ЯК УВІМКНУТИ / ВИМКНУТИ SMBV1, SMBV2 ТА SMBV3 У WINDOWS ТА WINDOWS SERVER – ПОСІБНИК ІЗ РОЗГОРТАННЯ БЕЗПЕКИ

Складання запитів – дозволяє надсилати кілька запитів SMB 2 як єдиний мережевий запит
Більше читання та запис – краще використання швидших мереж
Кешування властивостей папок і файлів – клієнти зберігають локальні копії папок і файлів
Міцні ручки – дозволяють підключення для прозорого повторного підключення до сервера, якщо є тимчасове відключення
Покращене підписання повідомлень – HMAC SHA-256 замінює MD5 як алгоритм хешування
Покращена масштабованість спільного використання файлів – кількість користувачів, спільних ресурсів та відкритих файлів на сервері значно зросла
Підтримка символічних посилань
Модель оренди клієнтського блокування – обмежує дані, що передаються між клієнтом та сервером, покращуючи продуктивність в мережах із високою затримкою та збільшуючи масштабованість SMB
Велика підтримка MTU – для повного використання 10-гігабайтного (ГБ) Ethernet
Покращена енергоефективність – клієнти, які мають відкриті файли на сервері, можуть спати

Вимкнення SMBv3

У Windows 8, Windows 8.1, Windows 10, Windows Server 2012 та Windows Server 2016 відключення SMBv3 деактивує наступну функціональність (а також функціональність SMBv2, описану в попередньому списку):

Transparent Failover – клієнти підключаються без перерви до вузлів кластера під час технічного обслуговування чи відмови
Scale Out – одночасний доступ до спільних даних на всіх вузлах кластера файлів
Багатоканальне – агрегування пропускної здатності мережі та стійкості до відмов, якщо між клієнтом та сервером доступні кілька шляхів
SMB Direct – додає мережеву підтримку RDMA для дуже високої продуктивності, з низькою затримкою та низьким використанням процесора
Шифрування – забезпечує наскрізне шифрування та захищає від прослуховування ненадійних мереж
Оренда каталогів – покращує час відгуку додатків у філіях за допомогою кешування
Оптимізація продуктивності – оптимізація для невеликих випадкових входів / виходів для читання / запису

Як увімкнути та вимкнути протоколи SMB на сервері SMB

Для Windows 8 та Windows Server 2012

Windows 8 і Windows Server 2012 представляють новий командлет Windows PowerShell Set-SMBServerConfiguration. Командлет дозволяє вмикати або вимикати протоколи SMBv1, SMBv2 та SMBv3 на серверному компоненті.

Примітка. Коли ви вмикаєте або вимикаєте SMBv2 у Windows 8 або Windows Server 2012, SMBv3 також увімкнено або вимкнено. Така поведінка відбувається, оскільки ці протоколи мають однаковий стек.

Командлет Set-SMBServerConfiguration

Після запуску командлета Set-SMBServerConfiguration не потрібно перезавантажувати комп’ютер.

Щоб отримати поточний статус конфігурації протоколу сервера SMB, запустіть такий командлет:
```
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
```
Щоб вимкнути SMBv1 на сервері SMB, запустіть такий командлет:
```
Set-SmbServerConfiguration -EnableSMB1Protocol $false
```
Щоб вимкнути SMBv2 та SMBv3 на сервері SMB, запустіть такі командні команди:
```
Set-SmbServerConfiguration -EnableSMB2Protocol $false
```
Щоб увімкнути SMBv1 на сервері SMB, запустіть такий командлет:
```
Set-SmbServerConfiguration -EnableSMB1Protocol $true
```
Щоб увімкнути SMBv2 та SMBv3 на сервері SMB, запустіть такий командлет:
```
Set-SmbServerConfiguration -EnableSMB2Protocol $true
```

Для Windows 7, Windows Server 2008 R2, Windows Vista та Windows Server 2008

Щоб увімкнути або вимкнути протоколи SMB на сервері SMB, який працює під керуванням Windows 7, Windows Server 2008 R2, Windows Vista або Windows Server 2008, використовуйте Windows PowerShell або редактор реєстру.

