Mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows

Artikel ini menjelaskan cara mengaktifkan dan menonaktifkan Blok Pesan Server (SMB) versi 1 (SMBv1), SMB versi 2 (SMBv2), dan SMB versi 3 (SMBv3) pada komponen klien dan server SMB.

Jika Anda menonaktifkan atau menghapus SMBv1, Anda mungkin mengalami masalah kompatibilitas dengan komputer atau perangkat lunak lama. SMBv1 memiliki kerentanan keamanan yang signifikan, dan kami sangat mendorong Anda untuk tidak menggunakannya. SMBv1 tidak diinstal secara default dalam edisi Windows 11 atau Windows Server 2019 dan versi yang lebih baru. SMBv1 juga tidak diinstal secara default di Windows 10, kecuali edisi Home and Pro. Kami menyarankan agar alih-alih menginstal ulang SMBv1, Anda memperbarui server SMB yang masih memerlukannya. Untuk daftar mitra yang memerlukan SMBv1 dan pembaruan mereka yang menghapus persyaratan, lihat SMB1 Product Clearinghouse.

Nonaktifkan SMBv2 atau SMBv3 untuk pemecahan masalah

Sebaiknya jaga agar SMBv2 dan SMBv3 tetap diaktifkan, tetapi Anda bisa merasa terbantu untuk menonaktifkan salah satunya sementara waktu demi pemecahan masalah. Untuk informasi selengkapnya, lihat Menggunakan baris perintah atau Editor Registri untuk mengelola protokol SMB.

Menonaktifkan SMBv3 menonaktifkan fungsionalitas berikut:

• Failover transparan: Memberi klien cara untuk terhubung kembali tanpa gangguan pada node kluster selama pemeliharaan atau failover
• Peluasan skala: Menyediakan akses bersamaan ke data bersama pada semua node kluster file
• SMB Multichannel: Memfasilitasi agregasi bandwidth jaringan dan toleransi kesalahan jika beberapa jalur tersedia antara klien dan server
• SMB Direct: Menambahkan dukungan jaringan akses memori langsung jarak jauh (RDMA) untuk performa tinggi, dengan latensi rendah dan penggunaan CPU rendah
• Enkripsi: Menyediakan enkripsi end-to-end dan menawarkan perlindungan dari penyadapan pada jaringan yang tidak dapat dipercaya
• Penyewaan direktori: Meningkatkan waktu respons aplikasi di kantor cabang melalui caching
• Pengoptimalan performa: Mengoptimalkan operasi I/O baca/tulis acak kecil

Menonaktifkan SMBv2 menonaktifkan fungsionalitas berikut:

• Permintaan penggabungan: Mendukung pengiriman beberapa permintaan SMBv2 sebagai satu permintaan jaringan
• Pembacaan dan penulisan data yang lebih besar: Meningkatkan penggunaan jaringan yang lebih cepat
• Pengelolaan cache properti folder dan file: Memberi klien kemampuan untuk menyimpan salinan secara lokal folder dan file
• Penanganan tahan lama: Menyediakan cara bagi sambungan untuk terhubung kembali secara transparan ke server setelah pemutusan sementara.
• Penandatanganan pesan yang ditingkatkan: Menggunakan kode autentikasi pesan berbasis hash (HMAC) dengan algoritma hash aman (SHA) 256-bit (HMAC SHA-256) alih-alih Algoritma Message-Digest 5 (MD5) untuk algoritma hashing.
• Peningkatan skalabilitas untuk berbagi file: Sangat meningkatkan jumlah pengguna, berbagi, dan membuka file per server
• Dukungan untuk tautan simbolis
• Model penyewaan oplock klien: Membatasi data yang ditransfer antara klien dan server, meningkatkan performa pada jaringan latensi tinggi dan meningkatkan skalabilitas server SMB
• Dukungan unit transmisi maksimum (MTU) besar: Mendukung penggunaan penuh 10 Gigabit Ethernet (GbE)
• Peningkatan efisiensi energi: Menyediakan cara bagi klien yang memiliki file yang dibuka di server untuk berhenti sementara.

