Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1, Windows 8

Artikel ini menjelaskan cara mengaktifkan dan menonaktifkan Blok Pesan Server (SMB) versi 1 (SMBv1), SMB versi 2 (SMBv2), dan SMB versi 3 (SMBv3) pada klien SMB dan komponen server.

Saat menonaktifkan atau menghapus SMBv1 dapat menyebabkan beberapa masalah kompatibilitas dengan komputer atau perangkat lunak lama, SMBv1 memiliki kerentanan keamanan yang signifikan, dan kami sangat mendorong Anda untuk tidak menggunakannya. SMB 1.0 tidak diinstal secara default dalam edisi Windows 11 atau Windows Server 2019 dan yang lebih baru. SMB 1.0 juga tidak diinstal secara default di Windows 10, kecuali edisi Home and Pro. Kami menyarankan agar alih-alih menginstal ulang SMB 1.0, Anda memperbarui server SMB yang masih memerlukannya. Untuk daftar pihak ketiga yang memerlukan SMB 1.0 dan pembaruan mereka yang menghapus persyaratan, tinjau SMB1 Product Clearinghouse.

Menonaktifkan SMBv2 atau SMBv3 untuk pemecahan masalah

Sebaiknya jaga agar SMBv2 dan SMBv3 tetap diaktifkan, tetapi Anda mungkin merasa berguna untuk menonaktifkannya sementara untuk pemecahan masalah. Untuk informasi selengkapnya, lihat Cara mendeteksi status, mengaktifkan, dan menonaktifkan protokol SMB di SMB Server.

Di Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, dan Windows Server 2012, menonaktifkan SMBv3 menonaktifkan fungsionalitas berikut:

• Failover Transparan - klien terhubung kembali tanpa gangguan pada node kluster selama pemeliharaan atau failover
• Peluasan Skala - akses bersamaan ke data bersama pada semua node kluster file
• Multisaluran - agregasi bandwidth jaringan dan toleransi kesalahan jika beberapa jalur tersedia antara klien dan server
• SMB Direct - menambahkan dukungan jaringan RDMA untuk performa tinggi, dengan latensi rendah dan penggunaan CPU rendah
• Enkripsi - Menyediakan enkripsi end-to-end dan melindungi dari penyadapan pada jaringan yang tidak dapat dipercaya
• Directory Leasing - Meningkatkan waktu respons aplikasi di kantor cabang melalui penembolokan
• Pengoptimalan Performa - pengoptimalan untuk I/O baca/tulis acak kecil

Di Windows 7 dan Windows Server 2008 R2, menonaktifkan SMBv2 menonaktifkan fungsionalitas berikut:

• Meminta pengelompokan - memungkinkan pengiriman beberapa permintaan SMBv2 sebagai satu permintaan jaringan
• Bacaan dan tulis yang lebih besar - penggunaan jaringan yang lebih cepat
• Penembolokan properti folder dan file - klien menyimpan salinan lokal folder dan file
• Handel tahan lama - memungkinkan koneksi terhubung kembali secara transparan ke server jika ada pemutusan sementara
• Penandatanganan pesan yang ditingkatkan - HMAC SHA-256 menggantikan MD5 sebagai algoritma hashing
• Peningkatan skalabilitas untuk berbagi file - jumlah pengguna, berbagi, dan file terbuka per server sangat meningkat
• Dukungan untuk tautan simbolis
• Model penyewaan oplock klien - membatasi data yang ditransfer antara klien dan server, meningkatkan performa pada jaringan latensi tinggi dan meningkatkan skalabilitas server SMB
• Dukungan MTU besar - untuk penggunaan penuh 10 Gigabit Ethernet (GbE)
• Peningkatan efisiensi energi - klien yang memiliki file terbuka ke server dapat tidur

Protokol SMBv2 diperkenalkan di Windows Vista dan Windows Server 2008, sementara protokol SMBv3 diperkenalkan di Windows 8 dan Windows Server 2012. Untuk informasi selengkapnya tentang kemampuan SMBv2 dan SMBv3, lihat artikel berikut ini:

• Gambaran umum Blok Pesan Server
• Apa yang Baru di SMB

Cara menghapus SMBv1 melalui PowerShell

Berikut adalah langkah-langkah untuk mendeteksi, menonaktifkan, dan mengaktifkan klien dan server SMBv1 dengan menggunakan perintah PowerShell dengan elevasi.

