Windows ve Windows Server'da SMBv1, SMBv2 ve SMBv3'ü algılama, etkinleştirme ve devre dışı bırakma

Şunlar için geçerlidir: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business

Özet


Bu makale, SMB istemci ve sunucu bileşenlerinde Sunucu İleti Bloğu (SMB) sürüm 1 (SMBv1), SMB sürüm 2 (SMBv2) ve SMB sürüm 3'ün (SMBv3) nasıl etkinleştirileceğini ve devre dışı bırakılacağını açıklar. 
 

Windows 7 ve Windows Server 2008 R2'de, SMBv2'yi devre dışı bırakmak aşağıdaki özellikleri devre dışı bırakır:
  • İstek bileşimi - tek bir ağ isteği olarak birden fazla SMB 2 isteği göndermeye olanak tanır
  • Daha büyük ölçekli okumalar ve yazmalar - daha hızlı ağlarda daha iyi kullanım
  • Klasör ve dosya özelliklerinin önbelleğe alınması - istemciler, klasörlerin ve dosyaların yerel kopyalarını saklar
  • Dayanıklı işleyiciler - geçici bir bağlantı kesilmesi söz konusu olduğunda, bağlantının sunucuya benzer şekilde yeniden bağlanmasına olanak tanır
  • Geliştirilmiş ileti imzalama - HMAC SHA-256, karma algoritma olarak MD5'in yerini alır
  • Dosya paylaşımı için geliştirilmiş ölçeklenebilirlik - sunucu başına kullanıcı, paylaşım ve açık dosya sayısı büyük oranda artırılmıştır
  • Sembolik bağlantı desteği
  • İstemci işlem kilidi kiralama modeli - istemci ve sunucu arasında aktarılan verileri sınırlayarak yüksek gecikmeli ağlarda performansı geliştirir ve SMB sunucu ölçeklenebilirliğini artırır
  • Geniş MTU desteği - 10 gigabayt (GB) Ethernet'in tam kullanımı için
  • Gelişmiş enerji verimliliği - bir sunucuda açık dosyaları olan istemciler uyku moduna geçebilir
Windows 8, Windows 8.1, Windows 10, Windows Server 2012 ve Windows Server 2016'da SMBv3'ü devre dışı bırakmak aşağıdaki işlevleri (ve ayrıca önceki listede açıklanan SMBv2 işlevlerini) devre dışı bırakır:
  • Saydam Yük Devretme - istemciler, bakım veya yük devretme sırasında küme düğümlerinde kesinti olmaksızın yeniden bağlanır
  • Ölçeği Genişletme - tüm dosya küme düğümlerinde paylaşılan verilere eş zamanlı erişim 
  • Çok Kanallı - istemci ve sunucu arasında birden fazla yol mevcut olduğunda ağ bant genişliği ve hata toleransını toplama
  • Doğrudan Erişimli SMB - düşük gecikmeli ve düşük CPU kullanımlı yüksek performans için RDMA ağ desteği ekler
  • Şifreleme - uçtan uca şifreleme sağlar ve güvenilmez ağlarda izinsiz dinlemeyi önler
  • Dizin Kiralama - ön belleğe alma yoluyla şubelerdeki uygulama yanıt sürelerini iyileştirir
  • Performans Optimizasyonları - küçük rastgele okuma/yazma G/Ç için optimizasyonlar

Ek Bilgi


SMBv2 protokolü, Windows Vista ve Windows Server 2008'de tanıtıldı.

SMBv3 protokolü, Windows 8 ve Windows Server 2012'de tanıtıldı.

SMBv2 ve SMBv3 özellikleri hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet web sitelerine gidin:
 

Windows 8.1, Windows 10, Windows 2012 R2 ve Windows Server 2016'da SMB v1'i düzgün bir şekilde kaldırma


Windows Server 2012 R2 ve 2016: PowerShell yöntemleri

SMB v1

Algılama:

Get-WindowsFeature FS-SMB1

Devre Dışı Bırakma:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Etkinleştirme:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol


SMB v2/v3

Algılama:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Devre Dışı Bırakma:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Etkinleştirme:

Set-SmbServerConfiguration -EnableSMB2Protocol $true



Windows Server 2012 R2 ve Windows Server 2016: SMB'yi devre dışı bırakmak için Sunucu Yöneticisi yöntemi

SMB v1
Server Manager - Dashboard method



Windows 8.1 ve Windows 10: PowerShell yöntemi

SMB v1 Protokolü



Windows 8.1 ve Windows 10: Program Ekle veya Kaldır yöntemi

Add-Remove Programs client method
 
 

SMB Sunucusunda SMB protokollerini etkinleştirme, devre dışı bırakma ve durumunu algılama


Windows 8 ve Windows Server 2012

Windows 8 ve Windows Server 2012, yeni Set-SMBServerConfiguration Windows PowerShell cmdlet'i tanıttı. cmdlet, sunucu bileşeninde SMBv1, SMBv2 ve SMBv3 protokollerini etkinleştirmenizi veya devre dışı bırakmanızı mümkün kılar. 


Set-SMBServerConfiguration cmdlet'i çalıştırdıktan sonra bilgisayarı yeniden başlatmanız gerekmez.