Protokol SMBv2 diperkenalkan di Windows Vista dan Windows Server 2008. Protokol SMBv3 diperkenalkan di Windows 8 dan Windows Server 2012. Untuk informasi selengkapnya tentang kemampuan SMBv2 dan SMBv3, lihat artikel berikut ini:

• Gambaran Umum berbagi file menggunakan protokol SMB 3 di Windows Server
• 1.3 Gambaran Umum

Menggunakan PowerShell untuk menghapus SMBv1

Anda dapat menggunakan Get-WindowsOptionalFeature, Disable-WindowsOptionalFeature, dan perintah Enable-WindowsOptionalFeature PowerShell untuk mendeteksi, menonaktifkan, dan mengaktifkan klien atau server SMBv1. Jalankan perintah pada prompt perintah yang ditingkatkan.

Catatan

Komputer dimulai ulang setelah Anda menjalankan perintah PowerShell untuk menonaktifkan atau mengaktifkan SMBv1.

• Deteksi:

  Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Nonaktifkan:

  Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Mengaktifkan:

  Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

Tips

Anda dapat mendeteksi status SMBv1 tanpa elevasi dengan menjalankan perintah Get-SmbServerConfiguration: Get-SmbServerConfiguration | Format-List EnableSMB1Protocol.

Menghapus SMBv1

Peladen

SMBv1 tidak diinstal secara default pada Windows Server 2019 dan versi yang lebih baru. Pada versi Windows Server yang lebih lama, Anda dapat menggunakan Manajer Server untuk menghapus SMBv1:

1. Di server tempat Anda ingin menghapus SMBv1, buka Manajer Server.

2. Pada Dasbor Manajer Server, di bawah Konfigurasikan server lokal ini, pilih Tambahkan peran dan fitur.

3. Pada halaman Sebelum Anda memulai , pilih Mulai Wizard Hapus Peran dan Fitur, lalu pada halaman berikut ini, pilih Berikutnya.

4. Pada halaman Pilih server tujuan, di bawah Kumpulan Server, pastikan bahwa server yang ingin Anda hapus fiturnya dipilih, lalu pilih Berikutnya.

5. Pada halaman Hapus peran server, pilih Berikutnya.

6. Pada halaman Remove features, kosongkan kotak centang untuk Dukungan Berbagi File SMB 1.0/CIFS, lalu pilih Berikutnya.

   

7. Pada halaman Konfirmasi pilihan penghapusan, konfirmasikan bahwa fitur tersebut tercantum, lalu pilih Hapus.

Klien

Pada Windows 8.1, Windows 10, dan Windows 11, Anda dapat menggunakan Hapus Program untuk menonaktifkan SMBv1.

Untuk menonaktifkan SMBv1 pada sistem operasi ini, lakukan langkah-langkah berikut:

1. Di Panel Kontrol, pilih Program dan Fitur.

2. Di bawah Panel Kontrol Beranda, pilih Aktifkan atau nonaktifkan fitur Windows untuk membuka dialog Fitur Windows.

3. Dalam dialog Fitur Windows, gulir ke bawah daftar, kosongkan kotak centang untuk Dukungan Berbagi File SMB 1.0/CIFS, lalu pilih OK.

   

4. Setelah Windows menerapkan perubahan, pada halaman konfirmasi, pilih Mulai ulang sekarang.

Gunakan baris perintah atau Editor Registri untuk mengelola protokol SMB

Dimulai dengan Pembaruan Windows 10 Fall Creators dan Windows Server 2019, SMBv1 tidak lagi diinstal secara default. Untuk informasi selengkapnya, lihat SMBv1 tidak diinstal secara default di Windows 10 versi 1709, Windows Server versi 1709, dan versi yang lebih baru.

Saat Anda mengaktifkan atau menonaktifkan SMBv2 di Windows 8 atau Windows Server 2012, SMBv3 juga diaktifkan atau dinonaktifkan. Perilaku ini terjadi karena protokol-protokol ini berbagi lapisan yang sama.

