Så här identifierar, aktiverar och inaktiverar du SMBv1, SMBv2 och SMBv3 i Windows och Windows Server

Gäller för: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business

Sammanfattning


Den här artikeln beskriver hur man aktiverar och inaktiverar Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2) och SMB version 3 (SMBv3) på SMB klient- och serverkomponenter. 
 

Om du inaktiverar SMBv2 i Windows 7 och Windows Server 2008 R2, inaktiverar du följande funktioner:
  • Sammanslagning av begäranden – låter dig skicka flera SMB 2-begäranden som en enskild nätverksbegäran
  • Större läsningar och skrivningar – bättre utnyttjande av snabbare nätverk
  • Cachelagring av mapp- och filegenskaper – klienterna har lokala kopior av mappar och filer
  • Varaktiga referenser – låter en anslutning transparent återansluta till servern om det sker en tillfällig frånkoppling
  • Förbättrade meddelandesignering – HMAC SHA-256 ersätter MD5 som hashingalgoritm
  • Förbättrad skalbarhet för fildelning – antalet användare, resurser och öppna filer per server har ökats markant
  • Stöd för symbollänkar
  • Oplock-klientleasingmodell – begränsar överförd data mellan klienten och servern, vilket förbättrar prestandan för nätverk med höga svarstider och öka skalbarheten för SMB-servern
  • Stöd för hög MTU – för fullt utnyttjande av 10-gigabyte (GB) Ethernet
  • Förbättrad energieffektivitet – klienter som har filer öppna mot en server kan sova
I Windows 8, Windows 8.1, Windows 10, Windows Server 2012 och Windows Server 2016, leder inaktivering av SMBv3 att följande funktioner inaktiveras (och även de SMBv2- funktioner som beskrivs i föregående lista):
  • Transparent redundans – klienter återansluter utan avbrott till klusternoder vid underhåll eller redundans
  • Skala ut – samtidig åtkomst till delad data på alla filklusternoder 
  • Multichannel – sammansättning av nätverksbandbredd och feltolerans om det finns flera sökvägar tillgängliga mellan klient och server
  • SMB Direct – lägger till RDMA-nätverksstöd för väldigt hög prestanda, med låg latens och låg CPU-användning
  • Kryptering – tillhandahåller slutpunkt-till-slutpunktskryptering och skyddar från avlyssning på icke-betrodda nätverk
  • Katalogleasing – förbättrar programsvarstider i avdelningskontor med hjälp av cachelagring
  • Prestandaoptimeringar – optimeringar för små slumpmässiga läs/skriv I/O

Mer information


SMBv2-protokollet introducerades i Windows Vista och Windows Server 2008.

SMBv3-protokollet introducerades i Windows 8 och Windows Server 2012.

För mer information om funktionerna med SMBv2 och SMBv3, gå till följande Microsoft TechNet-webbplatser:
 

Hur du tar bort SMB v1 i Windows 8.1, Windows 10, Windows 2012 R2 och Windows Server 2016 på ett korrekt sätt


Windows Server 2012 R2 & 2016: PowerShell-metoder

SMB v1

Identifiera:

Get-WindowsFeature FS-SMB1

Inaktivera:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Aktivera:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Identifiera:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Inaktivera:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Aktivera:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 och Windows Server 2016: Metod i Serverhanteraren för att inaktivera SMB

SMB v1
Server Manager - Dashboard method



Windows 8.1 och Windows 10: PowerShell-metod

SMB v1-protokoll



Windows 8.1 och Windows 10: Lägg till eller ta bort program-metoden

Add-Remove Programs client method
 
 

Så här identifierar du en status och aktiverar eller inaktiverar SMB-protokoll på SMB-servern


För Windows 8 och Windows Server 2012

Windows 8 och Windows Server 2012 introducerar den nya Windows PowerShell-cmdleten Set-SMBServerConfiguration. Cmdleten låter dig aktivera eller inaktivera SMBv1-, SMBv2- och SMBv3-protokollen på serverkomponenten. 


