Zistenie, zapnutie a vypnutie protokolov SMBv1, SMBv2 a SMBv3 v systémoch Windows a Windows Server

Vzťahuje sa na: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business

Súhrn


Tento článok opisuje postup zapnutia a vypnutia protokolov Server Message Block (SMB) verzie 1 (SMBv1), SMB verzie 2 (SMBv2) a SMB verzie 3 (SMBv3) v klientských a serverových súčastiach protokolu SMB. 
 

Systémy Windows 7 a Windows Server 2008 R2 – vypnutie protokolu SMBv2 deaktivuje nasledujúce funkcie:
  • Zlučovanie požiadaviek – umožňuje odosielať viacero požiadaviek protokolu SMB 2 ako jednu sieťovú požiadavku
  • Rozsiahlejšie čítanie a zápis – lepšie využívanie rýchlejších sietí
  • Ukladanie vlastností priečinkov a súborov do vyrovnávacej pamäte – klienti uchovávajú lokálne kópie priečinkov a súborov
  • Trvalé popisovače – v prípade dočasného odpojenia umožňujú transparentné opätovné pripojenie k serveru
  • Zlepšené podpisovanie správ – namiesto MD5 sa ako algoritmus hash používa HMAC SHA-256
  • Zlepšená škálovateľnosť zdieľania súborov – výrazné zvýšenie počtu používateľov, zdieľaní a otvorených súborov na server
  • Podpora symbolických prepojení
  • Klientský lízingový model oplock – obmedzuje údaje prenášané medzi klientom a serverom, čím zlepšuje výkon sietí s vysokým oneskorením a zvyšuje škálovateľnosť servera SMB
  • Rozsiahla podpora hodnoty MTU – umožňuje úplné využívanie 10 GB siete Ethernet
  • Zlepšená energetická účinnosť – klienti s otvorenými súbormi na serveri môžu byť v režime spánku
Systémy Windows 8, Windows 8.1, Windows 10, Windows Server 2012 a Windows Server 2016 – vypnutie protokolu SMBv3 deaktivuje nasledujúce funkcie (a tiež funkcie protokolu SMBv2 opísané v predchádzajúcom zozname):
  • Transparentné zabezpečenie pred zlyhaním – klienti sa počas údržby alebo zlyhania bez prerušenia opätovne pripájajú ku klastrovým uzlom
  • Horizontálna škálovateľnosť – súčasný prístup k zdieľaným údajom na všetkých klastrových uzloch súborov 
  • Viacero kanálov – agregácia šírky pásma siete a tolerancia chýb v prípade viacerých dostupných ciest medzi klientom a serverom
  • SMB Direct – poskytuje dodatočnú podporu sieťového prístupu RDMA v prípade veľmi vysokého výkonu s nízkym oneskorením a nízkym využitím procesora
  • Šifrovanie – zabezpečuje šifrovanie pre koncových používateľov a chráni pred narúšaním súkromia v nedôveryhodných sieťach
  • Prenájom adresárov – prostredníctvom vyrovnávacej pamäte zlepšuje čas reakcie aplikácie v pobočkách
  • Optimalizácia výkonu – optimalizácia malých náhodných vstupov/výstupov čítania/zápisu

Ďalšie informácie


Protokol SMBv2 je súčasťou systémov Windows Vista a Windows Server 2008.

Protokol SMBv3 je súčasťou systémov Windows 8 a Windows Server 2012.

Ďalšie informácie o funkciách protokolov SMBv2 a SMBv3 nájdete na nasledujúcich webových stránkach servera Microsoft TechNet:
 

Postup odstránenia protokolu SMBv1 zo systémov Windows 8.1, Windows 10, Windows 2012 R2 a Windows Server 2016


Windows Server 2012 R2 a 2016: Metódy prostredia PowerShell

SMB v1

Zistenie:

Get-WindowsFeature FS-SMB1

Vypnutie:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Zapnutie:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Zistenie:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Vypnutie:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Zapnutie:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 a Windows Server 2016: Metóda programu Správca servera na vypnutie protokolu SMB

SMB v1
Server Manager - Dashboard method



Windows 8.1 a Windows 10: Metódy prostredia PowerShell

Protokol SMB v1



Windows 8.1 a Windows 10: metóda pomocou ponuky Pridanie alebo odstránenie programov

Add-Remove Programs client method
 
 

Zistenie stavu, zapnutie a vypnutie protokolov SMB na serveri SMB


Pre Windows 8 a Windows Server 2012

Systémy Windows 8 a Windows Server 2012 predstavujú novú rutinu typu Set-SMBServerConfiguration Windows PowerShell cmdlet. Rutina typu cmdlet umožňuje zapínať alebo vypínať protokoly SMBv1, SMBv2 a SMBv3 v serverovej súčasti. 


