如何在 Windows 中检测、启用和禁用 SMBv1、SMBv2 和 SMBv3

古城微笑少年丶 2023-10-05 08:31 81阅读 0赞

### 摘要 ###

本文介绍如何在 SMB 客户端和服务器组件上启用和禁用服务器消息块（SMB）版本1（SMBv1）、SMB 版本2（SMBv2）和 SMB 版本3（SMBv3）。

重要

建议**你不要禁用 SMBv2**或 SMBv3。 仅将 SMBv2 或 SMBv3 作为临时故障排除度量值禁用。 不要让 SMBv2 或 SMBv3 处于禁用状态。

在 Windows 7 和 Windows Server 2008 R2 中，禁用 SMBv2 将停用以下功能：

在 Windows 8、Windows 8.1、Windows 10、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019 中，禁用 SMBv3 将停用以下功能（以及前面的列表中所述的 SMBv2 功能）：

### 更多信息 ###

Windows Vista 和 Windows Server 2008 中引入了 SMBv2 协议。

Windows 8 和 Windows Server 2012 中引入了 SMBv3 协议。

有关 SMBv2 和 SMBv3 功能的功能的详细信息，请参阅以下文章：

[服务器消息块概述][Link 1]

[SMB 中的新增功能][SMB]

### 如何在 Windows 8.1、Windows 10、Windows 2012 R2、Windows Server 2016 和 Windows Server 2019 中正常删除 SMB v1 ###

PowerShell 方法

SMB v1 （客户端和服务器）

Windows Server 2012 R2、Windows Server 2016、Windows Server 2019：用于禁用 SMB 的服务器管理器方法

SMB v1

![服务器管理器-仪表板方法][-]

Windows 8.1 和 Windows 10： PowerShell 方法

SMB v1 协议

SMB v2/v3 协议（仅禁用 SMB v2/v3 服务器）

Windows 8.1 和 Windows 10：添加或删除程序方法

![添加/删除程序客户端方法][format_png]

### 如何在 SMB 服务器上检测状态、启用和禁用 SMB 协议 ###

#### 适用于 Windows 8 和 Windows Server 2012 ####

Windows 8 和 Windows Server 2012 引入了新的**SMBServerConfiguration** Windows PowerShell cmdlet。 Cmdlet 可用于启用或禁用服务器组件上的 SMBv1、SMBv2 和 SMBv3 协议。

备注

启用或禁用 Windows 8 或 Windows Server 2012 中的 SMBv2 时，也会启用或禁用 SMBv3。 之所以发生此行为，是因为这些协议共享同一堆栈。

运行**SMBServerConfiguration** cmdlet 后，无需重新启动计算机。

SMB 服务器上的 SMB v1

有关详细信息，请参阅[Microsoft 服务器存储][Microsoft]。

Smb 服务器上的 SMB v2/v3

#### 适用于 Windows 7、Windows Server 2008 R2、Windows Vista 和 Windows Server 2008 ####

若要在运行 Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的 SMB 服务器上启用或禁用 SMB 协议，请使用 Windows PowerShell 或注册表编辑器。

PowerShell 方法

备注

此方法需要 PowerShell 2.0 或更高版本的 PowerShell。

SMB 服务器上的 SMB v1

察觉

PowerShell复制

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

默认配置 = Enabled （未创建注册表项），因此将不返回 SMB1 值

禁用

PowerShell复制

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

启用：

PowerShell复制

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force

**注意**进行这些更改之后，必须重新启动计算机。 有关详细信息，请参阅[Microsoft 服务器存储][Microsoft 1]。

Smb 服务器上的 SMB v2/v3

察觉

PowerShell复制

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

禁用

PowerShell复制

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force

启用：

PowerShell复制

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

备注

进行这些更改之后，必须重新启动计算机。

注册表编辑器

重要

请认真遵循本部分所述的步骤。 如果注册表修改不正确，可能会发生严重问题。 在修改注册表之前，请[备份注册表][Link 2]，以便在出现问题时可以还原。

若要在 SMB 服务器上启用或禁用 SMBv1，请配置以下注册表项：

**HKEY\_LOCAL\_MACHINE \\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters**

复制

Registry entry: SMB1
    REG_DWORD: 0 = Disabled
    REG_DWORD: 1 = Enabled
    Default: 1 = Enabled (No registry key is created)

