Hoe SMBv1, SMBv2 en SMBv3 in Windows en op Windows Server worden gedetecteerd en in- en uitgeschakeld

Van toepassing: Windows 10 Pro released in July 2015Windows 10 Enterprise released in July 2015Windows Vista Enterprise Meer

Samenvatting


Dit artikel beschrijft het in- en uitschakelen van het Server Message Block (SMB) versie 1 (SMBv1), SMB versie 2 (SMBv2) en SMB versie 3 (SMBv3) in de SMB client- en server-componenten. 
 

In Windows 7 en Windows Server 2008 R2 deactiveert het uitschakelen van SMBv2 de volgende functionaliteit:
  • Verzoek samenstellen - hiermee kunt u meerdere SMB2-verzoeken als een enkel netwerkverzoek versturen
  • Betere lees- en schrijfmogelijkheden - een beter gebruik van snellere netwerken
  • Caching van map- en bestandseigenschappen - cliënten behouden lokale kopieën van mappen en bestanden
  • Duurzame handgrepen - zorgt voor een transparante vernieuwde verbinding met de server als er een tijdelijke uitschakeling is
  • Verbeterde berichtondertekening - HMAC SHA-256 vervangt MD5 als hash-algoritme
  • Verbeterde schaalbaarheid voor het delen van bestanden - aantal gebruikers, gedeelde en open bestanden zijn per server sterk verhoogd
  • Ondersteuning voor symbolische links
  • Client oplock leasing model - beperkt de gegevens die tussen de client en de server worden overgedragen waardoor de prestaties worden verbeterd op netwerken met hoge wachttijden en de schaalbaarheid van de SMB-server wordt verhoogd
  • Grootschalige MTU-support - voor volledig gebruik van 10-gigabye (GB) Ethernet
  • Verbeterde energie-efficiëntie - klanten met open bestanden op een server kunnen rustig slapen
In Windows 8, Windows 8.1, Windows 10, Windows Server 2012en Windows Server 2016 deactiveert het uitschakelen van SMBv3 de volgende functionaliteit (en tevens de functionaliteit van SMBv2 beschreven in de vorige lijst):
  • Transparant Failover - Cliënten worden zonder onderbreking opnieuw verbonden om knooppunten tijdens onderhoud of een failover te clusteren
  • Uitschalen: – gelijktijdige toegang tot gedeelde gegevens op alle cluster nodes van bestanden 
  • Multichannel - samenvoeging van netwerkbandbreedte en fouttolerantie als meerdere paden beschikbaar zijn tussen client en server
  • SMB Direct: – voegt RDMA-netwerkondersteuning toe voor heel hoge prestaties, met een lage wachttijd en laag CPU-gebruik
  • Encryptie: – zorgt voor end-to-end encryptie en beschermt tegen afluisteren op onbetrouwbare netwerken
  • Directory Leasing - Verbetert door middel van caching de reactietijden van applicaties op kantoren
  • Prestatie-optimalisaties - optimalisaties voor kleine willekeurige lees/schrijf I/O

Meer informatie


Het SMBv2-protocol werd geïntroduceerd in Windows Vista en Windows Server 2008.

Het SMBv3-protocol werd geïntroduceerd in Windows 8 en Windows Server 2012.

Ga voor meer informatie over de SMBv2- en SMBv3-mogelijkheden naar de volgende Microsoft TechNet-websites:
 

SMB v1 op een nette manier verwijderen in Windows 8.1, Windows 10, Windows 2012 R2 en Windows Server 2016


Windows Server 2012 R2 en 2016: PowerShell-methoden

SMB v1

Detecteren:

Get-WindowsFeature FS-SMB1

Uitschakelen:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Inschakelen:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Detecteren:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Uitschakelen:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Inschakelen:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 en Windows Server 2016: Serverbeheermethode voor het uitschakelen van SMB

SMB v1
Server Manager - Dashboard method



Windows 8.1 en Windows 10: PowerShell-methode

SMB v1-protocol



Windows 8.1 en Windows 10: Programmamethoden toevoegen of verwijderen

Add-Remove Programs client method
 
 

Hoe SMB-protocollen op de SMB-server worden in- en uitgeschakeld en hoe de status van protocollen kan worden gedetecteerd


Voor Windows 8 en Windows Server 2012

Windows 8 en Windows Server 2012 introduceren de nieuwe Set-SMBServerConfiguration Windows PowerShell cmdlet. Met de cmdlet kunt u de SMBv1-, SMBv2- en SMBv3-protocollen op het servercomponent in- of uitschakelen. 


