Identifiera, aktivera och inaktivera SMBv1, SMBv2 och SMBv3 i Windows

Den här artikeln beskriver hur du aktiverar och inaktiverar SMB version 1 (SMBv1), SMB version 2 (SMBv2) och SMB version 3 (SMBv3) på SMB-klient- och serverkomponenter.

Om du inaktiverar eller tar bort SMBv1 kan det uppstå kompatibilitetsproblem med gamla datorer eller programvara. SMBv1 har betydande säkerhetsrisker och vi rekommenderar starkt att du inte använder det. SMBv1 installeras inte som standard i någon version av Windows 11 eller Windows Server 2019 eller senare versioner. SMBv1 är inte heller installerat som standard i Windows 10, förutom Home- och Pro-utgåvor. Vi rekommenderar att du i stället för att installera om SMBv1 uppdaterar den SMB-server som fortfarande kräver det. En lista över partner som kräver SMBv1 och deras uppdateringar som tar bort kravet finns i SMB1 Product Clearinghouse.

Inaktivera SMBv2 eller SMBv3 för felsökning

Vi rekommenderar att du håller SMBv2 och SMBv3 aktiverade, men du kan ha nytta av att inaktivera en tillfälligt för felsökning. För mer information, se Använd kommandoraden eller registereditorn för att hantera SMB-protokoll.

Om du inaktiverar SMBv3 inaktiveras följande funktioner:

• Transparent redundans: Ger klienter ett sätt att återansluta utan avbrott till klusternoder under underhåll eller redundansväxling
• Utskalning: Ger samtidig åtkomst till delade data på alla filklusternoder
• SMB Multichannel: Underlättar aggregering av nätverksbandbredd och feltolerans om flera sökvägar är tillgängliga mellan klienten och servern
• SMB Direct: Lägger till stöd för nätverk med Remote Direct Memory Access (RDMA) för hög prestanda, med låg svarstid och låg CPU-användning
• Kryptering: Tillhandahåller kryptering från slutpunkt till slutpunkt och ger skydd mot avlyssning i opålitliga nätverk
• Kataloguthyrning: Förbättrar svarstiderna för applikationer på avdelningskontor genom cachelagring
• Prestandaoptimering: Optimerar små slumpmässiga I/O-åtgärder för läsning/skrivning

Om du inaktiverar SMBv2 inaktiveras följande funktioner:

• Sammansatt begäran: Stöder sändning av flera SMBv2-begäranden som en enda nätverksbegäran
• Större läsningar och skrivningar: Förbättrar användningen av snabbare nätverk
• Cachelagring av mapp- och filegenskaper: Ger klienter möjlighet att behålla lokala kopior av mappar och filer
• Varaktiga handtag: Ger en metod för en anslutning att automatiskt återansluta till servern efter en tillfällig frånkoppling
• Förbättrad meddelandesignering: Använder en HMAC-algoritm (hashbaserad Message Authentication Code) med en säker hash-algoritm (SHA) och ett 256-bitars sammandrag (HMAC SHA-256) istället för Message-Digest Algorithm 5 (MD5) som hashalgoritm.
• Förbättrad skalbarhet för fildelning: Avsevärt ökar antalet användare, resurser och öppna filer per server
• Stöd för symboliska länkar
• Leasingmodell för klientoperativsystem: Begränsar data som överförs mellan klienten och servern, förbättrar prestandan i nätverk med långa svarstider och ökar SMB-serverns skalbarhet
• Stort stöd för maximal överföringsenhet (MTU): Stöder fullständig användning av 10 Gigabit Ethernet (GbE)
• Förbättrad energieffektivitet: Ger ett sätt för klienter som har öppna filer till en server att gå i viloläge

SMBv2-protokollet introducerades i Windows Vista och Windows Server 2008. SMBv3-protokollet introducerades i Windows 8 och Windows Server 2012. Mer information om SMBv2- och SMBv3-funktioner finns i följande artiklar:

• Översikt över fildelning med SMB 3-protokollet i Windows Server
• 1.3 Översikt

Använda PowerShell för att ta bort SMBv1

Du kan använda PowerShell-kommandona Get-WindowsOptionalFeature, Disable-WindowsOptionalFeature och Enable-WindowsOptionalFeature för att identifiera, inaktivera och aktivera en SMBv1-klient eller -server. Kör kommandona i en upphöjd kommandotolk.

Note

Datorn startas om när du har kört PowerShell-kommandona för att inaktivera eller aktivera SMBv1.

