Megosztás a következőn keresztül:

SMBv1, SMBv2 és SMBv3 észlelése, engedélyezése és letiltása Windows rendszerben

Ez a cikk azt ismerteti, hogyan engedélyezheti és tilthatja le a Kiszolgálói üzenetblokk (SMB) 1. (SMBv1), az SMB 2. (SMBv2) és a 3. SMB-verziót (SMBv3) az SMB-ügyfél- és kiszolgálóösszetevőkön.

Ha letiltja vagy eltávolítja az SMBv1-et, kompatibilitási problémákat tapasztalhat a régi számítógépekkel vagy szoftverekkel. Az SMBv1 jelentős biztonsági résekkel rendelkezik, és határozottan javasoljuk, hogy ne használja. SMBv1 alapértelmezés szerint nincs telepítve a Windows 11 vagy a Windows Server 2019 és újabb verziók egyik kiadásában sem. Az SMBv1 alapértelmezés szerint nincs telepítve a Windows 10-ben, kivéve a Home és Pro kiadásokat. Javasoljuk, hogy az SMBv1 újratelepítése helyett frissítse a továbbra is szükséges SMB-kiszolgálót. Az SMBv1-et igénylő partnerek listáját, valamint az e követelményt megszüntető frissítéseiket lásd a SMB1 Termék-lerakat-ban.

Az SMBv2 vagy az SMBv3 letiltása hibaelhárításhoz

Javasoljuk, hogy az SMBv2 és az SMBv3 legyen engedélyezve, de a hibaelhárításhoz érdemes lehet ideiglenesen letiltani egyet. További információért lásd: Használja a parancssort vagy a Beállításszerkesztőt az SMB-protokollok kezeléséhez.

Az SMBv3 letiltása a következő funkciókat inaktiválja:

  • Átlátható feladatátvétel: Lehetővé teszi az ügyfelek számára, hogy megszakítás nélkül újracsatlakozzanak a csomópontokhoz karbantartás vagy feladatátvétel során
  • Horizontális skálázás: Egyidejű hozzáférést biztosít a megosztott adatokhoz az összes fájlklaszter-csomópontokon.
  • Többcsatornás SMB: Megkönnyíti a hálózati sávszélesség és a hibatűrés összesítését, ha több elérési út is elérhető az ügyfél és a kiszolgáló között
  • SMB Direct: Közvetlen távoli memóriahozzáférés (RDMA) hálózati támogatás, amely nagy teljesítményt, alacsony késleltetést és alacsony CPU-használatot biztosít.
  • Titkosítás: Végpontok közötti titkosítást biztosít, és védelmet nyújt a nem megbízható hálózatok lehallgatása ellen
  • Címtár-bérbeadás: Gyorsítótárazással javítja az alkalmazások válaszidejének idejét a fiókirodákban
  • Teljesítményoptimalizálás: Kis véletlenszerű olvasási/írási I/O-műveletek optimalizálása

Az SMBv2 letiltása a következő funkciókat inaktiválja:

  • Kérések összevonása: Több SMBv2-kérés küldését támogatja egyetlen hálózati kérelemként
  • Nagyobb olvasási és írási műveletek: Javítja a gyorsabb hálózatok használatát
  • Mappa- és fájltulajdonságok gyorsítótárazása: Lehetővé teszi az ügyfelek számára a mappák és fájlok helyi másolatának megőrzését
  • Tartós fogantyúk: Lehetővé teszi, hogy a kapcsolat átlátható módon újracsatlakozzon a kiszolgálóhoz egy ideiglenes leválasztást követően
  • Továbbfejlesztett üzenetaláírás: Kivonatalapú üzenethitelesítési kódot (HMAC) biztonságos kivonatoló algoritmust (SHA) használ 256 bites kivonatolással (HMAC SHA-256) a Message-Digest 5. algoritmus (MD5) helyett kivonatoló algoritmusként
  • Továbbfejlesztett méretezhetőség a fájlmegosztáshoz: Jelentősen növeli a felhasználók, a megosztások és a fájlok kiszolgálónkénti megnyitásának számát
  • Szimbolikus hivatkozások támogatása
  • Ügyfél oplock lízingmodellje: Korlátozza az ügyfél és a kiszolgáló közötti adatátvitelt, javítja a nagy késésű hálózatok teljesítményét és növeli az SMB-kiszolgálók méretezhetőségét
  • Nagy maximális átviteli egység (MTU) támogatása: Támogatja a 10 Gigabit Ethernet (GbE) teljes használatát
  • Jobb energiahatékonyság: Lehetővé teszi, hogy azok az ügyfelek, amelyek megnyitják a fájlokat a kiszolgálónak, alvó állapotba lépjenek