Методи PowerShell

Примітка: Цей метод вимагає PowerShell 2.0 або пізнішої версії PowerShell.

Щоб вимкнути SMBv1 на сервері SMB, запустіть такий командлет:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 0 -Force

Щоб вимкнути SMBv2 та SMBv3 на сервері SMB, запустіть такі командні команди:
```
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 0 -Force
```

Щоб увімкнути SMBv1 на сервері SMB, запустіть такий командлет:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 1 -Force

Щоб увімкнути SMBv2 та SMBv3 на сервері SMB, запустіть такий командлет:
```
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 1 -Force
```

Примітка. Після внесення цих змін потрібно перезавантажити комп’ютер.

Редактор реєстру

Примітка: Цей наступний вміст містить інформацію про те, як змінити реєстр. Обов’язково створіть резервну копію реєстру, перш ніж змінювати його. Переконайтеся, що ви знаєте, як відновити реєстр, якщо виникає проблема. Щоб отримати додаткові відомості про створення резервної копії, відновлення та модифікації реєстру, див. Розділ Як створити резервну копію та відновити реєстр у Windows.

Щоб увімкнути або вимкнути SMBv1 на сервері SMB, налаштуйте такий ключ реєстру:
- Підрозділ реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Запис у реєстрі: SMB1
- REG_DWORD: 0 = Вимкнено
- REG_DWORD: 1 = Увімкнено
- За замовчуванням: 1 = увімкнено (ключ реєстру не створений)
Щоб увімкнути або вимкнути SMBv2 на сервері SMB, налаштуйте такий ключ реєстру:
- Підрозділ реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Запис у реєстрі: SMB2
- REG_DWORD: 0 = Вимкнено
- REG_DWORD: 1 = Увімкнено
- За замовчуванням: 1 = увімкнено (ключ реєстру не створений)

Примітка: Після внесення цих змін потрібно перезавантажити комп’ютер

Як увімкнути та вимкнути протоколи SMB на клієнті SMB

Для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 і Windows Server 2012

Щоб вимкнути SMBv1 на клієнті SMB, виконайте таку команду:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi 
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled

Щоб увімкнути SMBv1 на клієнті SMB, виконайте таку команду:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto

Щоб вимкнути SMBv2 та SMBv3 на клієнті SMB, виконайте таку команду:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi 
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled

Щоб увімкнути SMBv2 та SMBv3 на клієнті SMB, виконайте таку команду:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto

Примітка :

Ви повинні запускати ці команди у командному рядку з підвищеним рівнем.
Після внесення цих змін потрібно перезавантажити комп’ютер.

Вимкніть сервер SMBv1 за допомогою групової політики

Це налаштовує такий новий елемент у реєстрі

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Запис реєстру: SMB1 REG_DWORD: 0 = Вимкнено

Процедура

Щоб налаштувати це за допомогою групової політики:

Відкрийте консоль керування груповою політикою. Клацніть правою кнопкою миші об’єкт групової політики (GPO), який повинен містити новий елемент налаштувань, а потім натисніть Редагувати.
У дереві консолі в розділі «Конфігурація комп’ютера» розгорніть папку «Налаштування», а потім розгорніть папку «Параметри Windows».
Клацніть правою кнопкою миші вузол реєстру, наведіть курсор на Створити та виберіть пункт Реєстр.
У діалоговому вікні Нові властивості реєстру виберіть наступне:
- Дія: Створити
- Вулик: HKEY_LOCAL_MACHINE
- Ключовий шлях: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Parameters
- Назва значення: SMB1
- Тип значення: REG_DWORD
- Дані про значення: 0
Це вимикає компоненти сервера SMBv1. Ця групова політика повинна застосовуватися до всіх необхідних робочих станцій, серверів та контролерів домену в домені.