• Detect:

  Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Disable:

  Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Enable:

  Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

Tip

Du kan identifiera SMBv1-statusen utan utökade privilegier genom att köra kommandot Get-SmbServerConfiguration : Get-SmbServerConfiguration | Format-List EnableSMB1Protocol.

Ta bort SMBv1

Server

SMBv1 installeras inte som standard på Windows Server 2019 och senare versioner. I tidigare versioner av Windows Server kan du använda Serverhanteraren för att ta bort SMBv1:

1. Öppna Serverhanteraren på den server som du vill ta bort SMBv1 från.

2. På instrumentpanelen för Serverhanteraren går du till Konfigurera den här lokala servernoch väljer Lägg till roller och funktioner.

3. På sidan Innan du börjar väljer duStarta guiden Ta bort roller och funktioner och väljer sedan Nästa på följande sida.

4. På sidan Välj målserver under Serverpool kontrollerar du att den server som du vill ta bort funktionen från är markerad och väljer sedan Nästa.

5. På sidan Ta bort serverroller väljer du Nästa.

6. På sidan Ta bort funktioner avmarkerar du kryssrutan för SMB 1.0/CIFS-fildelningsstöd och väljer sedan Nästa.

   

7. På sidan Bekräfta borttagningsval bekräftar du att funktionen visas och väljer sedan Ta bort.

Client

På Windows 8.1, Windows 10 och Windows 11 kan du använda Ta bort program för att inaktivera SMBv1.

Utför följande steg för att inaktivera SMBv1 på dessa operativsystem:

1. Välj Program och funktioner på Kontrollpanelen.

2. Under Start på Kontrollpanelen väljer du Aktivera eller inaktivera Windows-funktioner för att öppna dialogrutan Windows-funktioner .

3. I dialogrutan Windows-funktioner rullar du ned i listan, avmarkerar kryssrutan för SMB 1.0/CIFS-fildelningsstöd och väljer sedan OK.

   

4. När Windows har installerat ändringen går du till bekräftelsesidan och väljer Starta om nu.

Använd kommandoraden eller Registereditorn för att hantera SMB-protokoll

Från och med Windows 10 Fall Creators Update och Windows Server 2019 installeras SMBv1 inte längre som standard. Mer information finns i SMBv1 är inte installerat som standard i Windows 10 version 1709, Windows Server version 1709 och senare versioner.

När du aktiverar eller inaktiverar SMBv2 i Windows 8 eller Windows Server 2012 är SMBv3 också aktiverat eller inaktiverat. Det här beteendet beror på att dessa protokoll delar samma stack.

Server

Du kan använda cmdleten Set-SMBServerConfiguration för att aktivera eller inaktivera SMBv1-, SMBv2- och SMBv3-protokollen på en serverkomponent. Du kan använda cmdleten Get-SmbServerConfiguration för att hämta SMB-serverkonfigurationen.

Du behöver inte starta om datorn när du har kört cmdleten Set-SMBServerConfiguration .

SMBv1

• Detect:

  Get-SmbServerConfiguration | Select EnableSMB1Protocol
  

• Disable:

  Set-SmbServerConfiguration -EnableSMB1Protocol $false
  

• Enable:

  Set-SmbServerConfiguration -EnableSMB1Protocol $true
  

Mer information finns i Sluta använda SMB1.

SMBv2 och SMBv3

• Detect:

  Get-SmbServerConfiguration | Select EnableSMB2Protocol
  

• Disable:

  Set-SmbServerConfiguration -EnableSMB2Protocol $false
  

• Enable:

  Set-SmbServerConfiguration -EnableSMB2Protocol $true
  

Aktivera eller inaktivera SMB på Windows 7, Windows Server 2008 R2, Windows Vista och Windows Server 2008

Om du vill aktivera eller inaktivera SMB-protokoll på en SMB-server som kör Windows 7, Windows Server 2008 R2, Windows Vista eller Windows Server 2008 använder du Windows PowerShell eller Registereditorn enligt beskrivningen i följande avsnitt.

Använda Windows PowerShell

Du kan använda cmdletarna Get-Item, Get-ItemProperty och Set-ItemProperty för att identifiera, aktivera och inaktivera SMB-protokoll.

Note

Kommandona i följande avsnitt kräver PowerShell 2.0 eller senare.

SMBv1 på en SMB-server

• Detect:

  Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
  

  Standardkonfigurationen är Enabled. Därför skapas inget register med namnet värde, så kommandot returnerar inte något SMB1 värde.