Az SMBv2 protokoll a Windows Vista és a Windows Server 2008 rendszerben lett bevezetve. Az SMBv3 protokollt a Windows 8 és a Windows Server 2012 rendszerben vezették be. Az SMBv2 és az SMBv3 képességeivel kapcsolatos további információkért tekintse meg a következő cikkeket:

Az SMBv1 eltávolítása a PowerShell használatával

A Get-WindowsOptionalFeature, Disable-WindowsOptionalFeatureés Enable-WindowsOptionalFeature PowerShell-parancsokkal észlelheti, letilthatja és engedélyezheti az SMBv1-ügyfelet vagy -kiszolgálót. Futtassa a parancsokat egy emelt szintű parancssorban.

Jegyzet

A számítógép a PowerShell-parancsok futtatása után újraindul az SMBv1 letiltásához vagy engedélyezéséhez.

  • Észleld:

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

  • Letilt:

    Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

  • Engedélyez:

    Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Borravaló

Az SMBv1 állapotot szintemelés nélkül észlelheti a Get-SmbServerConfiguration parancs futtatásával: Get-SmbServerConfiguration | Format-List EnableSMB1Protocol.

SMBv1 eltávolítása

Az SMBv1 alapértelmezés szerint nincs telepítve a Windows Server 2019 és újabb verziókban. A Windows Server korábbi verzióiban a Server Managerrel eltávolíthatja az SMBv1-et:

  1. Azon a kiszolgálón, amelyről el szeretné távolítani az SMBv1-et, nyissa meg a Kiszolgálókezelőt.

  2. A Kiszolgálókezelő irányítópultjának A helyi kiszolgáló konfigurálásaterületen válassza a Szerepkörök és szolgáltatások hozzáadásalehetőséget.

  3. A Mielőtt elkezdené lapot, válassza a Szerepkörök és szolgáltatások eltávolítása varázsló indításalehetőséget, majd a következő lapon válassza a Következőlehetőséget.

  4. A Célkiszolgáló kiválasztása lapon, a Kiszolgálókészletterületen győződjön meg arról, hogy ki van jelölve az a kiszolgáló, amelyről el szeretné távolítani a szolgáltatást, majd válassza Továbblehetőséget.

  5. A Kiszolgálói szerepkörök eltávolítása lapon válassza a Következőlehetőséget.

  6. A Szolgáltatások eltávolítása lapon törölje a jelet a SMB 1.0/CIFS fájlmegosztási támogatásijelölőnégyzetből, majd válassza a Továbblehetőséget.

    Képernyőkép a Szolgáltatások eltávolítása lapról a Kiszolgálókezelő irányítópultján. A Szolgáltatások listában az SMBv1 ki van emelve.

  7. A Eltávolítási beállítások megerősítése lapon ellenőrizze, hogy az adott funkció szerepel-e a listában, majd válassza a Eltávolításlehetőséget.

SMB-protokollok kezelése a parancssor vagy a Beállításszerkesztő használatával

A Windows 10 Fall Creators Update és a Windows Server 2019 operációs rendszertől kezdve az SMBv1 alapértelmezés szerint nincs telepítve. További információ: AZ SMBv1 nincs alapértelmezés szerint telepítve a Windows 10 1709-es, a Windows Server 1709-es és újabb verzióiban.

Ha engedélyezi vagy letiltja az SMBv2-t Windows 8 vagy Windows Server 2012 rendszerben, az SMBv3 is engedélyezve van vagy le van tiltva. Ez a viselkedés azért fordul elő, mert ezek a protokollok azonos veremen osztoznak.

A Set-SMBServerConfiguration parancsmaggal engedélyezheti vagy letilthatja az SMBv1, SMBv2 és SMBv3 protokollokat egy kiszolgálóösszetevőn. Az SMB-kiszolgáló konfigurációjának lekéréséhez használhatja a Get-SmbServerConfiguration parancsmagot.

A Set-SMBServerConfiguration parancsmag futtatása után nem kell újraindítania a számítógépet.

