daugiau informacijos, žr. Serverio saugykla svetainėje „Microsoft“.

SMB v2/v3 SMB serveryje

Aptikti:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Išjungti:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Įjungti:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Pastaba. Atlikę šiuos pakeitimus turėsite paleisti kompiuterį iš naujo.


Registro rengyklė

Svarbu. Šiame straipsnyje pateikta informacija, kaip pakeisti registrą. Prieš keisdami registrą būtinai sukurkite atsarginę jo kopiją. Įsitikinkite, kad žinote, kaip atkurti registrą, jei kiltų problemų. Jei norite gauti daugiau informacijos apie tai, kaip sukurti atsarginę registro kopiją, ją atkurti ar keisti, spustelėkite nurodytą straipsnio numerį ir peržiūrėkite „Microsoft“ žinių bazės straipsnį:
322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje „Windows“

Norėdami įjungti arba išjungti SMBv1 SMB serveryje, sukonfigūruokite šį registro raktą:

Dalinis registro raktas: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registro įrašas: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Numatytoji reikšmė: 1 = Įjungta (registro raktas nesukurtas)

Norėdami įjungti arba išjungti SMBv2 SMB serveryje, sukonfigūruokite šį registro raktą:

Dalinis registro raktas:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registro įrašas: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Numatytoji reikšmė: 1 = Įjungta (registro raktas nesukurtas)


Pastaba. Atlikę šiuos pakeitimus turėsite paleisti kompiuterį iš naujo.

Kaip aptikti statusą, įjungti arba išjungti SMB protokolus SMB kliente


„Windows Vista“, „Windows Server 2008“ „Windows 7“, „Windows Server 2008 R2“, „Windows 8“ ir „Windows Server 2012“

Pastaba. Įjungus arba išjungus SMBv2 sistemoje „Windows 8“ arba „Windows Server 2012“, SMBv3 taip pat įjungiama arba išjungiama. Taip nutinka todėl, kad šie protokolai naudoja bendrą rietuvę.

SMB v1 SMB kliente
Aptikti: sc.exe qc lanmanworkstation
Išjungti: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Įjungti: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Jei reikia daugiau informacijos, žr. Serverio saugykla svetainėje „Microsoft“

SMB v2/v3 SMB kliente
Aptikti: sc.exe qc lanmanworkstation
Išjungti: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Įjungti: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Pastabos

  • Komandas turite paleisti didesnių teisių komandų eilutėje.
  • Atlikę šiuos pakeitimus turėsite paleisti kompiuterį iš naujo.

Išjunkite SMBv1 serverį naudodami grupės strategiją


Tokiu būdu registre bus sukonfigūruotas šis naujas elementas:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registro įrašas: SMB1 REG_DWORD: 0 = Disabled


Norėdami konfigūruoti naudodami grupės strategiją:

  1. Atidarykite Grupės strategijos valdymo konsolę. Dešiniuoju pelės mygtuku spustelėkite grupės strategijos objektą (GPO), kuriame turėtų būti naujas nuostatų elementas, tada spustelėkite Redaguoti.
  2. Konsolės medžio srityje Kompiuterio konfigūracija išskleiskite aplanką Nuostatos, tada išskleiskite aplanką „Windows“ parametrai.
  3. Dešiniuoju pelės mygtuku spustelėkite mazgą Registras, pasirinkite Naujas, tada pasirinkite Registro elementas.

    Registro - New - registro įrašas

Dialogo lange Naujos registro ypatybės pasirinkite:

  • Veiksmas: Kurti
  • Avilys: HKEY_LOCAL_MACHINE
  • Rakto kelias: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Reikšmės pavadinimas: SMB1
  • Reikšmės tipas: REG_DWORD
  • Reikšmės duomenys: 0

Nauja registro ypatybės – bendra

Tai išjungia SMBv1 serverio komponentus. Šią grupės strategiją būtina taikyti visoms būtinoms darbo stotims, serveriams ir domeno valdikliams.