Po spustení rutiny typu Set-SMBServerConfiguration cmdlet nie je potrebné reštartovať počítač.

SMB v1 na serveri SMB
Zistenie: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Vypnutie: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Zapnutie: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Ďalšie informácie nájdete na adrese Ukladací priestor v spoločnosti Microsoft.

SMB v2/v3 na serveri SMB
Zistenie: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Vypnutie: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Zapnutie: Set-SmbServerConfiguration -EnableSMB2Protocol $true


Pre systémy Windows 7, Windows Server 2008 R2, Windows Vista a Windows Server 2008

Ak chcete na serveri SMB so systémom Windows 7, Windows Server 2008 R2, Windows Vista alebo Windows Server 2008 zapnúť alebo vypnúť protokoly SMB, použite prostredie Windows PowerShell alebo editor databázy Registry.

Metódy prostredia PowerShell


SMB v1 na serveri SMB

Zistenie:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Predvolená konfigurácia = Zapnuté (Nevytvorí sa žiadny kľúč databázy Registry), takže sa nevráti žiadna hodnota protokolu SMB1

Vypnutie:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Zapnutie:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Poznámka: Po vykonaní týchto zmien je potrebné reštartovať počítač.

Ďalšie informácie nájdete na adrese Ukladací priestor v spoločnosti Microsoft.

SMB v2/v3 na serveri SMB

Zistenie:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Vypnutie:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Zapnutie:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Poznámka: Po vykonaní týchto zmien je potrebné reštartovať počítač.


Editor databázy Registry

Dôležité upozornenie:Tento článok obsahuje informácie o úprave databázy Registry. Pred úpravou je potrebné databázu Registry zálohovať. Mali by ste tiež poznať postup pri obnovení databázy Registry v prípade, že sa vyskytne problém. Ďalšie informácie o zálohovaní, obnovení a úprave databázy Registry získate kliknutím na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows

Ak chcete na serveri SMB zapnúť alebo vypnúť protokol SMBv1, konfigurujte tento kľúč databázy Registry:

Podkľúč databázy Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Položka databázy Registry: SMB1
REG_DWORD: 0 = vypnuté
REG_DWORD: 1 = zapnuté
Predvolená hodnota: 1 = zapnuté(Nie je vytvorený žiadny kľúč databázy Registry)

Ak chcete na serveri SMB zapnúť alebo vypnúť protokol SMBv2, konfigurujte tento kľúč databázy Registry:

Podkľúč databázy Registry:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Položka databázy Registry: SMB2
REG_DWORD: 0 = vypnuté
REG_DWORD: 1 = zapnuté
Predvolená hodnota: 1 = zapnuté (Nie je vytvorený žiadny kľúč databázy Registry)


Poznámka: Po vykonaní týchto zmien je potrebné reštartovať počítač.

Zistenie stavu, zapnutie a vypnutie protokolov SMB v klientovi SMB


Pre systémy Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 a Windows Server 2012

Poznámka: Po zapnutí alebo vypnutí protokolu SMBv2 v systéme Windows 8 alebo Windows Server 2012 sa zároveň zapne alebo vypne protokol SMBv3. Dochádza k tomu preto, že tieto protokoly zdieľajú rovnaký zásobník.

SMB v1 na serveri Klient SMB
Zistenie: sc.exe qc lanmanworkstation
Vypnutie: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Zapnutie: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Ďalšie informácie nájdete na adrese Ukladací priestor v spoločnosti Microsoft.

SMB v2/v3 na serveri Klient SMB
Zistenie: sc.exe qc lanmanworkstation
Vypnutie: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Zapnutie: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Poznámky

  • Tieto príkazy je potrebné spustiť z príkazového riadka s právami správcu.
  • Po vykonaní týchto zmien je potrebné reštartovať počítač.

Vypnutie servera SMBv1 pomocou skupinovej politiky


Tento postup konfiguruje nasledujúcu novú položku v databáze Registry:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Položka databázy Registry: SMB1 REG_DWORD: 0 = vypnuté


Konfigurácia tejto položky pomocou skupinovej politiky:

  1. Otvorte konzolu Group Policy Management Console. Pravým tlačidlom myši kliknite na objekt skupinovej politiky (GPO), ktorý by mal obsahovať novú položku preferencie, a potom kliknite na tlačidlo Upraviť.
  2. V stromovej štruktúre konzoly v ponuke Konfigurácia počítača rozbaľte priečinok Preferencie a potom priečinok Nastavenie systému Windows.
  3. Pravým tlačidlom myši kliknite na uzol Databáza Registry, ukážte na položku Nové a vyberte položku Položka databázy Registry.