• Disable:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
  

• Enable:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
  

Note

Du måste starta om datorn när du har genomfört ändringarna.

Mer information finns i Sluta använda SMB1.

SMBv2 och SMBv3 på en SMB-server

• Detect:

  Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
  

• Disable:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
  

• Enable:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
  

Note

Du måste starta om datorn när du har genomfört ändringarna.

Använda Registereditorn

Important

Följ stegen i det här avsnittet noggrant. Allvarliga problem kan uppstå om du ändrar registret felaktigt. Innan du ändrar det bör du först säkerhetskopiera registret för att kunna återställa det om problem skulle uppstå.

Om du vill aktivera eller inaktivera SMBv1 på en SMB-server öppnar du Registereditorn och går till följande registernyckelsökväg:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Konfigurera en post som har följande egenskaper:

• Använd SMB1 som namn.
• För typen använder du REG_DWORD.
• För data använder du 0 för Inaktiverad och 1 för Aktiverad. Standardvärdet är 1 eller Aktiverat. I det här fallet skapas ingen registernyckel.

Om du vill aktivera eller inaktivera SMBv2 på en SMB-server öppnar du Registereditorn och går till följande registernyckelsökväg:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Konfigurera en post som har följande egenskaper:

• Använd SMB2 som namn.
• För typen använder du REG_DWORD.
• För data använder du 0 för Inaktiverad och 1 för Aktiverad. Standardvärdet är 1 eller Aktiverat. I det här fallet skapas ingen registernyckel.

Note

 Du måste starta om datorn när du har genomfört ändringarna.

Client

Så här identifierar du status, aktiverar och inaktiverar SMB-protokoll på en SMB-klient som kör Windows-klienten och Windows Server.

SMBv1 på en SMB-klient

• Detect:

  sc.exe qc lanmanworkstation
  

• Disable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= disabled
  

• Enable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= auto
  

Mer information finns i Sluta använda SMB1.

SMBv2 och SMBv3 på en SMB-klient

• Detect:

  sc.exe qc lanmanworkstation
  

• Disable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
  sc.exe config mrxsmb20 start= disabled
  

• Enable:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb20 start= auto
  

Note

• Du måste köra dessa kommandon i en upphöjd kommandotolk.
• Du måste starta om datorn när du har genomfört ändringarna.

Använda grupprincip för att inaktivera SMBv1

Det här avsnittet visar hur du använder grupprincip för att inaktivera SMBv1. Du kan använda den här metoden i olika versioner av Windows.

Server

SMBv1

Du kan inaktivera SMBv1 på en SMB-server genom att konfigurera följande nya objekt i registret:

• Nyckelsökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Registerpost: SMB1
• Posttyp: REG_DWORD
• Inmatningsdata: 0, för Inaktiverad

Utför följande steg om du vill använda grupprincip för att konfigurera det här objektet:

1. Öppna Grupprinciphanteringskonsolen. Högerklicka på grupprincipobjektet (GPO) som ska innehålla det nya inställningsobjektet och välj sedan Redigera.

2. I konsolträdet under Datorkonfiguration expanderar du mappen Inställningar och expanderar sedan mappen Windows-inställningar .

3. Högerklicka på registernoden , peka på Ny och välj sedan Registerobjekt.

   

4. I dialogrutan Egenskaper för nytt register väljer eller anger du följande värden:

   • Åtgärd: Skapa
   • Hive: HKEY_LOCAL_MACHINE
   • Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
   • Värdenamn: SMB1
   • Värdetyp: REG_DWORD
   • Värdedata: 0

   

Den här proceduren inaktiverar SMBv1-serverkomponenterna. Du måste tillämpa den här principen på alla nödvändiga arbetsstationer, servrar och domänkontrollanter i domänen.

Note

 Du kan ange WMI-filter (Windows Management Instrumentation) för att exkludera specifika operativsystem eller undanta klient- eller serveroperativsystem. Mer information finns i Gruppolicyfiltrering och Skapa WMI-filter för gruppolicyobjektet.

Important

Vissa system kräver åtkomst till SYSVOL-mappen eller andra filresurser men stöder inte SMBv2 eller SMBv3. Exempel på sådana system är äldre Windows-system och äldre Linux- och partnersystem. Var försiktig när du inaktiverar SMBv1 på domänkontrollanter på dessa system.