若要在 SMB 服务器上启用或禁用 SMBv2，请配置以下注册表项：

**HKEY\_LOCAL\_MACHINE \\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters**

复制

Registry entry: SMB2
    REG_DWORD: 0 = Disabled
    REG_DWORD: 1 = Enabled
    Default: 1 = Enabled (No registry key is created)

备注

进行这些更改之后，必须重新启动计算机。

### 如何在 SMB 客户端上检测状态、启用和禁用 SMB 协议 ###

#### 对于 Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012 ####

备注

启用或禁用 Windows 8 或 Windows Server 2012 中的 SMBv2 时，也会启用或禁用 SMBv3。 之所以发生此行为，是因为这些协议共享同一堆栈。

SMB v1 （在 SMB 客户端上）

有关详细信息，请参阅[Microsoft 的服务器存储][Microsoft 1]

Smb v2/在 SMB 客户端上

备注

### 通过组策略禁用 SMBv1 服务器 ###

此过程在注册表中配置以下新项：

**HKEY\_LOCAL\_MACHINE \\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters**

若要使用组策略进行配置，请执行以下步骤：

在 "**新建注册表属性**" 对话框中，选择以下项：

![新注册表属性-常规][- 1]

这将禁用 SMBv1 服务器组件。 此组策略必须应用于域中的所有必要工作站、服务器和域控制器。

备注

[WMI 筛选器][WMI]还可以设置为排除不受支持的操作系统或所选的排除项，例如 Windows XP。

重要

当你在旧的 Windows XP 或更早版本的 Linux 和第三方系统（不支持 SMBv2 或 SMBv3）的域控制器上进行这些更改时，请小心，要求访问 SYSVOL 或正在禁用 SMB v1 的其他文件共享。

### 通过组策略禁用 SMBv1 客户端 ###

若要禁用 SMBv1 客户端，需要更新服务注册表项以禁用**MRxSMB10**的启动，然后需要从**LanmanWorkstation**条目中删除对**MRxSMB10**的依赖项，以便它能够正常启动，而无需首先启动**MRxSMB10** 。

这将更新并替换注册表中以下2项中的默认值：

**HKEY\_LOCAL\_MACHINE \\SYSTEM\\CurrentControlSet\\services\\mrxsmb10**

注册表项：**开始**REG\_DWORD： **4**= 已禁用

**HKEY\_LOCAL\_MACHINE \\SYSTEM\\CurrentControlSet\\Services\\LanmanWorkstation**

注册表项： **DependOnService** REG\_MULTI\_SZ： **"Bowser"、"MRxSmb20"、"NSI"**

备注

默认已包含的 MRxSMB10，现已删除为依赖项。

若要使用组策略进行配置，请执行以下步骤：

#### 摘要 ####

如果所有设置都在相同的组策略对象（GPO）中，组策略管理将显示以下设置。

![组策略管理编辑器注册表][format_png 1]

#### 测试和验证 ####

配置这些配置后，允许对策略进行复制和更新。 如有必要，请在命令提示符下运行**gpupdate/force** ，然后查看目标计算机以确保正确应用注册表设置。 请确保 SMB v2 和 SMB v3 在环境中的所有其他系统上正常工作。

备注

请勿忘记重新启动目标系统。

*  请求复合-允许将多个 SMB 2 请求作为单个网络请求发送
 *  更大的读写，更好地使用更快的网络
 *  文件夹和文件属性的缓存-客户端保留文件夹和文件的本地副本
 *  持久句柄-如果有临时断开连接，则允许连接以透明方式重新连接到服务器
 *  改进的消息签名-HMAC SHA-256 将 MD5 替换为哈希算法
 *  文件共享的可伸缩性改进-每个服务器的用户、共享和打开文件的数量大大增加
 *  支持符号链接
 *  客户端 oplock 租赁模式-限制在客户端与服务器之间传输的数据，提高高延迟网络的性能并提高 SMB 服务器的可伸缩性
 *  大 MTU 支持-完全使用 10-gigabye （GB）以太网
 *  提高了能效-已向服务器打开文件的客户端可以进入睡眠状态
 *  透明故障转移-客户端在维护或故障转移过程中重新连接而不中断群集节点
 *  Scale Out –对所有文件群集节点上的共享数据进行并发访问
 *  多通道-如果客户端和服务器之间有多个路径，则聚合网络带宽和容错
 *  SMB Direct –为非常高的性能增加了 RDMA 网络支持，并提供低延迟和低 CPU 使用率
 *  加密–提供端对端加密并防止在不受信任的网络上窃听
 *  目录租用-通过缓存改善分支机构中的应用程序响应时间
 *  性能优化-优化小型随机读/写 i/o
 *  察觉
    