Catatan

Komputer akan dimulai ulang setelah Anda menjalankan perintah PowerShell untuk menonaktifkan atau mengaktifkan SMBv1.

• Deteksi:

  Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Nonaktifkan:

  Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Mengaktifkan:

  Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

Tip

Anda dapat mendeteksi status SMBv1, tanpa elevasi, dengan menjalankan: Get-SmbServerConfiguration | Format-List EnableSMB1Protocol.

Windows Server 2012 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: Metode Server Manager

Untuk menghapus SMBv1 dari Windows Server:

1. Pada Dasbor Manajer Server server tempat Anda ingin menghapus SMBv1, di bawah Konfigurasikan server lokal ini, pilih Tambahkan peran dan fitur.
2. Pada halaman Sebelum Anda memulai , pilih Mulai Wizard Hapus Peran dan Fitur, lalu pada halaman berikut ini, pilih Berikutnya.
3. Pada halaman Pilih server tujuan di bawah Kumpulan Server, pastikan bahwa server yang ingin Anda hapus fiturnya dipilih, lalu pilih Berikutnya.
4. Pada halaman Hapus peran server, pilih Berikutnya.
5. Pada halaman Hapus fitur , kosongkan kotak centang untuk Dukungan Berbagi File SMB 1.0/CIFS dan pilih Berikutnya.
6. Pada halaman Konfirmasi pilihan penghapusan, konfirmasikan bahwa fitur tersebut tercantum, lalu pilih Hapus.

Windows 8.1, Windows 10, dan Windows 11: Tambahkan atau Hapus metode Program

Untuk menonaktifkan SMBv1 untuk sistem operasi yang disebutkan:

1. Di Panel Kontrol, pilih Program dan Fitur.
2. Di bawah beranda Panel Kontrol, pilih Aktifkan atau nonaktifkan fitur Windows untuk membuka kotak Fitur Windows.
3. Dalam kotak Fitur Windows, gulir ke bawah daftar, kosongkan kotak centang untuk Dukungan Berbagi File SMB 1.0/CIFS dan pilih OK.
4. Setelah Windows menerapkan perubahan, pada halaman konfirmasi, pilih Mulai ulang sekarang.

Cara mendeteksi status, mengaktifkan, dan menonaktifkan protokol SMB

Catatan

Saat Anda mengaktifkan atau menonaktifkan SMBv2 di Windows 8 atau Windows Server 2012, SMBv3 juga diaktifkan atau dinonaktifkan. Perilaku ini terjadi karena protokol ini memiliki tumpukan yang sama.

Server

Windows 8 dan Windows Server 2012 memperkenalkan cmdlet Windows PowerShell Set-SMBServerConfiguration yang baru. Cmdlet memungkinkan Anda mengaktifkan atau menonaktifkan protokol SMBv1, SMBv2, dan SMBv3 pada komponen server.

Anda tidak perlu menghidupkan ulang komputer setelah menjalankan cmdlet Set-SMBServerConfiguration .

SMBv1

• Deteksi:

  Get-SmbServerConfiguration | Select EnableSMB1Protocol
  

• Nonaktifkan:

  Set-SmbServerConfiguration -EnableSMB1Protocol $false
  

• Mengaktifkan:

  Set-SmbServerConfiguration -EnableSMB1Protocol $true
  

Untuk informasi selengkapnya, lihat Penyimpanan server di Microsoft.

SMB v2/v3

• Deteksi:

  Get-SmbServerConfiguration | Select EnableSMB2Protocol
  

• Nonaktifkan:

  Set-SmbServerConfiguration -EnableSMB2Protocol $false
  

• Mengaktifkan:

  Set-SmbServerConfiguration -EnableSMB2Protocol $true
  

Untuk Windows 7, Windows Server 2008 R2, Windows Vista, dan Windows Server 2008

Untuk mengaktifkan atau menonaktifkan protokol SMB di SMB Server yang menjalankan Windows 7, Windows Server 2008 R2, Windows Vista, atau Windows Server 2008, gunakan Windows PowerShell atau Editor Registri.

Metode PowerShell tambahan

Catatan

Metode ini memerlukan PowerShell 2.0 atau yang lebih baru.

