Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1, Windows 8

Cet article explique comment activer et désactiver Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2) et SMB version 3 (SMBv3) sur les composants serveur et client SMB.

Bien que la désactivation ou la suppression de SMBv1 puisse entraîner des problèmes de compatibilité avec les anciens ordinateurs ou logiciels, SMBv1 présente des failles de sécurité importantes, et nous vous encourageons vivement à ne pas l’utiliser.

Désactivation de SMBv2 ou SMBv3 pour la résolution des problèmes

Nous vous recommandons de garder SMBv2 et SMBv3 activés, mais il peut être utile de désactiver temporairement un pour résoudre les problèmes. Pour plus d’informations, consultez Comment détecter l’état, activer et désactiver les protocoles SMB sur le serveur SMB.

Dans Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2012, la désactivation de SMBv3 désactive les fonctionnalités suivantes :

  • Basculement transparent : les clients se reconnectent sans interruption aux nœuds de cluster pendant la maintenance ou le basculement
  • Scale Out : accès simultané aux données partagées sur tous les nœuds de cluster de fichiers
  • Multicanal : agrégation de la bande passante réseau et tolérance de panne si plusieurs chemins d’accès sont disponibles entre le client et le serveur
  • SMB Direct : ajoute la prise en charge de la mise en réseau RDMA pour les hautes performances, avec une faible latence et une faible utilisation du processeur
  • Chiffrement : fournit un chiffrement de bout en bout et protège contre les écoutes clandestines sur les réseaux non fiables
  • Location d’annuaires : améliore les temps de réponse des applications dans les succursales par le biais de la mise en cache
  • Optimisations des performances : optimisations pour les petites E/S en lecture/écriture aléatoires

Dans Windows 7 et Windows Server 2008 R2, la désactivation de SMBv2 désactive les fonctionnalités suivantes :

  • Composition des requêtes : permet d’envoyer plusieurs requêtes SMBv2 en tant que requête réseau unique
  • Lectures et écritures plus volumineuses : meilleure utilisation des réseaux plus rapides
  • Mise en cache des propriétés des dossiers et des fichiers : les clients conservent des copies locales des dossiers et des fichiers
  • Handles durables : permettent à la connexion de se reconnecter en toute transparence au serveur en cas de déconnexion temporaire
  • Signature de message améliorée : HMAC SHA-256 remplace MD5 en tant qu’algorithme de hachage
  • Scalabilité améliorée pour le partage de fichiers : le nombre d’utilisateurs, de partages et de fichiers ouverts par serveur a considérablement augmenté
  • Prise en charge des liens symboliques
  • Modèle de location d’oplock client : limite les données transférées entre le client et le serveur, améliorant les performances sur les réseaux à latence élevée et augmentant la scalabilité du serveur SMB
  • Prise en charge des MTU volumineuses pour une utilisation complète de 10 Gigabit Ethernet (GbE)
  • Amélioration de l’efficacité énergétique : les clients qui ont ouvert des fichiers sur un serveur peuvent être mis en veille

Le protocole SMBv2 a été introduit dans Windows Vista et Windows Server 2008, tandis que le protocole SMBv3 a été introduit dans Windows 8 et Windows Server 2012. Pour plus d’informations sur les fonctionnalités SMBv2 et SMBv3, consultez les articles suivants :

Comment supprimer SMBv1 via PowerShell

Voici les étapes à suivre pour détecter, désactiver et activer le client et le serveur SMBv1 à l’aide de commandes PowerShell avec élévation.

Notes

L’ordinateur redémarre après avoir exécuté les commandes PowerShell pour désactiver ou activer SMBv1.

  • Détecter :

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Ensuite, désactivez les éléments suivants :

    Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Activez :

    Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    

Conseil

Vous pouvez détecter l’état SMBv1, sans élévation, en exécutant : Get-SmbServerConfiguration | Format-List EnableSMB1Protocol.