    PowerShell复制
    
        Get-WindowsFeature FS-SMB1
 *  禁用
    
    PowerShell复制
    
        Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
 *  启用：
    
    PowerShell复制
    
        Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol
 *  察觉
    
    PowerShell复制
    
        Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol
 *  禁用
    
    PowerShell复制
    
        Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
 *  启用：
    
    PowerShell复制
    
        Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
 *  察觉
    
    PowerShell复制
    
        Get-SmbServerConfiguration | Select EnableSMB2Protocol
 *  禁用
    
    PowerShell复制
    
        Set-SmbServerConfiguration –EnableSMB2Protocol $false
 *  启用：
    
    PowerShell复制
    
        Set-SmbServerConfiguration –EnableSMB2Protocol $true
 *  察觉
    
    PowerShell复制
    
        Get-SmbServerConfiguration | Select EnableSMB1Protocol
 *  禁用
    
    PowerShell复制
    
        Set-SmbServerConfiguration -EnableSMB1Protocol $false
 *  启用：
    
    PowerShell复制
    
        Set-SmbServerConfiguration -EnableSMB1Protocol $true
 *  察觉
    
    PowerShell复制
    
        Get-SmbServerConfiguration | Select EnableSMB2Protocol
 *  禁用
    
    PowerShell复制
    
        Set-SmbServerConfiguration -EnableSMB2Protocol $false
 *  启用：
    
    PowerShell复制
    
        Set-SmbServerConfiguration -EnableSMB2Protocol $true
 *  Detect
    
    cmd复制
    
        sc.exe qc lanmanworkstation
 *  禁用
    
    cmd复制
    
        sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
        sc.exe config mrxsmb10 start= disabled
 *  启用：
    
    cmd复制
    
        sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
        sc.exe config mrxsmb10 start= auto
 *  察觉
    
    cmd复制
    
        sc.exe qc lanmanworkstation
 *  禁用
    
    cmd复制
    
        sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
        sc.exe config mrxsmb20 start= disabled
 *  启用：
    
    cmd复制
    
        sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
        sc.exe config mrxsmb20 start= auto
 *  你必须在提升的命令提示符下运行这些命令。
 *  进行这些更改之后，必须重新启动计算机。
 *  注册表项： **SMB1**
 *  REG\_DWORD： **0** = 已禁用

*  **操作**：创建
 *  **Hive**： HKEY\_LOCAL\_MACHINE
 *  **密钥路径**： SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
 *  **值名称**： SMB1
 *  **值类型**： REG\_DWORD
 *  **值数据**：0

1.  打开“组策略管理控制台”\*\*\*\*。 右键单击应该包含新首选项的组策略对象 (GPO)，然后单击 **“编辑”**。
2.  在控制台树中的 "**计算机配置**" 下，展开 "**首选项**" 文件夹，然后展开 " **Windows 设置**" 文件夹。
3.  右键单击 "**注册表**" 节点，指向 "**新建**"，然后选择 "**注册表项**"。
4.  在 "**新建注册表属性**" 对话框中，选择以下项：
    
    ![启动属性-常规][- 2]
    
     *  **操作**：更新
     *  **Hive**： HKEY\_LOCAL\_MACHINE
     *  **密钥路径**： SYSTEM\\CurrentControlSet\\services\\mrxsmb10
     *  **值名称**： Start
     *  **值类型**： REG\_DWORD
     *  **值数据**：4
5.  然后删除刚刚禁用的**MRxSMB10**的依赖项。
    
    在 "**新建注册表属性**" 对话框中，选择以下项：
    
    备注
    
    这三个字符串不包含项目符号（请参阅下面的屏幕截图）。
    
    ![DependOnService 属性][DependOnService]
    
