Oppdage, aktivere og deaktivere SMBv1, SMBv2 og SMBv3 i Windows og Windows Server

Gjelder: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business

Sammendrag


Denne artikkelen beskriver hvordan du aktiverer og deaktiverer Server Message Block (SMB)-versjon 1 (SMBv1), SMB-versjon 2 (SMBv2) og SMB-versjon 3 (SMBv3) i Windows-klienten og serverkomponenter. 
 

I Windows 7 og Windows Server 2008 R2 vil deaktivering av SMBv2 deaktivere følgende funksjonalitet:
  • Sammensetning av forespørsler – åpner for sending av flere SMB 2-forespørsler som én enkelt nettverksforespørsel
  • Større lese- og skriveoperasjoner – bedre utnyttelse av raskere nettverk
  • Hurtigbufring av mappe- og filegenskaper – klienter har lokale kopier av mapper og filer
  • Varige referanser – åpner for transparent gjenoppretting av en forbindelse til en server ved midlertidig frakobling
  • Forbedret meldingssignering – HMAC SHA-256 erstatter MD5 som hash-algoritme
  • Forbedret skalerbarhet ved fildeling – stor økning av antall brukere, delinger og åpne filer per server
  • Støtte for symbolske koblinger
  • Leasingmodell for klientoperasjonslås – begrenser datamengden som overføres mellom klient og server, forbedrer ytelsen i nettverk med lang ventetid og øker skalerbarheten av SMB-servere
  • Støtte for store MTUer – for full utnyttelse av 10 GB Ethernet
  • Forbedret energieffektivitet – klienter som har åpne filer til en server, kan gå i hvilemodus
I Windows 8, Windows 8.1, Windows 10, Windows Server 2012 og Windows Server 2016 vil deaktivering av SMBv3 deaktivere følgende funksjonalitet (og dessuten SMBv2-funksjonaliteten som er beskrevet i forrige liste):
  • Transparent failover – klienter kobles til klyngenoder igjen uten avbrudd ved vedlikehold eller failover
  • Utskalering – samtidig tilgang til delte data på alle filklyngenoder 
  • Flerkanal – aggregering av nettverksbåndbredde og feiltoleranse hvis flere baner er tilgjengelig mellom en klient og server
  • SMB Direct – tilfører RDMA-nettverksstøtte, som gir svært høy ytelse med liten ventetid og lav CPU-utnyttelse
  • Kryptering – sørger for ende-til-ende-kryptering og beskytter mot avlytting og upålitelige nettverk
  • Katalogleasing – forbedrer svartidene til programmer ved filialkontorer gjennom hurtigbufring
  • Ytelsesoptimering – optimering av små, vilkårlige lese- og skriveoperasjoner

Mer informasjon


SMBv2-protokollen ble lansert i Windows Vista og Windows Server 2008.

SMBv3-protokollen ble lansert i Windows 8 og Windows Server 2012.

Hvis du ønsker mer informasjon om funksjonaliteten til SMBv2- og SMBv3-protokollene, går du til disse Microsoft TechNet-webområdene:
 

Fjerne SMB v1 på riktig måte i Windows 8.1, Windows 10, Windows 2012 R2 og Windows Server 2016


Windows Server 2012 R2 og 2016: PowerShell-metoder

SMB v1

Oppdage:

Get-WindowsFeature FS-SMB1

Deaktivere:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Aktivere:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Oppdage:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Deaktivere:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Aktivere:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 og Windows Server 2016: Serverstyrt metode for deaktivering av SMB

SMB v1
Server Manager - Dashboard method



Windows 8.1 og Windows 10: PowerShell-metode

SMB v1-protokoll



Windows 8.1 og Windows 10: Legg til eller fjern programmer-metode

Add-Remove Programs client method
 
 

Oppdage status, aktivere og deaktivere SMB-protokoller på SMB-serveren


For Windows 8 og Windows Server 2012

Windows 8 and Windows Server 2012 lanserer den nye Windows PowerShell-cmdleten Set-SMBServerConfiguration. Med cmdleten kan du aktivere eller deaktivere SMBv1-, SMBv2- og SMBv3-protokollen fra serverkomponenten. 