Client

SMBv1

Om du vill inaktivera SMBv1-klienten måste du uppdatera tjänstregisternyckeln för att förhindra att MRxSMB10-drivrutinen startas . Sedan måste du ta bort beroendet av MRxSMB10 från posten för LanmanWorkstation så att den kan starta normalt utan att MRxSMB10 behöver startas.

Det här avsnittet visar hur du uppdaterar och ersätter standardvärdena i följande två objekt i registret:

• Nyckelsökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
  • Registerpost: Starta
  • Posttyp: REG_DWORD
  • Inmatningsdata: 4, för Inaktiverad
• Nyckelsökväg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Registerpost: DependOnService
  • Posttyp: REG_MULTI_SZ
  • Inmatningsdata: Bowser,MRxSmb20,NSI

Note

 Standardvärdet innehåller MRxSMB10, som nu tas bort som beroende.

Utför följande steg för att konfigurera dessa poster med hjälp av grupprincip:

1. Öppna Grupprinciphanteringskonsolen. Högerklicka på grupprincipobjektet som ska innehålla det nya inställningsobjektet och välj sedan Redigera.

2. I konsolträdet under Datorkonfiguration expanderar du mappen Inställningar och expanderar sedan mappen Windows-inställningar .

3. Högerklicka på registernoden , peka på Ny och välj sedan Registerobjekt.

4. I dialogrutan Egenskaper för nytt register väljer eller anger du följande värden:

   • Åtgärd: Uppdatera
   • Hive: HKEY_LOCAL_MACHINE
   • Nyckelsökväg: SYSTEM\CurrentControlSet\services\mrxsmb10
   • Värdenamn: Start
   • Värdetyp: REG_DWORD
   • Värdedata: 4

   

5. Om du vill ta bort beroendet av den MRxSMB10-drivrutin som inaktiverades öppnar du dialogrutan Egenskaper för nytt register och väljer eller anger sedan följande värden:

   • Åtgärd: Ersätt
   • Hive: HKEY_LOCAL_MACHINE
   • Nyckelsökväg: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
   • Värdenamn: DependOnService
   • Värdetyp: REG_MULTI_SZ
   • Värdedata:
     • Bowser
     • MRxSmb20
     • NSI

   Note

   Ta inte med punkter i de tre värdedatasträngarna . Visa endast en lista över strängarna, som du ser i följande skärmbild.

   

   Standardvärdet innehåller MRxSMB10 i många versioner av Windows. Genom att ersätta standardvärdet med dessa tre strängar tar du effektivt bort MRxSMB10 som ett beroende för LanmanWorkstation. I stället för de fyra standardvärdena använder du dessa tre värden.

   Note

   När du använder konsolen Grupprinciphantering behöver du inte använda citattecken eller kommatecken. Skriv bara varje post på enskilda rader.

6. Starta om målsystemen för att slutföra inaktivering av SMBv1.

Granska SMBv1-användning

För att avgöra vilka klienter som försöker ansluta till en SMB-server med hjälp av SMBv1 kan du aktivera granskning på Windows Server- och Windows-klienter. Om du vill aktivera eller inaktivera granskning använder du cmdleten Set-SmbServerConfiguration . Om du vill kontrollera granskningsstatusen använder du cmdleten Get-SmbServerConfiguration .

• Enable:

  Set-SmbServerConfiguration -AuditSmb1Access $true
  

• Disable:

  Set-SmbServerConfiguration -AuditSmb1Access $false
  

• Detect:

  Get-SmbServerConfiguration | Select AuditSmb1Access
  

När du har aktiverat SMBv1-granskning kan du kontrollera händelseloggen Microsoft-Windows-SMBServer\Audit efter åtkomsthändelser. Varje gång en klient försöker använda SMBv1 för att ansluta till en server visas en post som har ett händelse-ID på 3 000 i loggen.

Kontrollera grupprincip inställningar

Om alla inställningar finns i samma grupprincipobjekt visar grupprinciphantering följande inställningar:

Testa och verifiera principen

När du har slutfört konfigurationsstegen i Gruppolicyhanteringskonsolen, ge grupppolicyn tid att tillämpa uppdateringarna på sina inställningar. Om det behövs för testning, kör du gpupdate /force i en kommandotolk och granskar sedan måldatorerna för att säkerställa att registerinställningarna tillämpas korrekt. Kontrollera att SMBv2 och SMBv3 fungerar för alla andra system i miljön.

Note

När du har testat policyn, startar du därefter om målsystemen.