Du behöver inte starta om datorn efter att du kört cmdleten Set-SMBServerConfiguration.

SMB v1 på SMB-server
Identifiera: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Inaktivera: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Aktivera: Set-SmbServerConfiguration -EnableSMB1Protocol $true

För ytterligare information, se Serverlagring hos Microsoft.

SMB v2/v3 på SMB-server
Identifiera: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Inaktivera: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Aktivera: Set-SmbServerConfiguration -EnableSMB2Protocol $true


För Windows 7, Windows Server 2008 R2, Windows Vista och Windows Server 2008

För att aktivera eller inaktivera SMB-protokollen på en SMB-server som kör Windows 7, Windows Server 2008 R2, Windows Vista eller Windows Server 2008, använder du Windows PowerShell eller registereditorn.

PowerShell-metoder


SMB v1 på SMB-server

Identifiera:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Standardkonfiguration = aktiverad (det skapas ingen registernyckel), så inget SMB1-värde kommer att returneras

Inaktivera:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Aktivera:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Obs Du måste starta om datorn efter att du gjort de här ändringarna.

För ytterligare information, se Serverlagring hos Microsoft.

SMB v2/v3 på SMB-server

Identifiera:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Inaktivera:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Aktivera:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Obs Du måste starta om datorn efter att du gjort de här ändringarna.


Registereditorn

Viktigt! Den här artikeln innehåller information om hur man ändrar i registret. Gör en säkerhetskopia av registret innan du ändrar i det. Du måste också veta hur registret återställs om ett problem uppstår. Mer information om hur du säkerhetskopierar, återställer och ändrar registret får du om du klickar på följande artikelnummer i Microsoft Knowledge Base:
322756 Säkerhetskopiera och återställa registret i Windows

För att aktivera eller inaktivera SMBv1 på SMB-servern, konfigurerar du följande registernyckel:

Registerundernyckel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registerpost: SMB1
REG_DWORD: 0 = Inaktiverad
REG_DWORD: 1 = Aktiverad
Standard: 1 = Aktiverad(ingen registernyckel skapas)

För att aktivera eller inaktivera SMBv2 på SMB-servern, konfigurerar du följande registernyckel:

Registerundernyckel:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registerpost: SMB2
REG_DWORD: 0 = Inaktiverad
REG_DWORD: 1 = Aktiverad
Standard: 1 = Aktiverad(ingen registernyckel skapas)


Obs Du måste starta om datorn efter att du gjort de här ändringarna.

Så här identifierar du en status och aktiverar eller inaktiverar SMB-protokoll på SMB-klienten


För Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 och Windows Server 2012

Obs När du aktiverar eller inaktiverar SMBv2 i Windows 8 eller i Windows Server 2012, aktiveras eller inaktiveras även SMBv3. Det här sker eftersom protokollen använder sig av samma stack.

SMB v1 på SMB-klient
Identifiera: sc.exe qc lanmanworkstation
Inaktivera: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Aktivera: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


För ytterligare information, se Serverlagring hos Microsoft

SMB v2/v3 på SMB-klient
Identifiera: sc.exe qc lanmanworkstation
Inaktivera: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Aktivera: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Kommentarer

  • Du måste köra de här kommandona från en upphöjd kommandotolk.
  • Du måste starta om datorn efter att du gjort de här ändringarna.

Inaktivera SMBv1 Server med grupprincip


Denna procedur konfigurerar nedanstående nya post i registret:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registerpost: SMB1 REG_DWORD: 0 = Inaktiverad


För att konfigurera detta med en grupprincip:

  1. Öppna konsolen Grupprinciphantering. Högerklicka på grupprincipobjektet (GPO), som ska innehålla det nya inställningsobjektet, och klicka sedan på Redigera.
  2. I konsolträdet under Datorkonfiguration expanderar du mappen Tillägg och sedan mappen Windows-inställningar.
  3. Högerklicka på registernoden, peka på Ny och välj Registerobjekt.