SMB Sunucusunda SMB v1
Algılama: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Devre Dışı Bırakma: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Etkinleştirme: Set-SmbServerConfiguration -EnableSMB1Protocol $true

Daha fazla bilgi için Microsoft'ta sunucu deposu bölümüne göz atın.

SMB Sunucusunda SMB v2/v3
Algılama: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Devre Dışı Bırakma: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Etkinleştirme: Set-SmbServerConfiguration -EnableSMB2Protocol $true


Windows 7, Windows Server 2008 R2, Windows Vista ve Windows Server 2008 için

Windows 7, Windows Server 2008 R2, Windows Vista veya Windows Server 2008 çalıştıran bir SMB Sunucusunda SMB protokollerini etkinleştirmek veya devre dışı bırakmak için Windows PowerShell veya Kayıt Defteri Düzenleyicisi'ni kullanın.

PowerShell yöntemleri


SMB Sunucusunda SMB v1

Algılama:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Varsayılan yapılandırma = Etkin (Kayıt defteri anahtarı oluşturulmaz), böylece SMB1 değeri döndürülmez

Devre Dışı Bırakma:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Etkinleştirme:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force


Not Bu değişiklikleri yaptıktan sonra bilgisayarı yeniden başlatmanız gerekir.

Daha fazla bilgi için Microsoft'ta sunucu deposu bölümüne göz atın.

SMB Sunucusunda SMB v2/v3

Algılama:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}


Devre Dışı Bırakma:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force


Etkinleştirme:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force


Not Bu değişiklikleri yaptıktan sonra bilgisayarı yeniden başlatmanız gerekir.


Kayıt Defteri Düzenleyicisi

Önemli Bu makale, kayıt defteri üzerindeki değişikliklerin nasıl yapılacağı hakkında bilgi içerir. Değiştirmeden önce kayıt defterini yedeklemeyi unutmayın. Bir sorun olduğunda kayıt defterinin nasıl geri yükleneceğini bildiğinizden emin olun. Kayıt defterini yedekleme, geri yükleme ve değiştirme hakkında daha fazla bilgi edinmek için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
322756 Windows'ta kayıt defterini yedekleme ve geri yükleme

SMB sunucusunda SMBv1'i etkinleştirmek veya devre dışı bırakmak için aşağıdaki kayıt defteri anahtarını yapılandırın:

Kayıt defteri alt anahtarı: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Kayıt defteri girdisi: SMB1
REG_DWORD: 0 = Devre dışı
REG_DWORD: 1 = Etkin
Varsayılan: 1 = Etkin (Kayıt defteri anahtarı oluşturulmadı)

SMB sunucusunda SMBv2'yi etkinleştirmek veya devre dışı bırakmak için aşağıdaki kayıt defteri anahtarını yapılandırın:

Kayıt defteri alt anahtarı: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Kayıt defteri girdisi: SMB2
REG_DWORD: 0 = Devre dışı
REG_DWORD: 1 = Etkin
Varsayılan: 1 = Etkin (Kayıt defteri anahtarı oluşturulmadı)


Not Bu değişiklikleri yaptıktan sonra bilgisayarı yeniden başlatmanız gerekir.

SMB İstemcisinde SMB protokollerini etkinleştirme, devre dışı bırakma ve durumunu algılama


Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 ve Windows Server 2012 için

Not Windows 8 veya Windows Server 2012'de SMBv2'yi etkinleştirdiğinizde ya da devre dışı bıraktığınızda, SMBv3 de etkinleştirilir ya da devre dışı bırakılır. Bu protokoller aynı yığını paylaştığı için bu davranış meydana gelir.

SMB İstemcisinde SMB v1
Algılama: sc.exe qc lanmanworkstation
Devre Dışı Bırakma: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Etkinleştirme: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto


Daha fazla bilgi için Microsoft'ta sunucu deposu bölümüne göz atın

SMB İstemcisinde SMB v2/v3
Algılama: sc.exe qc lanmanworkstation
Devre Dışı Bırakma: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Etkinleştirme: sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto


Notlar

  • Bu komutları yükseltilmiş bir komut isteminde çalıştırmalısınız.
  • Bu değişiklikleri yaptıktan sonra bilgisayarı yeniden başlatmanız gerekir.

SMBv1 Sunucusunu Grup İlkesiyle devre dışı bırakma


Bu yöntem kayıt defterinde şu yeni öğeyi yapılandırır:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Kayıt defteri girdisi: SMB1 REG_DWORD: 0 = Devre dışı


Grup İlkesi kullanarak yapılandırma yapmak için:

  1. Grup İlkesi Yönetim Konsolu'nu açın. Yeni tercih öğesini içerecek Grup İlkesi nesnesine (GPO) sağ tıklayın ve ardından Düzenle'ye tıklayın.
  2. Bilgisayar Yapılandırması altında konsol ağacında Tercihler klasörünü genişletin ve ardından Windows Ayarları klasörünü genişletin.
  3. Kayıt Defteri düğümüne sağ tıklayın, Yeni'nin üzerine gelin ve Kayıt Defteri Öğesi'ni seçin.