Peladen

Anda dapat menggunakan cmdlet Set-SMBServerConfiguration untuk mengaktifkan atau menonaktifkan protokol SMBv1, SMBv2, dan SMBv3 pada komponen server. Anda dapat menggunakan cmdlet Get-SmbServerConfiguration untuk mengambil konfigurasi server SMB.

Anda tidak perlu menghidupkan ulang komputer setelah menjalankan cmdlet Set-SMBServerConfiguration .

SMBv1

• Deteksi:

  Get-SmbServerConfiguration | Select EnableSMB1Protocol
  

• Nonaktifkan:

  Set-SmbServerConfiguration -EnableSMB1Protocol $false
  

• Mengaktifkan:

  Set-SmbServerConfiguration -EnableSMB1Protocol $true
  

Untuk informasi selengkapnya, lihat Berhenti menggunakan SMB1.

SMBv2 dan SMBv3

• Deteksi:

  Get-SmbServerConfiguration | Select EnableSMB2Protocol
  

• Nonaktifkan:

  Set-SmbServerConfiguration -EnableSMB2Protocol $false
  

• Mengaktifkan:

  Set-SmbServerConfiguration -EnableSMB2Protocol $true
  

Mengaktifkan atau menonaktifkan SMB pada Windows 7, Windows Server 2008 R2, Windows Vista, dan Windows Server 2008

Untuk mengaktifkan atau menonaktifkan protokol SMB pada Server SMB yang menjalankan Windows 7, Windows Server 2008 R2, Windows Vista, atau Windows Server 2008, gunakan Windows PowerShell atau Editor Registri, seperti yang dijelaskan di bagian berikut.

Menggunakan Windows PowerShell

Anda dapat menggunakan cmdlet Get-Item, Get-ItemProperty, dan Set-ItemProperty untuk mendeteksi, mengaktifkan, dan menonaktifkan protokol SMB.

Catatan

Perintah di bagian berikut memerlukan PowerShell 2.0 atau yang lebih baru.

SMBv1 pada server SMB

• Deteksi:

  Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
  

  Konfigurasi default adalah Enabled. Akibatnya, tidak ada nilai bernama dalam registri yang dibuat, sehingga perintah tidak mengembalikan nilai SMB1.

• Nonaktifkan:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
  

• Mengaktifkan:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
  

Catatan

Anda harus memulai ulang komputer setelah membuat perubahan ini.

Untuk informasi selengkapnya, lihat Berhenti menggunakan SMB1.

SMBv2 dan SMBv3 di server SMB

• Deteksi:

  Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
  

• Nonaktifkan:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
  

• Mengaktifkan:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
  

Catatan

Anda harus memulai ulang komputer setelah membuat perubahan ini.

Menggunakan Editor Registri

Penting

Ikuti langkah-langkah di bagian ini dengan seksama. Masalah serius dapat terjadi jika Anda mengubah registri dengan salah. Sebelum Anda melakukan perubahan, cadangkan registri untuk pemulihan jika terjadi masalah.

Untuk mengaktifkan atau menonaktifkan SMBv1 di server SMB, buka Editor Registri dan buka jalur kunci registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Konfigurasikan entri yang memiliki properti berikut:

• Untuk namanya, gunakan SMB1.
• Untuk jenisnya, gunakan REG_DWORD.
• Untuk data, gunakan 0 untuk Dinonaktifkan dan 1 untuk Diaktifkan. Nilai defaultnya adalah 1, atau Diaktifkan. Dalam hal ini, tidak ada kunci registri yang dibuat.

Untuk mengaktifkan atau menonaktifkan SMBv2 di server SMB, buka Editor Registri dan buka jalur kunci registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Konfigurasikan entri yang memiliki properti berikut:

• Untuk namanya, gunakan SMB2.
• Untuk jenisnya, gunakan REG_DWORD.
• Untuk data, gunakan 0 untuk Dinonaktifkan dan 1 untuk Diaktifkan. Nilai defaultnya adalah 1, atau Diaktifkan. Dalam hal ini, tidak ada kunci registri yang dibuat.

Catatan

 Anda harus memulai ulang komputer setelah membuat perubahan ini.

Klien

Berikut cara mendeteksi status, mengaktifkan, dan menonaktifkan protokol SMB pada klien SMB yang menjalankan klien Windows dan Windows Server.