Du trenger ikke starte datamaskinen på nytt når du har utført cmdleten Set-SMBServerConfiguration.

SMB v1 på SMB-server
Oppdage: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Deaktivere: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Aktivere: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Se Serverlagring hos Microsoft for å få mer informasjon.

SMB v2/v3 på SMB-server
Oppdage: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Deaktivere: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Aktivere: Set-SmbServerConfiguration -EnableSMB2Protocol $true


For Windows 7, Windows Server 2008 R2, Windows Vista og Windows Server 2008

Bruk Windows PowerShell eller Registerredigering til å aktivere eller deaktivere SMB-protokoller på en SMB-server som kjører Windows 7, Windows Server 2008 R2, Windows Vista eller Windows Server 2008.

PowerShell-metoder


SMB v1 på SMB-server

Oppdage:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Standardkonfigurasjon = Aktivert (Ingen registernøkkel opprettes), så ingen SMB1-verdi vil bli returnert

Deaktivere:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Aktivere:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Obs! Du må starte datamaskinen på nytt etter å ha utført disse endringene.

Se Serverlagring hos Microsoft for å få mer informasjon.

SMB v2/v3 på SMB-server

Oppdage:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Deaktivere:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Aktivere:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Obs! Du må starte datamaskinen på nytt etter å ha utført disse endringene.


Registerredigering

Viktig Denne artikkelen inneholder informasjon om hvordan registeret kan endres. Husk å ta sikkerhetskopi av registeret før du modifiserer det. Sørg for at du vet hvordan du skal gjenopprette registeret i tilfelle du skulle få problemer. Hvis du vil ha mer informasjon om sikkerhetskopiering, gjenoppretting og modifisering av registeret, klikker du følgende artikkelnummer for å se artikkelen i Microsoft Knowledge Base:
322756 Slik kan du sikkerhetskopiere og gjenopprette registeret i Windows

Konfigurer denne registernøkkelen for å aktivere eller deaktivere SMBv1 på SMB-serveren:

Registerundernøkkel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registeroppføring: SMB1
REG_DWORD: 0 = Deaktivert
REG_DWORD: 1 = Aktivert
Standard: 1 = Aktivert (Ingen registernøkkel opprettes)

Konfigurer denne registernøkkelen for å aktivere eller deaktivere SMBv2 på SMB-serveren:

Registerundernøkkel:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registeroppføring: SMB2
REG_DWORD: 0 = Deaktivert
REG_DWORD: 1 = Aktivert
Standard: 1 = Aktivert (Ingen registernøkkel opprettes)


Obs! Du må starte datamaskinen på nytt etter å ha utført disse endringene.

Oppdage status, aktivere og deaktivere SMB-protokoller på SMB-klienten


For Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 og Windows Server 2012

Obs! Når du aktiverer eller deaktiverer SMBv2 i Windows 8 eller Windows Server 2012, blir SMBv3 også aktivert eller deaktivert. Denne virkemåten skyldes at disse protokollene deler den samme stakken.

SMB v1 på SMB-klient
Oppdage: sc.exe qc lanmanworkstation
Deaktivere: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Aktivere: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Se Serverlagring hos Microsoft for å få mer informasjon

SMB v2/v3 på SMB-klient
Oppdage: sc.exe qc lanmanworkstation
Deaktivere: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Aktivere: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Merknader

  • Du må utføre disse kommandoene fra en hevet ledetekst.
  • Du må starte datamaskinen på nytt etter å ha utført disse endringene.

Deaktivere SMBv1 Server med gruppepolicy


Denne prosedyren konfigurerer følgende nye element i registeret:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registeroppføring: SMB1 REG_DWORD: 0 = Deaktivert


Slik konfigurerer du dette med gruppepolicy:

  1. Åpne Konsoll for gruppepolicybehandling. Høyreklikk gruppepolicyobjektet (GPO) som skal inneholde det nye innstillingselementet, og klikk deretter Rediger.
  2. I konsolltreet, under Datamaskinkonfigurasjon, utvider du Innstillinger-mappen og deretter mappen Windows-innstillinger.
  3. Høyreklikk Register-noden, pek på Ny og velg Registerelement.