    Registret - nytt - registerobjekt

I dialogrutan Nya registeregenskaper väljer du följande:

  • Åtgärd: Skapa
  • Registreringsdatafil: HKEY_LOCAL_MACHINE
  • Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Värdenamn: SMB1
  • Värdetyp: REG_DWORD
  • Data: 0

Egenskaper för ny registret - Allmänt

Detta inaktiverar SMBv1 Server-komponenterna. Denna gruppolicy måste tillämpas på alla erforderliga arbetsstationer, servrar och domänkontrollanter i domänen.

Obs WMI-filter kan också ställa in för att exkludera operativsystem som inte stöds eller särskilda undantag som Windows XP. 

Inaktivera SMBv1 Client med grupprincip


För att inaktivera SMBv1-klienten måste tjänsteregisternyckeln uppdateras för att inaktivera start av MRxSMB10 och därefter måste beroendet av MRxSMB10 avlägsnas från posten för LanmanWorkstation så att den kan starta normalt utan att först kräva MRxSMB10 för att starta.

Detta uppdaterar och ersätter standardvärdena i nedanstående två poster i registret:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registerpost: Start REG_DWORD: 4 = Inaktiverad

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registerpost: DependOnService REG_MULTI_SZ: Bowser,MRxSmb20,NSI


ObsSom standard omfattades MRxSMB10 som nu avlägsnas som beroende


För att konfigurera detta med en grupprincip:

  1. Öppna konsolen Grupprinciphantering. Högerklicka på grupprincipobjektet (GPO), som ska innehålla det nya inställningsobjektet, och klicka sedan på Redigera.
  2. I konsolträdet under Datorkonfiguration expanderar du mappen Tillägg och sedan mappen Windows-inställningar.
  3. Högerklicka på registernoden, peka på Ny och välj Registerobjekt.

Registret - nytt - registerobjekt

I dialogrutan Nya registeregenskaper väljer du följande:

  • Åtgärd: Uppdatera
  • Registreringsdatafil: HKEY_LOCAL_MACHINE
  • Nyckelsökväg: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Värdenamn: Start
  • Värdetyp: REG_DWORD
  • Värdedata: 4

Egenskaper för start - Allmänt

Avlägsna därefter beroendet av MRxSMB10 som nyligen inaktiverades.

I dialogrutan Nya registeregenskaper väljer du följande:

  • Åtgärd: Ersätt
  • Registreringsdatafil: HKEY_LOCAL_MACHINE
  • Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Värdenamn: DependOnService
  • Värdetyp REG_MULTI_SZ
  • Värdedata:
    • Bowser
    • MRxSmb20
    • NSI

Obs! Dessa tre strängar saknar punktlista (se skärmbilden nedan).

DependOnService egenskaper

Standardvärdet omfattar MRxSMB10 i många Windows-versioner så genom att byta ut dem mot denna flervärdessträng avlägsnas MRxSMB10 som beroende för LanmanServer och går från fyra standardvärden till bara dessa tre värden ovan.

Obs!När du använder konsolen Grupprinciphantering behöver du inte använda citat- eller kommatecken. Du behöver bara skriva varje post på enskilda rader.

Omstart krävs

Då policyn har tillämpats och registerinställningarna är på plats måste de aktuella systemen startas om innan SMB v1 inaktiveras.

Sammanfattning

Om alla inställningarna är i samma grupprincipobjekt visas inställningarna nedan i Grupprinciphantering.

Grupprincip Management Editor - registret

Testning och validering

När dessa har konfigurerats låter du policyn replikera och uppdatera. Kör gpupdate /force från en kommandotolk, vilket är nödvändigt för testning, och granska därefter de aktuella datorerna för att säkerställa att registerinställningarna tillämpas korrekt. Kontrollera att SMB v2 och SMB v3 fungerar för alla andra system i miljön.