SMBv1 pada klien SMB

• Deteksi:

  sc.exe qc lanmanworkstation
  

• Nonaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= disabled
  

• Mengaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= auto
  

Untuk informasi selengkapnya, lihat Berhenti menggunakan SMB1.

SMBv2 dan SMBv3 pada klien SMB

• Deteksi:

  sc.exe qc lanmanworkstation
  

• Nonaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
  sc.exe config mrxsmb20 start= disabled
  

• Mengaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb20 start= auto
  

Catatan

• Anda harus menjalankan perintah ini pada prompt perintah dengan hak akses tinggi.
• Anda harus memulai ulang komputer setelah membuat perubahan ini.

Menggunakan Kebijakan Grup untuk menonaktifkan SMBv1

Bagian ini memperlihatkan kepada Anda cara menggunakan Kebijakan Grup untuk menonaktifkan SMBv1. Anda dapat menggunakan metode ini pada berbagai versi Windows.

Peladen

SMBv1

Anda dapat menonaktifkan SMBv1 di server SMB dengan mengonfigurasi item baru berikut di registri:

• Jalur kunci: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Entri registri: SMB1
• Jenis entri: REG_DWORD
• Data entri: 0, untuk Dinonaktifkan

Untuk menggunakan Kebijakan Grup untuk mengonfigurasi item ini, lakukan langkah-langkah berikut:

1. Buka Konsol Manajemen Kebijakan Grup. Klik kanan objek Kebijakan Grup (GPO) yang harus berisi item preferensi baru, lalu pilih Edit.

2. Di pohon konsol di bawah Konfigurasi Komputer, perluas folder Preferensi , lalu perluas folder Pengaturan Windows.

3. Klik kanan node Registri, arahkan ke Baru, lalu pilih Item Registri.

   

4. Dalam dialog Properti Registri Baru, pilih atau masukkan nilai berikut ini:

   • Tindakan: Buat
   • Sarang: HKEY_LOCAL_MACHINE
   • Lokasi Kunci : SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
   • Nama nilai: SMB1
   • Jenis nilai: REG_DWORD
   • Data nilai: 0

   

Prosedur ini menonaktifkan komponen server SMBv1. Anda harus menerapkan kebijakan ini ke semua stasiun kerja, server, dan pengendali domain yang diperlukan di domain.

Catatan

 Anda dapat mengatur filter Windows Management Instrumentation (WMI) untuk mengecualikan sistem operasi tertentu atau untuk mengecualikan sistem operasi klien atau server. Untuk informasi selengkapnya, lihat Pemfilteran Kebijakan Grup dan Membuat Filter WMI untuk GPO.

Penting

Beberapa sistem memerlukan akses ke folder SYSVOL atau berbagi file lainnya tetapi tidak mendukung SMBv2 atau SMBv3. Contoh sistem tersebut termasuk sistem Windows warisan dan Sistem Linux dan mitra yang lebih lama. Berhati-hatilah saat Anda menonaktifkan SMBv1 pada pengendali domain pada sistem ini.

Klien

SMBv1

Untuk menonaktifkan klien SMBv1, Anda perlu memperbarui kunci registri layanan untuk mencegah dimulainya driver MRxSMB10. Kemudian Anda perlu menghapus dependensi pada MRxSMB10 dari entri untuk LanmanWorkstation sehingga dapat dimulai secara normal tanpa memerlukan MRxSMB10 untuk memulai terlebih dahulu.

Bagian ini memperlihatkan kepada Anda cara memperbarui dan mengganti nilai default dalam dua item berikut dalam registri:

• Jalur kunci: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
  • Entri registri: Mulai
  • Jenis entri: REG_DWORD
  • Entri data: 4, untuk Dinonaktifkan
• Jalur kunci: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Entri registri: DependOnService
  • Jenis entri: REG_MULTI_SZ
  • Data entri: Bowser,MRxSmb20,NSI

Catatan

 Nilai default mencakup MRxSMB10, yang sekarang dihapus sebagai ketergantungan.