Windows Server 2012 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 : méthode Gestionnaire de serveur

Gestionnaire de serveur - Méthode Dashboard

Pour supprimer SMBv1 de Windows Server :

  1. Dans le tableau de bord Gestionnaire de serveur du serveur sur lequel vous souhaitez supprimer SMBv1, sous Configurer ce serveur local, sélectionnez Ajouter des rôles et des fonctionnalités.
  2. Dans la page Avant de commencer , sélectionnez Démarrer l’Assistant Suppression de rôles et de fonctionnalités, puis, dans la page suivante, sélectionnez Suivant.
  3. Dans la page Sélectionner le serveur de destination sous Pool de serveurs, vérifiez que le serveur dont vous souhaitez supprimer la fonctionnalité est sélectionné, puis sélectionnez Suivant.
  4. Dans la page Supprimer les rôles de serveur , sélectionnez Suivant.
  5. Dans la page Supprimer des fonctionnalités , décochez la case prise en charge du partage de fichiers SMB 1.0/CIFS , puis sélectionnez Suivant.
  6. Dans la page Confirmer les sélections de suppression , vérifiez que la fonctionnalité est répertoriée, puis sélectionnez Supprimer.

Windows 8.1, Windows 10 et Windows 11 : Méthode d’ajout ou de suppression de programmes

Méthode cliente Add-Remove Programs

Pour désactiver SMBv1 pour les systèmes d’exploitation mentionnés :

  1. Dans Panneau de configuration, sélectionnez Programmes et fonctionnalités.
  2. Sous Panneau de configuration Accueil, sélectionnez Activer ou désactiver les fonctionnalités Windows pour ouvrir la zone Fonctionnalités Windows.
  3. Dans la zone Fonctionnalités Windows , faites défiler la liste, décochez la case prise en charge du partage de fichiers SMB 1.0/CIFS , puis sélectionnez OK.
  4. Une fois que Windows a appliqué la modification, dans la page de confirmation, sélectionnez Redémarrer maintenant.

Comment détecter l’état, activer et désactiver les protocoles SMB

Notes

Lorsque vous activez ou désactivez SMBv2 dans Windows 8 ou Windows Server 2012, SMBv3 est également activé ou désactivé. Ce comportement se produit parce que ces protocoles partagent la même pile.

Windows 8 et Windows Server 2012 introduit la nouvelle applet de commande set-SMBServerConfiguration Windows PowerShell. L’applet de commande vous permet d’activer ou de désactiver les protocoles SMBv1, SMBv2 et SMBv3 sur le composant serveur.

Vous n’avez pas besoin de redémarrer l’ordinateur après avoir exécuté l’applet de commande Set-SMBServerConfiguration .

SMB v1

  • Détecter :

    Get-SmbServerConfiguration | Select EnableSMB1Protocol
    
  • Ensuite, désactivez les éléments suivants :

    Set-SmbServerConfiguration -EnableSMB1Protocol $false
    
  • Activez :

    Set-SmbServerConfiguration -EnableSMB1Protocol $true
    

Pour plus d’informations, consultez Stockage serveur au Microsoft.

SMB v2/v3

  • Détecter :

    Get-SmbServerConfiguration | Select EnableSMB2Protocol
    
  • Ensuite, désactivez les éléments suivants :

    Set-SmbServerConfiguration -EnableSMB2Protocol $false
    
  • Activez :

    Set-SmbServerConfiguration -EnableSMB2Protocol $true
    

Pour Windows 7, Windows Server 2008 R2, Windows Vista et Windows Server 2008

Pour activer ou désactiver les protocoles SMB sur un serveur SMB exécutant Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008, utilisez Windows PowerShell ou l’Éditeur du Registre.

Méthodes PowerShell supplémentaires

Notes

Cette méthode nécessite PowerShell 2.0 ou version ultérieure.

SMBv1 sur le serveur SMB

Détecter :

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Configuration par défaut = Activé (aucune valeur nommée de registre n’est créée), donc aucune valeur SMB1 n’est retournée

Ensuite, désactivez les éléments suivants :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Activez :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Note Vous devez redémarrer l’ordinateur après avoir apporté ces modifications. Pour plus d’informations, consultez Stockage serveur au Microsoft.

SMBv2/v3 sur le serveur SMB

Détecter :

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Ensuite, désactivez les éléments suivants :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Activez :

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Notes

Vous devez redémarrer l’ordinateur après avoir apporté ces modifications.

