Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 11, Windows 10, Windows 8.1, Windows 8

В этой статье описывается включение и отключение блока сообщений сервера (S МБ) версии 1 (S МБ v1), S МБ версии 2 (S МБ v2) и S МБ версии 3 (S МБ v3) на клиентских и серверных компонентах S МБ.

При отключении или удалении S МБ v1 могут возникнуть некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, S МБ v1 имеет значительные уязвимости безопасности, и мы настоятельно рекомендуем не использовать его. S МБ 1.0 по умолчанию не устанавливается в любом выпуске Windows 11 или Windows Server 2019 и более поздних версий. S МБ 1.0 также не устанавливается по умолчанию в Windows 10, кроме выпусков Home и Pro. Мы рекомендуем вместо переустановки S МБ 1.0 обновить сервер S МБ, который по-прежнему требует его. Список сторонних производителей, требующих S МБ 1.0 и их обновлений, которые удаляют требование, просмотрите S МБ 1 Product Clearinghouse.

Отключение S МБ v2 или S МБ v3 для устранения неполадок

Мы рекомендуем включить S МБ v2 и S МБ v3, но может оказаться полезным отключить его временно для устранения неполадок. Дополнительные сведения см. в статье "Обнаружение состояния, включение и отключение протоколов S МБ на сервере S МБ".

В Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, отключение S МБ v3 деактивирует следующие функции:

  • Прозрачная отработка отказа — клиенты повторно подключались без прерывания работы с узлами кластера во время обслуживания или отработки отказа.
  • Горизонтальное масштабирование — одновременный доступ к общим данным на всех узлах кластера файлов
  • Multichannel — агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и сервером
  • S МБ Direct — добавляет ПОДДЕРЖКУ сети RDMA для обеспечения высокой производительности, с низкой задержкой и низким использованием ЦП
  • Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях.
  • Аренда каталогов — улучшает время отклика приложений в филиалах с помощью кэширования
  • Оптимизация производительности — оптимизация для небольших случайных операций чтения и записи операций ввода-вывода

В Windows 7 и Windows Server 2008 R2 отключение S МБ v2 деактивирует следующие функции:

  • Соединение запросов — позволяет отправлять несколько запросов S МБ v2 в виде одного сетевого запроса.
  • Более крупные операции чтения и записи — лучшее использование более быстрых сетей
  • Кэширование свойств папки и файлов — клиенты хранят локальные копии папок и файлов.
  • Устойчивые дескрипторы — разрешить прозрачное повторное подключение к серверу при временном отключении
  • Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 в качестве алгоритма хэширования
  • Улучшенная масштабируемость для общего доступа к файлам — количество пользователей, общих папок и открытых файлов на сервер значительно увеличилось
  • Поддержка символьных ссылок
  • Модель аренды клиента oplock — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера S МБ
  • Поддержка большого MTU — для полного использования 10 Гигабит Ethernet (GbE)
  • Улучшенная энергоэффективность — клиенты, имеющие открытые файлы на сервере, могут спянуть

Протокол S МБ v2 был представлен в Windows Vista и Windows Server 2008, в то время как протокол S МБ v3 был представлен в Windows 8 и Windows Server 2012. Дополнительные сведения о возможностях S МБ v2 и S МБ v3 см. в следующих статьях:

Удаление S МБ v1 с помощью PowerShell

Ниже приведены шаги по обнаружению, отключению и включению клиента и сервера S МБ v1 с помощью команд PowerShell с повышением прав.

Примечание.

Компьютер перезагрузится после запуска команд PowerShell, чтобы отключить или включить S МБ v1.

  • Обнаружение:

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Отключите:

    Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Включите параметр

    Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    

Совет

Вы можете обнаружить состояние S МБ v1 без повышения прав, выполнив следующие Get-SmbServerConfiguration | Format-List EnableSMB1Protocolдействия.

Windows Server 2012 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчер сервера

Server Manager - Dashboard method

Чтобы удалить S МБ v1 из Windows Server, выполните приведенные действия.

  1. На панели мониторинга диспетчер сервера сервера, где требуется удалить S МБ v1, в разделе "Настройка этого локального сервера" выберите "Добавить роли и компоненты".
  2. На странице "Перед началом работы" выберите "Пуск мастера удаления ролей и компонентов", а затем на следующей странице нажмите кнопку "Далее".
  3. На странице "Выбор целевого сервера" в пуле серверов убедитесь, что выбран сервер, из которого выбрана функция, а затем нажмите кнопку "Далее".
  4. На странице "Удалить роли сервера" нажмите кнопку "Далее".
  5. На странице "Удалить функции" снимите флажок проверка для S МБ 1.0/CIFS Для поддержки общего доступа к файлам CIFS и нажмите кнопку "Далее".
  6. На странице выбора "Подтверждение удаления" убедитесь, что эта функция указана, а затем нажмите кнопку "Удалить".

Windows 8.1, Windows 10 и Windows 11: добавление или удаление методов программ

Add-Remove Programs client method

Чтобы отключить S МБ v1 для упоминание операционных систем:

  1. Откройте Панель управления, выберите раздел Программы и компоненты.
  2. В разделе панель управления Главная выберите "Включить или отключить функции Windows", чтобы открыть окно "Компоненты Windows".
  3. В поле "Компоненты Windows" прокрутите список вниз, снимите флажок проверка для S МБ 1.0/CIFS. Поддержка общего доступа к файлам CIFS и нажмите кнопку "ОК".
  4. После применения изменения Windows на странице подтверждения нажмите кнопку "Перезапустить".