Untuk mengonfigurasi entri ini dengan menggunakan Kebijakan Grup, lakukan langkah-langkah berikut:

1. Buka Konsol Manajemen Kebijakan Grup. Klik kanan GPO yang harus berisi item preferensi baru, lalu pilih Edit.

2. Di pohon konsol di bawah Konfigurasi Komputer, perluas folder Preferensi , lalu perluas folder Pengaturan Windows.

3. Klik kanan node Registri, arahkan ke Baru, lalu pilih Item Registri.

4. Dalam dialog Properti Registri Baru, pilih atau masukkan nilai berikut ini:

   • Tindakan: Pembaruan
   • Sarang: HKEY_LOCAL_MACHINE
   • Jalur Kunci: SYSTEM\CurrentControlSet\services\mrxsmb10
   • Nama nilai: Mulai
   • Jenis nilai: REG_DWORD
   • data nilai: 4

   

5. Untuk menghapus dependensi pada driver MRxSMB10 yang dinonaktifkan, buka dialog Properti Registri Baru, lalu pilih atau masukkan nilai berikut:

   • Tindakan: Ganti
   • Sarang: HKEY_LOCAL_MACHINE
   • Jalur Kunci : SYSTEM\CurrentControlSet\Services\LanmanWorkstation
   • Nama nilai: DependOnService
   • Jenis nilai: REG_MULTI_SZ
   • Data nilai:
     • Bowser
     • MRxSmb20
     • NSI

   Catatan

   Jangan sertakan butir-butir dalam tiga string data Nilai. Cantumkan hanya string, seperti yang ditunjukkan pada cuplikan layar berikut.

   

   Nilai default mencakup MRxSMB10 di banyak versi Windows. Dengan mengganti nilai default dengan ketiga string ini, Anda secara efektif menghapus MRxSMB10 sebagai dependensi untuk LanmanWorkstation. Alih-alih empat nilai default, Anda menggunakan ketiga nilai ini.

   Catatan

   Saat menggunakan Konsol Manajemen Kebijakan Grup, Anda tidak perlu menggunakan tanda kutip atau koma. Cukup ketik setiap entri pada baris individual.

6. Untuk menyelesaikan menonaktifkan SMBv1, mulai ulang sistem yang ditargetkan.

Mengaudit penggunaan SMBv1

Untuk menentukan klien mana yang mencoba menyambungkan ke server SMB dengan menggunakan SMBv1, Anda dapat mengaktifkan audit pada klien Windows Server dan Windows. Untuk mengaktifkan atau menonaktifkan audit, gunakan cmdlet Set-SmbServerConfiguration. Untuk memeriksa status audit, gunakan cmdlet Get-SmbServerConfiguration.

• Mengaktifkan:

  Set-SmbServerConfiguration -AuditSmb1Access $true
  

• Nonaktifkan:

  Set-SmbServerConfiguration -AuditSmb1Access $false
  

• Deteksi:

  Get-SmbServerConfiguration | Select AuditSmb1Access
  

Setelah mengaktifkan audit SMBv1, Anda dapat memeriksa log peristiwa Microsoft-Windows-SMBServer\Audit untuk peristiwa akses. Setiap kali klien mencoba menggunakan SMBv1 untuk terhubung ke server, entri yang memiliki ID peristiwa 3000 muncul di log.

Periksa pengaturan Kebijakan Grup

Jika semua pengaturan berada dalam GPO yang sama, Manajemen Kebijakan Grup menampilkan pengaturan berikut:

Menguji dan memvalidasi kebijakan

Setelah Anda menyelesaikan langkah-langkah konfigurasi di Konsol Manajemen Kebijakan Grup, beri waktu Kebijakan Grup untuk menerapkan pembaruan ke pengaturannya. Jika diperlukan untuk pengujian, jalankan gpupdate /force pada prompt perintah, lalu tinjau komputer target untuk memastikan bahwa pengaturan registri diterapkan dengan benar. Pastikan SMBv2 dan SMBv3 berfungsi untuk semua sistem lain di lingkungan.

Catatan

Setelah Anda menguji kebijakan tersebut, lakukan mulai ulang pada sistem target.