Примітка. Будьте обережні, роблячи ці зміни на контролерах доменів, коли застарілі Windows XP або старіші Linux та сторонні системи (які не підтримують SMBv2 або SMBv3) вимагають доступу до SYSVOL або інших спільних файлів, де SMB v1 відключений.

Вимкніть клієнта SMBv1 за допомогою групової політики

Щоб вимкнути клієнт SMBv1, ключ реєстру служб потрібно оновити, щоб вимкнути запуск MRxSMB10, а потім залежність від MRxSMB10 потрібно видалити із запису LanmanWorkstation, щоб він міг нормально запускатися, не вимагаючи MRxSMB10 для першого запуску.

Це оновлює та замінює значення за замовчуванням у наступних 2 елементах реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10Запис у реєстрі: Почати Start REG_DWORD: 4 = Disabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstationЗапис реєстру: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”

Примітка: За замовчуванням включено MRxSMB10, який тепер вилучено як залежність

Процедура

Щоб налаштувати це за допомогою групової політики:

Відкрийте консоль керування груповою політикою. Клацніть правою кнопкою миші об’єкт групової політики (GPO), який повинен містити новий елемент налаштувань, а потім натисніть Редагувати.
У дереві консолі в розділі «Конфігурація комп’ютера» розгорніть папку «Налаштування», а потім розгорніть папку «Параметри Windows».
Клацніть правою кнопкою миші вузол реєстру, наведіть курсор на Створити та виберіть пункт Реєстр.
У діалоговому вікні Нові властивості реєстру виберіть наступне:
- Дія: оновлення
- Вулик: HKEY_LOCAL_MACHINE
- Ключовий шлях: SYSTEM\CurrentControlSet\services\mrxsmb10
- Назва значення: Пуск
- Тип значення: REG_DWORD
- Дані про значення: 4
Потім видаліть залежність від MRxSMB10, яку щойно вимкнули
У діалоговому вікні Нові властивості реєстру виберіть наступне:
- Дія: Замінити
- Вулик: HKEY_LOCAL_MACHINE
- Ключовий шлях: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
- Назва значення: DependOnService
- Тип значення REG_MULTI_SZ
- Дані про значення:
  Примітка: Ці 3 рядки не мають маркерів (див. Нижче)

Значення за замовчуванням включає MRxSMB10 у багатьох версіях Windows, тому, замінивши їх цим багатозначним рядком, фактично видаляється MRxSMB10 як залежність для LanmanServer і переходить від чотирьох значень за замовчуванням до лише цих трьох попередніх значень.

Примітка. При використанні консолі керування груповою політикою немає необхідності використовувати лапки або коми. Просто введіть кожен запис в окремих рядках, як показано вище.

Вимога перезапуску

Після того, як політика буде застосована та параметри реєстру будуть застосовані, вам доведеться перезапустити систему до вимкнення SMB v1.

Резюме

Якщо всі параметри знаходяться в одному об’єкті групової політики (GPO), керування груповою політикою відображає налаштування нижче.

Тестування та перевірка

Після їх налаштування дозвольте політиці копіювати та оновлювати. За необхідності для тестування запустіть gpupdate / force із CMD.EXEзапиту, а потім перегляньте цільові машини, щоб переконатися, що параметри реєстру застосовуються правильно. Переконайтесь, що SMB v2 та SMB v3 функціонують для всіх інших систем у середовищі.

Примітка: Ви повинні перезапустити цільові системи.

Як витончено видалити SMB v1 у Windows 8.1, Windows 10, Windows 2012 R2 та Windows Server 2016

Windows Server 2012 R2 та Windows Server 2016: метод диспетчера серверів для вимкнення SMB

Windows Server 2012 R2 & 2016: методи PowerShell (Remove-WindowsFeature FS-SMB1)

Windows 8.1 та Windows 10: метод додавання та видалення програм

Windows 8.1 та Windows 10: метод Powershell (Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol)

Джерело записи: https://www.alibabacloud.com