Определение состояния, включения и отключения протоколов S МБ

Примечание.

Если включить или отключить S МБ v2 в Windows 8 или Windows Server 2012, S МБ v3 также включен или отключен. Это происходит, так как эти протоколы используют один стек.

В Windows 8 и Windows Server 2012 появился новый командлет Set-S МБ ServerConfiguration Windows PowerShell. Командлет позволяет включить или отключить протоколы S МБ v1, S МБ v2 и S МБ v3 на серверном компоненте.

После запуска командлета Set-S МБ ServerConfiguration не нужно перезагрузить компьютер.

SMB версии 1;

  • Обнаружение:

    Get-SmbServerConfiguration | Select EnableSMB1Protocol
    
  • Отключите:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false
    
  • Включите параметр

    Set-SmbServerConfiguration -EnableSMB1Protocol $true
    

Дополнительные сведения см. в разделе "Хранилище сервера" в Корпорации Майкрософт.

S МБ версии 2/v3

  • Обнаружение:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol
    
  • Отключите:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false
    
  • Включите параметр

    Set-SmbServerConfiguration -EnableSMB2Protocol $true
    

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы включить или отключить протоколы S МБ на сервере S МБ под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Дополнительные методы PowerShell

Примечание.

Для этого метода требуется PowerShell 2.0 или более поздней версии.

S МБ v1 на сервере S МБ

Обнаружение:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Конфигурация по умолчанию = включена (не создается именованное значение реестра), поэтому значение S МБ 1 не будет возвращено.

Отключите:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Включите параметр

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Обратите внимание , что после внесения этих изменений необходимо перезапустить компьютер. Дополнительные сведения см. в разделе "Хранилище сервера" в Корпорации Майкрософт.

S МБ v2/v3 на сервере S МБ

Обнаружение:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Отключите:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Включите параметр

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Примечание.

После внесения этих изменений необходимо перезапустить компьютер.

Редактор реестра

Важно!

Точно следуйте всем указаниям из этого раздела. Неправильное изменение реестра может привести к серьезным проблемам. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить или отключить S МБ v1 на сервере S МБ, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Чтобы включить или отключить S МБ v2 на сервере S МБ, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Примечание.

 После внесения этих изменений необходимо перезапустить компьютер.

Отключение S МБ v1 с помощью групповой политики

В этом разделе описывается, как отключить S МБ v1 с помощью групповой политики. Этот метод можно использовать в разных версиях Windows.

SMB версии 1;

Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  • Запись реестра: S МБ 1
  • REG_DWORD: 0 = отключен

Чтобы настроить групповую политику, выполните следующие действия.

  1. Откройте Консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который должен содержать новый элемент предпочтения, а затем нажмите кнопку "Изменить".

  2. В дереве консоли в разделе "Конфигурация компьютера" разверните папку "Параметры" и разверните папку Windows Параметры.

  3. Щелкните правой кнопкой мыши узел реестра , выберите пункт "Создать" и выберите элемент реестра.

    Registry - New - Registry Item

В диалоговом окне "Новые свойства реестра" выберите следующее:

  • Действие. Создание
  • Hive: HKEY_LOCAL_MACHINE
  • Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Имя значения: S МБ 1
  • Тип значения: REG_DWORD
  • Данные о значении: 0

New Registry Properties - General

Эта процедура отключает компоненты сервера S МБ v1. Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Примечание.

 Фильтры WMI также можно задать для исключения неподдерживаемых операционных систем или выбранных исключений, таких как Windows XP.

Внимание

Будьте осторожны при внесении этих изменений на контроллерах домена, на которых устаревшие системы Windows XP или более ранние версии Linux и сторонние системы (которые не поддерживают S МБ v2 или S МБ v3) требуют доступа к SYSVOL или другим общим папкам, где S МБ версии 1 отключен.

Аудит использования S МБ v1

Чтобы определить, какие клиенты пытаются подключиться к серверу S МБ с помощью S МБ v1, можно включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Вы также можете выполнить аудит в Windows 7 и Windows Server 2008 R2, если установлен ежемесячный обновление за май 2018 г. и в Windows 8.1 и Windows Server 2012 R2, если ежемесячное обновление за июль 2017 г. установлено.

  • Включите параметр

    Set-SmbServerConfiguration -AuditSmb1Access $true
    
  • Отключите:

    Set-SmbServerConfiguration -AuditSmb1Access $false
    
  • Обнаружение:

    Get-SmbServerConfiguration | Select AuditSmb1Access
    

Если включен аудит S МБ v1, событие 3000 появляется в журнале событий Microsoft-Windows-S МБ Server\Audit, определяющего каждый клиент, который пытается подключиться к S МБ v1.

Итоги

Если все параметры находятся в одном объекте групповой политики, управление групповыми политиками отображает следующие параметры.

Group Policy Management Editor - Registry

Тестирование и проверка

Выполнив действия по настройке в этой статье, разрешите политике реплика и обновить их. При необходимости для тестирования запустите gpupdate /force в командной строке, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применяются правильно. Убедитесь, что S МБ v2 и S МБ v3 работают для всех других систем в среде.

Примечание.

Не забудьте перезапустить целевые системы.