Pastaba. WMI filtrus taip pat galima nustatyti neįtraukti nepalaikomų operacinių sistemų ar pasirinktų elementų, pvz., „Windows XP“. 

Išjunkite SMBv1 kliento kompiuterį naudodami grupės strategiją


Norėdami išjungti SMBv1 kliento kompiuterį, būtina atnaujinti tarnybų registro raktą, kad būtų išjungta MRxSMB10 pradžia, tada būtina pašalinti MRxSMB10 priklausomybę iš LanmanWorkstation įrašo, kad ji galėtų būti paleista įprastai ir nereikėtų iš pradžių paleisti MRxSMB10.

Tai atnaujins ir pakeis numatytąsias reikšmes šiuose 2 registro elementuose:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registro įrašas: Start REG_DWORD: 4 = Disabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registro įrašas: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”


Pastaba. Numatytasis įtrauktas MRxSMB10, kuris dabar pašalintas kaip priklausomybė


Norėdami konfigūruoti naudodami grupės strategiją:

  1. Atidarykite Grupės strategijos valdymo konsolę. Dešiniuoju pelės mygtuku spustelėkite grupės strategijos objektą (GPO), kuriame turėtų būti naujas nuostatų elementas, tada spustelėkite Redaguoti.
  2. Konsolės medžio srityje Kompiuterio konfigūracija išskleiskite aplanką Nuostatos, tada išskleiskite aplanką „Windows“ parametrai.
  3. Dešiniuoju pelės mygtuku spustelėkite mazgą Registras, pasirinkite Naujas, tada pasirinkite Registro elementas.

Registro - New - registro įrašas

Dialogo lange Naujos registro ypatybės pasirinkite:

  • Veiksmas: Naujinimas
  • Avilys: HKEY_LOCAL_MACHINE
  • Rakto kelias: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Reikšmės pavadinimas: Start
  • Reikšmės tipas: REG_DWORD
  • Reikšmės duomenys: 4

Pradžios ekrano ypatybės – bendra

Tada pašalinkite priklausomybę MRxSMB10, kuris ką tik buvo išjungtas

Dialogo lange Naujos registro ypatybės pasirinkite:

  • Veiksmas: Pakeisti
  • Avilys: HKEY_LOCAL_MACHINE
  • Rakto kelias: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Reikšmės pavadinimas: DependOnService
  • Reikšmės tipas REG_MULTI_SZ
  • Reikšmės duomenys:
    • Naršyklė
    • MRxSmb20
    • NSI

Pastaba. Prie šių trijų eilučių nėra ženklelio (žr. ekrano kopiją).

DependOnService ypatybės

Daugelyje „Windows“ versijų numatytoji reikšmė apima MRxSMB10 , todėl pakeičiant jas šia daugiareikšme eilute, efektyviai pašalinamas MRxSMB10 kaip priklausomybė LanmanServer ir pereinama nuo keturių numatytųjų reikšmių prie trijų pirmiau nurodytų reikšmių.

Pastaba. Naudojant grupės strategijos valdymo konsolę, kabučių ir kablelių nereikia. Paprasčiausiai įveskite kiekvieną įrašą atskirose eilutėse.

Reikia paleisti iš naujo 

Pritaikius strategiją ir nustačius registro parametrus, būtina iš naujo paleisti tikslines sistemas, kad būtų išjungtas SMBv1.

Suvestinė

Jeigu visi parametrai yra tame pačiame grupės strategijos objekte (GPO), grupės strategijos valdymas pateikia tolesnius parametrus.

Grupės strategijos valdymo rengyklę - registro

Tikrinimas ir patvirtinimas

Kai bus baigta konfigūracija, leiskite strategijai sukurti kopiją ir atnaujinti. Kadangi tai būtina tikrinant, paleiskite gpupdate /force iš komandos raginimo, tada peržiūrėkite tikslinius kompiuterius, kad įsitikintumėte tinkamu registro parametrų taikymu. Įsitikinkite, kad visose aplinkos sistemose funkcionuoja SMB v2 ir SMB v3.