SMBv1 di SMB Server

Deteksi:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Konfigurasi default = Diaktifkan (Tidak ada registri bernama nilai yang dibuat), sehingga tidak ada nilai SMB1 yang akan dikembalikan

Nonaktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Mengaktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Catatan Anda harus menghidupkan ulang komputer setelah anda membuat perubahan ini. Untuk informasi selengkapnya, lihat Penyimpanan server di Microsoft.

SMBv2/v3 di SMB Server

Deteksi:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Nonaktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Mengaktifkan:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Catatan

Anda harus memulai ulang komputer setelah membuat perubahan ini.

Editor Pendaftaran

Penting

Ikuti langkah-langkah di bagian ini dengan seksama. Masalah serius dapat terjadi jika Anda mengubah registri dengan salah. Sebelum Anda mengubah registri, cadangkan registri untuk pemulihan jika terjadi masalah.

Untuk mengaktifkan atau menonaktifkan SMBv1 di server SMB, konfigurasikan kunci registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Untuk mengaktifkan atau menonaktifkan SMBv2 di server SMB, konfigurasikan kunci registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Catatan

 Anda harus memulai ulang komputer setelah membuat perubahan ini.

Klien

Berikut adalah cara mendeteksi status, mengaktifkan, dan menonaktifkan protokol SMB pada Klien SMB yang menjalankan Windows 10, Windows Server 2019, Windows 8.1, Windows Server 2016, Windows Server 2012 R2, dan Windows Server 2012.

SMBv1 di Klien SMB

• Deteksi

  sc.exe qc lanmanworkstation
  

• Nonaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= disabled
  

• Mengaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= auto
  

Untuk informasi selengkapnya, lihat Penyimpanan server di Microsoft

SMB v2/v3 pada Klien SMB

• Deteksi:

  sc.exe qc lanmanworkstation
  

• Nonaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
  sc.exe config mrxsmb20 start= disabled
  

• Mengaktifkan:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb20 start= auto
  

Catatan

• Anda harus menjalankan perintah ini pada prompt perintah yang ditingkatkan.
• Anda harus memulai ulang komputer setelah membuat perubahan ini.

Menonaktifkan SMBv1 dengan menggunakan Kebijakan Grup

Bagian ini memperkenalkan cara menggunakan Kebijakan Grup untuk menonaktifkan SMBv1. Anda dapat menggunakan metode ini pada versi Windows yang berbeda.

Server

SMBv1

Prosedur ini mengonfigurasi item baru berikut dalam registri:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

• Entri registri: SMB1
• REG_DWORD: 0 = Dinonaktifkan

Untuk menggunakan Kebijakan Grup untuk mengonfigurasi ini, ikuti langkah-langkah berikut:

1. Buka Konsol Manajemen Kebijakan Grup. Klik kanan objek Kebijakan Grup (GPO) yang harus berisi item preferensi baru, lalu klik Edit.

2. Di pohon konsol di bawah Konfigurasi Komputer, perluas folder Preferensi, lalu perluas folder Windows Pengaturan.

3. Klik kanan simpul Registri , arahkan ke Baru, dan pilih Item Registri.

   

Dalam kotak dialog Properti Registri Baru, pilih yang berikut ini:

• Tindakan: Buat
• Apache Hive: HKEY_LOCAL_MACHINE
• Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Nama nilai: SMB1
• Jenis nilai: REG_DWORD
• Data nilai: 0

Prosedur ini menonaktifkan komponen SMBv1 Server. Kebijakan Grup ini harus diterapkan ke semua stasiun kerja, server, dan pengontrol domain yang diperlukan di domain.

Catatan

 Filter WMI juga dapat diatur untuk mengecualikan sistem operasi yang tidak didukung atau pengecualian yang dipilih, seperti Windows XP.

Penting

Berhati-hatilah ketika Anda membuat perubahan ini pada pengontrol domain di mana Windows XP warisan atau Linux yang lebih lama dan sistem pihak ketiga (yang tidak mendukung SMBv2 atau SMBv3) memerlukan akses ke SYSVOL atau berbagi file lainnya di mana SMB v1 dinonaktifkan.

Klien

SMB v1

Untuk menonaktifkan klien SMBv1, kunci registri layanan perlu diperbarui untuk menonaktifkan awal MRxSMB10, dan kemudian dependensi pada MRxSMB10 perlu dihapus dari entri untuk LanmanWorkstation sehingga dapat dimulai secara normal tanpa memerlukan MRxSMB10 untuk memulai terlebih dahulu.