    Registry - New - Registry Item

V dialógovom okne Nové vlastnosti databázy Registry vyberte tieto možnosti:

  • Akcia: Vytvoriť
  • Podregister: HKEY_LOCAL_MACHINE
  • Cesta kľúča: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Názov hodnoty: SMB1
  • Typ hodnoty: REG_DWORD
  • Údaj hodnoty: 0

New Registry Properties - General

Týmto spôsobom sa vypnú súčasti servera SMBv1. Táto skupinová politika sa musí použiť pre všetky potrebné pracovné stanice, servery a radiče domény v príslušnej doméne.

Poznámka Filtre WMI možno tiež nastaviť tak, aby sa vylúčili nepodporované operačné systémy alebo vybraté výnimky, napríklad systém Windows XP. 

Vypnutie klienta SMBv1 pomocou skupinovej politiky


Ak chcete vypnúť klienta SMBv1, je potrebné aktualizovať kľúč databázy Registry služieb, aby ste mohli vypnúť spúšťanie ovládača MRxSMB10, a následne je potrebné pre položku LanmanWorkstation odstrániť závislosť na ovládači MRxSMB10 tak, aby sa mohlo zariadenie spúšťať bežným spôsobom bez toho, aby sa najskôr vyžadovalo spustenie ovládača MRxSMB10.

Týmto spôsobom sa v databáze Registry aktualizujú a nahradia predvolené hodnoty v nasledujúcich dvoch položkách:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Položka databázy Registry: Štart REG_DWORD: 4 = vypnuté

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Položka databázy Registry: DependOnService REG_MULTI_SZ: “Prehliadač”, ”MRxSmb20″,”NSI”


PoznámkaPredvolené nastavenie zahŕňalo ovládač MRxSMB10, ktorý je teraz odstránený ako nutnosť


Konfigurácia tejto položky pomocou skupinovej politiky:

  1. Otvorte konzolu Group Policy Management Console. Pravým tlačidlom myši kliknite na objekt skupinovej politiky (GPO), ktorý by mal obsahovať novú položku preferencie, a potom kliknite na tlačidlo Upraviť.
  2. V stromovej štruktúre konzoly v ponuke Konfigurácia počítača rozbaľte priečinok Preferencie a potom priečinok Nastavenie systému Windows.
  3. Pravým tlačidlom myši kliknite na uzol Databáza Registry, ukážte na položku Nové a vyberte položku Položka databázy Registry.

Registry - New - Registry Item

V dialógovom okne Nové vlastnosti databázy Registry vyberte tieto možnosti:

  • Akcia: Aktualizovať
  • Podregister: HKEY_LOCAL_MACHINE
  • Cesta kľúča: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Názov hodnoty: Štart
  • Typ hodnoty: REG_DWORD
  • Údaj hodnoty: 4

Start Properties - General

Odstráňte závislosť na ovládači MRxSMB10, ktorý sa práve vypol

V dialógovom okne Nové vlastnosti databázy Registry vyberte tieto možnosti:

  • Akcia: Nahradiť
  • Podregister: HKEY_LOCAL_MACHINE
  • Cesta kľúča: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Názov hodnoty: DependOnService
  • Typ hodnoty: REG_MULTI_SZ
  • Údaj hodnoty:
    • Bowser
    • MRxSmb20
    • NSI

PoznámkaTieto tri reťazce nebudú mať odrážky (pozri nasledujúcu snímku obrazovky).

DependOnService Properties

Predvolená hodnota v mnohých verziách systému Windows zahŕňa ovládač MRxSMB10, preto sa po nahradení za tento reťazec s viacerými hodnotami odstráni ovládač MRxSMB10 ako závislosť pre položku LanmanServer a namiesto štyroch predvolených hodnôt zostanú len tri hodnoty uvedené vyššie.

Poznámka: Pri použití Group Policy Management Console nemusíte použiť čiarky alebo úvodzovky. Jednotlivé položky stačí zadať do príslušných riadkov.

Vyžaduje sa reštart

Po uplatnení politiky a úprave nastavenia databázy Registry je pred vypnutím klienta SMBv1 potrebné cieľové systémy reštartovať.

Súhrn

Ak sú všetky nastavenia v rovnakom objekte skupinovej politiky (GPO), v konzole Group Policy Management Console sa zobrazia nastavenia uvedené nižšie.

Group Policy Management Editor - Registry

Testovanie a overenie

Po konfigurovaní týchto nastavení nechajte politiku zreplikovať a aktualizovať. Na účely testovania spustite príkaz gpupdate /force v príkazovom riadku, potom skontrolujte cieľové zariadenia a uistite sa, či sa nastavenia databázy Registry použili správne. Skontrolujte, či protokoly SMBv2 a SMBv3 fungujú vo všetkých ostatných systémoch v príslušnom prostredí.