SMBv1

  • Észleld:

    Get-SmbServerConfiguration | Select EnableSMB1Protocol

  • Letilt:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false

  • Engedélyez:

    Set-SmbServerConfiguration -EnableSMB1Protocol $true

További információ: Az SMB1használatának leállítása.

SMBv2 és SMBv3

  • Észleld:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol

  • Letilt:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false

  • Engedélyez:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true

SMB engedélyezése vagy letiltása Windows 7, Windows Server 2008 R2, Windows Vista és Windows Server 2008 rendszeren

Ha Windows 7, Windows Server 2008 R2, Windows Vista vagy Windows Server 2008 rendszert futtató SMB-kiszolgálón szeretné engedélyezni vagy letiltani az SMB-protokollokat, használja a Windows PowerShellt vagy a Beállításszerkesztőt a következő szakaszokban leírtak szerint.

Windows PowerShell használata

A Get-Item, Get-ItemPropertyés Set-ItemProperty parancsmagokkal észlelheti, engedélyezheti és letilthatja az SMB protokollokat.

Jegyzet

A következő szakaszok parancsaihoz a PowerShell 2.0-s vagy újabb verziója szükséges.

SMBv1 SMB-kiszolgálón

  • Észleld:

    Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

    Az alapértelmezett konfiguráció Enabled. Emiatt a rendszer nem hoz létre névvel ellátott beállításjegyzék-értéket, így a parancs nem ad vissza SMB1 értéket.

  • Letilt:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

  • Engedélyez:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Jegyzet

A módosítások elvégzése után újra kell indítania a számítógépet.

További információ: Az SMB1használatának leállítása.

SMBv2 és SMBv3 SMB-kiszolgálón

  • Észleld:

    Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

  • Letilt:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

  • Engedélyez:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Jegyzet

A módosítások elvégzése után újra kell indítania a számítógépet.

Beállításszerkesztő használata

Fontos

Kövesse az ebben a szakaszban leírt lépéseket. Súlyos problémák léphetnek fel, ha helytelenül módosítja a beállításjegyzéket. Mielőtt módosítaná, készítsen biztonsági másolatot a beállításjegyzékről, hogy problémák esetén visszaállíthassa.

Az SMBv1 SMB-kiszolgálón való engedélyezéséhez vagy letiltásához nyissa meg a Beállításszerkesztőt, és lépjen a következő beállításkulcs elérési útjára:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Konfiguráljon egy bejegyzést, amely a következő tulajdonságokkal rendelkezik:

  • A névhez használja SMB1.
  • A típusnál használja a REG_DWORD-t.
  • Az adatok beállításához használja a 0 értéket a Letiltott állapothoz, és a 1 értéket az Engedélyezettállapothoz. Az alapértelmezett érték 1, vagy Engedélyezett. Ebben az esetben nem jön létre rendszerleíró kulcs.

Az SMBv2 SMB-kiszolgálón való engedélyezéséhez vagy letiltásához nyissa meg a Beállításszerkesztőt, és lépjen a következő beállításkulcs elérési útjára:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Konfiguráljon egy bejegyzést, amely a következő tulajdonságokkal rendelkezik:

  • A névhez SMB2használja.
  • A típusnál használja a REG_DWORD-t.
  • Az adatok beállításához használja a 0 értéket a Letiltott állapothoz, és a 1 értéket az Engedélyezettállapothoz. Az alapértelmezett érték 1, vagy Engedélyezett. Ebben az esetben nem jön létre rendszerleíró kulcs.

Jegyzet

 A módosítások elvégzése után újra kell indítania a számítógépet.

Az SMBv1 letiltása csoportházirenddel

Ez a szakasz bemutatja, hogyan tilthatja le az SMBv1-et csoportházirenddel. Ezt a módszert a Windows különböző verzióiban is használhatja.

SMBv1

Az SMBv1 letiltható egy SMB-kiszolgálón a beállításjegyzék következő új elemének konfigurálásával:

  • Kulcs elérési útja: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Beállításjegyzék-bejegyzés: SMB1
  • Bejegyzés típusa: REG_DWORD
  • Belépési adatok: 0, a kikapcsolva

Ha csoportházirendet szeretne használni az elem konfigurálásához, hajtsa végre a következő lépéseket:

  1. Nyissa meg a csoportházirend-kezelési konzolt. Kattintson a jobb gombbal arra a csoportházirend-objektumra (GPO), amelynek tartalmaznia kell az új beállításelemet, majd válassza a Szerkesztéslehetőséget.