Panduan ini memperbarui dan mengganti nilai default dalam dua item berikut dalam registri:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Entri registri: Mulai REG_DWORD: 4= Dinonaktifkan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Entri registri: DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20","NSI"

Catatan

 Default termasuk MRxSMB10 yang sekarang dihapus sebagai dependensi.

Untuk mengonfigurasi ini dengan menggunakan Kebijakan Grup, ikuti langkah-langkah berikut:

1. Buka Konsol Manajemen Kebijakan Grup. Klik kanan GPO yang harus berisi item preferensi baru, lalu klik Edit.

2. Di pohon konsol di bawah Konfigurasi Komputer, perluas folder Preferensi, lalu perluas folder Windows Pengaturan.

3. Klik kanan simpul Registri , arahkan ke Baru, dan pilih Item Registri.

4. Dalam kotak dialog Properti Registri Baru, pilih yang berikut ini:

   • Tindakan: Perbarui
   • Apache Hive: HKEY_LOCAL_MACHINE
   • Jalur Kunci: SYSTEM\CurrentControlSet\services\mrxsmb10
   • Nama nilai: Mulai
   • Jenis nilai: REG_DWORD
   • Data nilai: 4

   

5. Kemudian hapus dependensi pada MRxSMB10 yang dinonaktifkan.

   Dalam kotak dialog Properti Registri Baru, pilih yang berikut ini:

   • Tindakan: Ganti
   • Apache Hive: HKEY_LOCAL_MACHINE
   • Jalur Kunci: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
   • Nama nilai: DependOnService
   • Jenis nilai: REG_MULTI_SZ
   • Data nilai:
     • Bowser
     • MRxSmb20
     • NSI

   Catatan

   Ketiga string ini tidak akan memiliki poin (lihat cuplikan layar berikut).

   

   Nilai default termasuk MRxSMB10 di banyak versi Windows, jadi dengan menggantinya dengan string multinilai ini, hal ini berlaku untuk menghapus MRxSMB10 sebagai dependensi untuk LanmanWorkstation dan berpindah dari empat nilai default ke hanya tiga nilai di atas.

   Catatan

   Saat menggunakan Konsol Manajemen Kebijakan Grup, Anda tidak perlu menggunakan tanda kutip atau koma. Cukup ketik setiap entri pada baris individual.

6. Mulai ulang sistem yang ditargetkan untuk menyelesaikan penonaktifan SMB v1.

Mengaudit penggunaan SMBv1

Untuk menentukan klien mana yang mencoba menyambungkan ke server SMB dengan SMBv1, Anda dapat mengaktifkan audit pada Windows Server 2016, Windows 10, dan Windows Server 2019. Anda juga dapat mengaudit pada Windows 7 dan Windows Server 2008 R2 jika pembaruan bulanan Mei 2018 diinstal, dan pada Windows 8.1 dan Windows Server 2012 R2 jika pembaruan bulanan Juli 2017 diinstal.

• Mengaktifkan:

  Set-SmbServerConfiguration -AuditSmb1Access $true
  

• Nonaktifkan:

  Set-SmbServerConfiguration -AuditSmb1Access $false
  

• Deteksi:

  Get-SmbServerConfiguration | Select AuditSmb1Access
  

Ketika audit SMBv1 diaktifkan, peristiwa 3000 muncul di log peristiwa "Microsoft-Windows-SMBServer\Audit", mengidentifikasi setiap klien yang mencoba terhubung dengan SMBv1.

Ringkasan

Jika semua pengaturan berada dalam GPO yang sama, Manajemen Kebijakan Grup menampilkan pengaturan berikut.

Pengujian dan validasi

Setelah menyelesaikan langkah-langkah konfigurasi dalam artikel ini, izinkan kebijakan untuk mereplikasi dan memperbarui. Jika perlu untuk pengujian, jalankan gpupdate /force pada prompt perintah, lalu tinjau komputer target untuk memastikan bahwa pengaturan registri diterapkan dengan benar. Pastikan SMBv2 dan SMBv3 berfungsi untuk semua sistem lain di lingkungan.

Catatan

Jangan lupa untuk menghidupkan ulang sistem target.