    Registry - New - Registry Item

I dialogboksen Nye registeregenskaper velger du følgende:

  • Handling: Opprett
  • Hive: HKEY_LOCAL_MACHINE
  • Nøkkelbane: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Verdinavn: SMB1
  • Verditype: REG_DWORD
  • Verdidata: 0

New Registry Properties - General

Dette deaktiverer SMBv1 Server-komponentene. Denne gruppepolicyen må brukes på alle nødvendige arbeidsstasjoner, servere og domenekontrollere i domenet.

Obs! WMI-filtre kan også angis for å ekskludere operativsystemer som ikke støttes, eller valgte eksklusjoner som Windows XP. 

Deaktivere SMBv1 Klient med gruppepolicy


Når du skal deaktivere SMBv1-klienten, må registernøkkelen for tjenester oppdateres for å deaktivere start av MRxSMB10, og så må avhengigheten av MRxSMB10 fjernes fra oppføringen for LanmanWorkstation slik at den kan starte normalt uten å kreve at MRxSMB10 startes først.

Dette vil oppdatere og erstatte standardverdiene i følgende 2 elementer i registeret:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registeroppføring: Start REG_DWORD: 4 = Deaktivert

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registeroppføring: DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20","NSI"


Obs! Standarden inkluderte MRxSMB10 som nå er fjernet som avhengighet


Slik konfigurerer du dette med gruppepolicy:

  1. Åpne Konsoll for gruppepolicybehandling. Høyreklikk gruppepolicyobjektet (GPO) som skal inneholde det nye innstillingselementet, og klikk deretter Rediger.
  2. I konsolltreet, under Datamaskinkonfigurasjon, utvider du Innstillinger-mappen og deretter mappen Windows-innstillinger.
  3. Høyreklikk Register-noden, pek på Ny og velg Registerelement.

Registry - New - Registry Item

I dialogboksen Nye registeregenskaper velger du følgende:

  • Handling: Oppdatering
  • Hive: HKEY_LOCAL_MACHINE
  • Nøkkelbane: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Verdinavn: Start
  • Verditype: REG_DWORD
  • Verdidata: 4

Start Properties - General

Deretter fjernes avhengigheten på MRxSMB10 som akkurat ble deaktivert

I dialogboksen Nye registeregenskaper velger du følgende:

  • Handling: Erstatt
  • Hive: HKEY_LOCAL_MACHINE
  • Nøkkelbane: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Verdinavn: DependOnService
  • Verditype REG_MULTI_SZ
  • Verdidata:
    • Bowser
    • MRxSmb20
    • NSI

Obs! Disse tre strengene vil ikke ha punkter (se følgende skjermbilde).

DependOnService Properties

Standardverdien inkluderer MRxSMB10 i mange versjoner av Windows, så ved å erstatte dem med denne flerverdistrengen, vil den faktisk fjerne MRxSMB10 som en avhengighet for LanmanServer og går fra fire standardverdier ned til bare disse tre verdiene ovenfor.

Obs! Når du bruker Konsoll for gruppepolicybehandling, trenger du ikke å bruke anførselstegn eller kommaer. Bare skriv inn hver oppføring på de enkelte linjene.

Omstart kreves

Når policyen er tatt i bruk og registerinnstillingene er på plass, må målsystemene startes på nytt før SMB v1 deaktiveres.

Sammendrag

Hvis alle innstillingene er i samme gruppepolicyobjekt (GPO), vil Gruppepolicybehandling vise følgende innstillinger.

Group Policy Management Editor - Registry

Testing og validering

Når disse er konfigurert, må du la policyen replikere og oppdatere. Hvis det er nødvendig for testing, kjører du gpupdate /force fra en ledetekst før du kontrollerer målmaskinene for å sikre at registerinnstillingene er tatt i bruk riktig. Kontroller at SMB v2 og SMB v3 fungerer for alle andre systemer i miljøet.