  2. A Számítógép konfigurációjaalatti konzolfán bontsa ki a Beállítások mappát, majd bontsa ki a Windows-beállítások mappát.

  3. Kattintson a jobb gombbal a Beállításjegyzék- csomópontra, mutasson Újpontra, majd válassza Beállításjegyzék-elemlehetőséget.

    A csoportházirend-kezelési konzol konzolfáját ábrázoló képernyőkép. A beállításjegyzék helyi menüi láthatók, és az Első menüben az Új elem van kiemelve.

  4. Az Új beállításjegyzék tulajdonságai párbeszédpanelen válassza ki vagy írja be a következő értékeket:

    • Művelet: létrehoz
    • Kaptár:HKEY_LOCAL_MACHINE
    • Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • Értéknév: SMB1
    • Értéktípus: REG_DWORD
    • Értékadatok: 0

    Képernyőkép az Új beállításjegyzék tulajdonságai párbeszédpanelről. Az értékek láthatók a művelet, a hive, a kulcs elérési útja, a név, a típus és az adatmezőkben.

Ez az eljárás letiltja az SMBv1-kiszolgáló összetevőit. Ezt a szabályzatot a tartomány összes szükséges munkaállomására, kiszolgálóra és tartományvezérlőre alkalmaznia kell.

Jegyzet

 Beállíthatja a Windows Management Instrumentation (WMI) szűrőit, hogy kizárjanak bizonyos operációs rendszereket, vagy kizárják az ügyfél- vagy kiszolgáló operációs rendszereket. További információ: Csoportházirend-szűrés és WMI-szűrők létrehozása a GPO-hoz.

Fontos

Egyes rendszereknek hozzá kell férniük a SYSVOL mappához vagy más fájlmegosztásokhoz, de nem támogatják az SMBv2-t vagy az SMBv3-t. Ilyen rendszerek például az örökölt Windows-rendszerek, valamint a régebbi Linux- és partnerrendszerek. Legyen óvatos, amikor letiltja az SMBv1-et ezeken a rendszereken lévő tartományvezérlőkön.

SMBv1-használat naplózása

Ha meg szeretné állapítani, hogy mely ügyfelek próbálnak SMB-kiszolgálóhoz csatlakozni az SMBv1 használatával, engedélyezheti a naplózást a Windows Serveren és a Windows-ügyfeleken. A naplózás engedélyezéséhez vagy letiltásához használja a Set-SmbServerConfiguration parancsmagot. Az ellenőrzési állapot ellenőrzéséhez használja a Get-SmbServerConfiguration cmdletet.

  • Engedélyez:

    Set-SmbServerConfiguration -AuditSmb1Access $true

  • Letilt:

    Set-SmbServerConfiguration -AuditSmb1Access $false

  • Észleld:

    Get-SmbServerConfiguration | Select AuditSmb1Access

Miután engedélyezte az SMBv1 naplózást, ellenőrizheti a Microsoft-Windows-SMBServer\Audit eseménynaplójában a hozzáférési eseményeket. Minden alkalommal, amikor egy ügyfél az SMBv1 használatával próbál csatlakozni egy kiszolgálóhoz, megjelenik egy 3000 eseményazonosítójú bejegyzés a naplóban.

Csoportházirend-beállítások ellenőrzése

Ha az összes beállítás ugyanabban a csoportházirend-objektumban található, a Csoportházirend-kezelés a következő beállításokat jeleníti meg:

A Csoportházirend-kezelési szerkesztő beállításjegyzékének képernyőképe. Három elem látható: DependOnService, SMB1 és Start.

A szabályzat tesztelése és ellenőrzése

Miután elvégezte a csoportházirend-kezelési konzol konfigurációs lépéseit, adjon időt a csoportházirendnek, hogy alkalmazza a frissítéseket a beállításokra. Ha a teszteléshez szükség van rá, futtassa a gpupdate /force egy parancssorban, majd tekintse át a célszámítógépeket, hogy meggyőződjön arról, hogy a beállításjegyzék beállításai megfelelően vannak alkalmazva. Győződjön meg arról, hogy az SMBv2 és az SMBv3 a környezet minden más rendszerében működik.

Jegyzet

A szabályzat tesztelése után indítsa újra a célrendszereket.