U hoeft de computer niet opnieuw te starten nadat u de Set-SMBServerConfiguration cmdlet uitvoert.

SMB v1 op SMB Server
Detecteren: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Uitschakelen: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Inschakelen: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Ga voor meer informatie naar Server storage at Microsoft.

SMB v2/v3 op SMB Server
Detecteren: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Uitschakelen: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Inschakelen: Set-SmbServerConfiguration -EnableSMB2Protocol $true


Voor Windows 7, Windows Server 2008 R2, Windows Vista en Windows Server 2008

Gebruik Windows PowerShell of Registry Editor om SMB-protocollen in- of uit te schakelen op een SMB-server onder Windows 7, Windows Server 2008 R2, Windows Vista of Windows Server 2008.

PowerShell-methoden


SMB v1 op SMB Server

Detecteren:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Standaardconfiguratie = Ingeschakeld (Er is geen registersleutel gemaakt), en dus wordt er geen SMB1-waarde geretourneerd

Uitschakelen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Inschakelen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Opmerking U moet de computer opnieuw starten na het aanbrengen van deze veranderingen.

Ga voor meer informatie naar Server storage at Microsoft.

SMB v2/v3 op SMB Server

Detecteren:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Uitschakelen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Inschakelen:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Opmerking U moet de computer opnieuw starten na het aanbrengen van deze veranderingen.


Registry Editor

Belangrijk Dit artikel bevat informatie over het wijzigen van het register. Zorg ervoor dat u een back-up van het register maakt voordat u deze wijzigt. Zorg dat u weet hoe u het register wilt herstellen als er een probleem optreedt. Klik voor meer informatie over het maken van back-up's en het herstellen en wijzigen van het register op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base te zien:
322756 Een back-up nemen en het herstellen van het register in Windows

Configureer de volgende registersleutel om SMBv1 op de SMB-server in- of uit te schakelen:

Onderliggende registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registervermelding: SMB1
REG_DWORD: 0 = uitgeschakeld
REG_DWORD: 1 = Ingeschakeld
Standaard: 1 = Ingeschakeld (Er wordt geen registersleutel gemaakt)

Configureer de volgende registersleutel om SMBv2 op de SMB-server in- of uit te schakelen:

Onderliggende registersleutel:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registervermelding: SMB2
REG_DWORD: 0 = uitgeschakeld
REG_DWORD: 1 = Ingeschakeld
Standaard: 1 = Ingeschakeld (Er wordt geen registersleutel gemaakt)


Opmerking  U moet de computer opnieuw starten na het aanbrengen van deze veranderingen.

Hoe SMB-protocollen op de SMB-client worden in- en uitgeschakeld en hoe de status van protocollen kan worden gedetecteerd


Voor Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 en Windows Server 2012

Opmerking Wanneer u in Windows 8 of Windows Server 2012 SMBv2 in- of uitschakelt, wordt SMBv3 ook in- of uitgeschakeld. Dit probleem treedt op omdat deze protocollen dezelfde stack delen.

SMB v1 op SMB Client
Detecteren: sc.exe qc lanmanworkstation
Uitschakelen: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Inschakelen: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Ga voor meer informatie naar Server storage at Microsoft.

SMB v2/v3 op SMB Client
Detecteren: sc.exe qc lanmanworkstation
Uitschakelen: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Inschakelen: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Opmerkingen

  • U moet deze opdrachten op een opdrachtprompt met verhoogde bevoegdheid uitvoeren
  • U moet de computer opnieuw starten na het aanbrengen van deze veranderingen.

SMBv1 Server met Groepsbeleid uitschakelen


Deze procedure configureert het volgende nieuwe item in het register:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registervermelding: SMB1 REG_DWORD: 0 = Uitgeschakeld


Om dit te configureren met behulp van Groepsbeleid:

  1. Open de Console Groepsbeleidsbeheer. Klik met de rechtermuisknop op het Groepsbeleidsobject (GPO) dat het nieuwe voorkeursitem bevat en klik vervolgens op Bewerken.
  2. Vouw in de Consoleboomstructuur onder Computerconfiguratiede Voorkeuren map uit en vouw dan de map Windows-instellingen uit.
  3. Klik met de rechtermuisknop op de node Register , wijs dan naar Nieuwen selecteer Registeritem.