    Kayıt defteri - yeni - kayıt defteri öğesi

Yeni Kayıt Defteri Özellikleri iletişim kutusunda aşağıdakileri seçin:

  • Eylem: Oluşturma
  • Kovan: HKEY_LOCAL_MACHINE
  • Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Değer adı: SMB1
  • Değer türü: REG_DWORD
  • Değer verisi: 0

Yeni kayıt defteri özellikleri - genel

Bu işlem SMBv1 Sunucu bileşenlerini devre dışı bırakır. Bu Grup İlkesinin etki alanındaki gerekli tüm iş istasyonlarına, sunuculara ve etki alanı denetleyicilerine uygulanması gerekir.

Not WMI filtreleri aynı zamanda desteklenmeyen işletim sistemlerini veya Windows XP gibi seçili çıkarmaları dışarıda tutmak için de kullanılabilir. 

SMBv1 İstemcisini Grup İlkesiyle Devre Dışı Bırakma


SMBv1 istemcisini devre dışı bırakmak için MRxSMB10'un başlatılmasını devre dışı bırakmak üzere hizmetler kayıt defteri anahtarının güncelleştirilmesi ve ardından LanmanWorkstation için MRxSMB10'a olan bağımlılığın kaldırılması gereklidir, böylece ilk olarak MRxSMB10'un başlatılmasına gerek olmadan sistem normal olarak başlatılabilir.

Bu işlem aşağıdaki 2 öğenin kayıt defterindeki varsayılan değerlerini güncelleştirir ve değiştirir:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Kayıt defteri girdisi: Start REG_DWORD: 4 = Devre dışı

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Kayıt defteri girdisi: DependOnService REG_MULTI_SZ: ''Bowser'',''MRxSmb20'',''NSI''


Not Varsayılan, şu anda bağımlılık olarak kaldırılan MRxSMB10'u içeriyordu


Bunu Grup İlkesini kullanarak yapılandırmak için:

  1. Grup İlkesi Yönetim Konsolu'nu açın. Yeni tercih öğesini içerecek Grup İlkesi nesnesine (GPO) sağ tıklayın ve ardından Düzenle'ye tıklayın.
  2. Bilgisayar Yapılandırması altında konsol ağacında Tercihler klasörünü genişletin ve ardından Windows Ayarları klasörünü genişletin.
  3. Kayıt Defteri düğümüne sağ tıklayın, Yeni'nin üzerine gelin ve Kayıt Defteri Öğesi'ni seçin.

Kayıt defteri - yeni - kayıt defteri öğesi

Yeni Kayıt Defteri Özellikleri iletişim kutusunda aşağıdakileri seçin:

  • Eylem: Güncelleştirme
  • Kovan: HKEY_LOCAL_MACHINE
  • Anahtar Yolu: SYSTEM\CurrentControlSet\services\mrxsmb10
  • Değer adı: Start
  • Değer türü: REG_DWORD
  • Değer verisi: 4

Başlangıç özellikleri - genel

Ardından devre dışı bırakılan MRxSMB10'a bağımlılığı kaldırın

Yeni Kayıt Defteri Özellikleri iletişim kutusunda aşağıdakileri seçin:

  • Eylem: Değiştirme
  • Kovan: HKEY_LOCAL_MACHINE
  • Anahtar Yolu: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Değer adı: DependOnService
  • Değer türü REG_MULTI_SZ
  • Değer verisi:
    • Bowser
    • MRxSmb20
    • NSI

Not Bu üç dizede madde işareti bulunmayacaktır (bkz. aşağıdaki ekran görüntüsü).

DependOnService özellikleri

Birçok Windows sürümünde varsayılan değere MRxSMB10 dahildir, bu nedenle bu öğeyi çoklu değere sahip bir dizeyle değiştirerek LanmanServer için MRxSMB10'un bağımlılığını kaldırırsınız ve dört olan varsayılan değer sayısını üçe indirirsiniz.

Not Grup İlkesi Yönetim Konsolu'nu kullandığınızda tırnak işaretleri veya virgül kullanmanız gerekmez.  Her girdinin ayrı satırlara yazılması yeterlidir.

Yeniden başlatma gerekli.

İlke uygulandıktan ve kayıt defteri ayarları devreye girdikten sonra hedeflenen sistemlerin SMB v1 devre dışı bırakılmadan önce yeniden başlatılması gerekmektedir.

Özet

Tüm ayarlar aynı Grup İlkesi Nesnesinde (GPO) bulunuyorsa, Grup İlkesi Yönetimi aşağıdaki ayarları gösterir.

Grup İlkesi Yönetimi Düzenleyicisi - kayıt defteri

Test Etme ve onaylama

Bu öğeler yapılandırıldıktan sonra, ilkenin çoğaltmasına ve güncelleştirmesine izin verin. Test etmek için, komut isteminde gpupdate /force komutunu çalıştırın ve ardından kayıt defteri ayarlarının doğru bir şekilde uygulandığından emin olmak için hedef makineleri gözden geçirin. Ortamdaki diğer tüm sistemlerde SMB v2 ve SMB v3'ün çalıştığından emin olun.