Éditeur du Registre

Important

Suivez attentivement les étapes décrites dans cette section. De graves problèmes peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de le modifier, sauvegardez le Registre afin de pouvoir le restaurer en cas de problème.

Pour activer ou désactiver SMBv1 sur le serveur SMB, configurez la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Pour activer ou désactiver SMBv2 sur le serveur SMB, configurez la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Notes

 Vous devez redémarrer l’ordinateur après avoir apporté ces modifications.

Désactiver SMBv1 à l’aide de stratégie de groupe

Cette section explique comment utiliser stratégie de groupe pour désactiver SMBv1. Vous pouvez utiliser cette méthode sur différentes versions de Windows.

SMB v1

Cette procédure configure le nouvel élément suivant dans le Registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  • Entrée de Registre : SMB1
  • REG_DWORD : 0 = Désactivé

Pour utiliser stratégie de groupe pour configurer cela, procédez comme suit :

  1. Ouvrez la Console de gestion des stratégies de groupe. Cliquez avec le bouton droit sur l'objet de stratégie de groupe (GPO) qui doit contenir le nouvel élément de préférence, puis cliquez sur Modifier.

  2. Dans l’arborescence de la console, sous Configuration ordinateur, développez le dossier Préférences , puis développez le dossier Paramètres Windows .

  3. Cliquez avec le bouton droit sur le nœud Registre, pointez sur Nouveau et sélectionnez Élément Registre.

    Registre - Nouveau - Élément de Registre

Dans la boîte de dialogue Nouvelles propriétés du Registre , sélectionnez les éléments suivants :

  • Action : Créer
  • Hive : HKEY_LOCAL_MACHINE
  • Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Nom de la valeur : SMB1
  • Type de valeur : REG_DWORD
  • Données de valeur : 0

Nouvelles propriétés du Registre - Général

Cette procédure désactive les composants serveur SMBv1. Cette stratégie de groupe doit être appliquée à tous les postes de travail, serveurs et contrôleurs de domaine nécessaires dans le domaine.

Notes

 Les filtres WMI peuvent également être définis pour exclure des systèmes d’exploitation non pris en charge ou des exclusions sélectionnées, telles que Windows XP.

Important

Soyez prudent lorsque vous apportez ces modifications sur des contrôleurs de domaine sur lesquels windows XP hérité ou linux plus ancien et des systèmes tiers (qui ne prennent pas en charge SMBv2 ou SMBv3) nécessitent l’accès à SYSVOL ou à d’autres partages de fichiers où SMB v1 est désactivé.

Audit de l’utilisation de SMBv1

Pour déterminer quels clients tentent de se connecter à un serveur SMB avec SMBv1, vous pouvez activer l’audit sur Windows Server 2016, Windows 10 et Windows Server 2019. Vous pouvez également effectuer un audit sur Windows 7 et Windows Server 2008 R2 si la mise à jour mensuelle de mai 2018 est installée, et sur Windows 8.1 et Windows Server 2012 R2 si la mise à jour mensuelle de juillet 2017 est installée.

  • Activez :

    Set-SmbServerConfiguration -AuditSmb1Access $true
    
  • Ensuite, désactivez les éléments suivants :

    Set-SmbServerConfiguration -AuditSmb1Access $false
    
  • Détecter :

    Get-SmbServerConfiguration | Select AuditSmb1Access
    

Lorsque l’audit SMBv1 est activé, l’événement 3000 apparaît dans le journal des événements « Microsoft-Windows-SMBServer\Audit », identifiant chaque client qui tente de se connecter à SMBv1.

Résumé

Si tous les paramètres se trouvent dans le même objet de stratégie de groupe, stratégie de groupe Gestion affiche les paramètres suivants.

Éditeur de gestion stratégie de groupe - Registre

Test et validation

Après avoir effectué les étapes de configuration décrites dans cet article, autorisez la stratégie à répliquer et à mettre à jour. Si nécessaire pour les tests, exécutez gpupdate /force à une invite de commandes, puis passez en revue les ordinateurs cibles pour vous assurer que les paramètres du Registre sont appliqués correctement. Assurez-vous que SMBv2 et SMBv3 fonctionnent pour tous les autres systèmes de l’environnement.

Notes

N’oubliez pas de redémarrer les systèmes cibles.