    Register - nieuw - registeritems

Selecteer in het dialoogvenster Nieuwe registereigenschappen het volgende:

  • Actie: Create
  • Hive: HKEY_LOCAL_MACHINE
  • Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Waardenaam: SMB1
  • Waardetype: REG_DWORD
  • Gegevens: 0

Nieuwe registereigenschappen - algemeen

Dit schakelt de SMBv1-servercomponenten uit. Dit Groepsbeleid moet op alle benodigde werkstations, servers en domeincontrollers in het domein worden toegepast.

Opmerking WMI-filters kunnen ook worden ingesteld om niet-ondersteunde besturingssystemen of geselecteerde uitsluitingen zoals Windows XP uit te sluiten. 

SMBv1-client met Groepsbeleid uitschakelen


Om de SMBv1-client uit te schakelen, moet de services registersleutel worden bijgewerkt om het opstarten van MRxSMB10 uit te schakelen en vervolgens moet de afhankelijkheid van MRxSMB10 uit de vermelding voor LanmanWorkstation worden verwijderd zodat hij op normale wijze kan worden gestart zonder dat eerst MRxSMB10 moet worden gestart.

Hiermee worden de standaardwaarden in de volgende twee items in het register bijgewerkt en vervangen:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registervermelding: Start REG_DWORD: 4 = Uitgeschakeld

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registervermelding: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”


Opmerking De standaard omvatte MRxSMB10, die nu als afhankelijkheid verwijderd is


Om dit te configureren met behulp van Groepsbeleid:

  1. Open de Console Groepsbeleidsbeheer. Klik met de rechtermuisknop op het Groepsbeleidsobject (GPO) dat het nieuwe voorkeursitem bevat en klik vervolgens op Bewerken.
  2. Vouw in de consoleboomstructuur onder Computerconfiguratiede Voorkeuren map uit en vouw dan de map Windows-instellingen uit.
  3. Klik met de rechtermuisknop op de node Register , wijs dan naar Nieuwen selecteer Registeritem.

Register - nieuw - registeritems

Selecteer in het dialoogvenster Nieuwe registereigenschappen het volgende:

  • Actie: Update
  • Hive: HKEY_LOCAL_MACHINE
  • Sleutelpad: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Waardenaam: Starten
  • Waardetype: REG_DWORD
  • Gegevens: 4

Start eigenschappen - Algemeen

Verwijder nu de afhankelijkheid van de MRxSMB10 die zojuist was uitgeschakeld

Selecteer in het dialoogvenster Nieuwe registereigenschappen het volgende:

  • Actie: Replace
  • Hive: HKEY_LOCAL_MACHINE
  • Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Waardenaam: DependOnService
  • Waardetype REG_MULTI_SZ
  • Gegevens:
    • Bowser
    • MRxSmb20
    • NSI

Opmerking Deze drie strings hebben geen opsommingstekens (zie hieronder).

DependOnService eigenschappen

De standaardwaarde bevat MRxSMB10 in vele Windows-versies dus door ze te vervangen met deze tekenreeks met meerdere waarden, wordt MRxSMB10 in feite als afhankelijkheid van LanmanServer verwijderd en blijven van de vier de hierboven vermelde drie waarden over.

Opmerking Wanneer u de Console Groepsbeleidsbeheer gebruikt, hoeft u geen aanhalingstekens of komma's te gebruiken. Typ gewoon op de individuele regels.

Opnieuw opstarten vereist

Nadat het beleid is toegepast en de registerinstellingen zijn opgesteld, moeten de betreffende systemen opnieuw worden opgestart voordat SMBv1 is uitgeschakeld.

Samenvatting

Als alle instellingen zich in hetzelfde Groepsbeleidsobject (GPO) bevinden, geeft het Groepsbeleidsbeheer de volgende instellingen weer.

De Editor voor Groepsbeleidsbeheer - register

Testen en valideren

Nadat deze zijn geconfigureerd, moet u het beleid toestaan om te repliceren en bij te werken. Als noodzakelijk onderdeel van het testen, voert u gpupdate /force uit vanuit een opdrachtprompt en controleert u vervolgens de doelcomputers om te zorgen dat de registerinstellingen correct zijn toegepast. Zorg ervoor dat SMB v2 en SMB v3 voor alle andere systemen in de omgeving functioneren.