    在许多版本的 Windows 中，默认值都包含**MRxSMB10** ，因此通过使用此多值字符串替换它们，这实际上是将**MRxSMB10**删除为**LanmanServer**的依赖项，并从四个默认值向下转到上述三个值。
    
    备注
    
    使用组策略管理控制台时，不必使用引号或逗号。 只需在单独的行中键入每个条目。
    
     *  **操作**：替换
     *  **Hive**： HKEY\_LOCAL\_MACHINE
     *  **密钥路径**： SYSTEM\\CurrentControlSet\\Services\\LanmanWorkstation
     *  **值名称**： DependOnService
     *  **值类型**： REG\_MULTI\_SZ
     *  **值数据**：
        
         *  Bowser
         *  MRxSmb20
         *  NSI
6.  重新启动目标系统以完成 SMB v1 的禁用。

[Link 1]: https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831795%28v=ws.11%29
[SMB]: https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/ff625695%28v=ws.10%29
[-]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9kb2NzLm1pY3Jvc29mdC5jb20vemgtY24vd2luZG93cy1zZXJ2ZXIvc3RvcmFnZS9maWxlLXNlcnZlci90cm91Ymxlc2hvb3QvbWVkaWEvZGV0ZWN0LWVuYWJsZS1hbmQtZGlzYWJsZS1zbWJ2MS12Mi12My0xLnBuZw?x-oss-process=image/format,png
[format_png]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9kb2NzLm1pY3Jvc29mdC5jb20vemgtY24vd2luZG93cy1zZXJ2ZXIvc3RvcmFnZS9maWxlLXNlcnZlci90cm91Ymxlc2hvb3QvbWVkaWEvZGV0ZWN0LWVuYWJsZS1hbmQtZGlzYWJsZS1zbWJ2MS12Mi12My0yLnBuZw?x-oss-process=image/format,png
[Microsoft]: https://techcommunity.microsoft.com/t5/Storage-at-Microsoft/Stop-using-SMB1/ba-p/425858
[Microsoft 1]: https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
[Link 2]: https://support.microsoft.com/help/322756
[- 1]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9kb2NzLm1pY3Jvc29mdC5jb20vemgtY24vd2luZG93cy1zZXJ2ZXIvc3RvcmFnZS9maWxlLXNlcnZlci90cm91Ymxlc2hvb3QvbWVkaWEvZGV0ZWN0LWVuYWJsZS1hbmQtZGlzYWJsZS1zbWJ2MS12Mi12My00LnBuZw?x-oss-process=image/format,png
[WMI]: https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc947846%28v=ws.10%29
[format_png 1]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9kb2NzLm1pY3Jvc29mdC5jb20vemgtY24vd2luZG93cy1zZXJ2ZXIvc3RvcmFnZS9maWxlLXNlcnZlci90cm91Ymxlc2hvb3QvbWVkaWEvZGV0ZWN0LWVuYWJsZS1hbmQtZGlzYWJsZS1zbWJ2MS12Mi12My03LnBuZw?x-oss-process=image/format,png
[-New-Registry]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9kb2NzLm1pY3Jvc29mdC5jb20vemgtY24vd2luZG93cy1zZXJ2ZXIvc3RvcmFnZS9maWxlLXNlcnZlci90cm91Ymxlc2hvb3QvbWVkaWEvZGV0ZWN0LWVuYWJsZS1hbmQtZGlzYWJsZS1zbWJ2MS12Mi12My0zLnBuZw?x-oss-process=image/format,png
[- 2]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9kb2NzLm1pY3Jvc29mdC5jb20vemgtY24vd2luZG93cy1zZXJ2ZXIvc3RvcmFnZS9maWxlLXNlcnZlci90cm91Ymxlc2hvb3QvbWVkaWEvZGV0ZWN0LWVuYWJsZS1hbmQtZGlzYWJsZS1zbWJ2MS12Mi12My01LnBuZw?x-oss-process=image/format,png
[DependOnService]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly9kb2NzLm1pY3Jvc29mdC5jb20vemgtY24vd2luZG93cy1zZXJ2ZXIvc3RvcmFnZS9maWxlLXNlcnZlci90cm91Ymxlc2hvb3QvbWVkaWEvZGV0ZWN0LWVuYWJsZS1hbmQtZGlzYWJsZS1zbWJ2MS12Mi12My02LnBuZw?x-oss-process=image/format,png