Forrás

Az SMBv1, az SMBv2 és az SMBv3 észlelése, engedélyezése és letiltása Windows és Windows Server rendszereken

A következőkre vonatkozik: Windows 10 Pro released in July 2015Windows Vista EnterpriseWindows Vista Business Részletek megjelenítése

Összefoglalás

Ez a cikk azt írja le, hogyan lehet engedélyezni és letiltani az SMB protokoll 1-es (SMBv1), 2-es (SMBv2) és 3-as (SMBv3) verzióját az SMB ügyfél- és kiszolgálói összetevőjén. 
 

A Windows 7 és a Windows Server 2008 R2 rendszerben az SMBv2 letiltása deaktiválja a következő funkciókat:

• Kérelmek összevonása – ez a funkció lehetővé teszi több SMB 2 kérelem egyetlen hálózati kérelemként való elküldését
• Nagyobb olvasások és írások – a gyorsabb hálózatok jobb kihasználása
• Mappa- és fájltulajdonságok gyorsítótárazása – az ügyfelek helyi másolatot tárolnak a mappákból és fájlokból
• Tartós leírók – lehetővé teszi, hogy a kiszolgálóval való megszakadt kapcsolat transzparens módon helyreálljon
• Fejlett üzenet-aláírás – az MD5 helyett a HMAC SHA-256 a kivonatoló algoritmus
• Jobb méretezhetőség a fájlmegosztáshoz – kiszolgálónként jóval több felhasználó, megosztás és megnyitott fájl kezelhető
• Szimbolikus hivatkozások támogatása
• Megnyitás-zárolás bérbeadási modellje az ügyfélnél – korlátozza az ügyfél és a kiszolgáló között átvitt adatok mennyiségét, amely javítja a nagy késleltetésű hálózatok teljesítményét, illetve az SMB-kiszolgáló méretezhetőségét
• Nagy méretű MTU-k támogatása – a 10 gigabites (GB) Ethernet-kapcsolatok jobb kihasználása érdekében
• Jobb energiahatékonyság – a kiszolgáló felé nyitott fájlokkal rendelkező ügyfelek alvó üzemmódba kapcsolhatnak

Windows 8, Windows 8.1, Windows 10, Windows Server 2012 és Windows Server 2016 rendszereken az SMBv3 letiltása deaktiválja a következő funkciókat (a fenti listában szereplő SMBv2-funkciókon felül):

• Transzparens feladatátvétel – az ügyfelek kiesés nélkül tudnak csatlakozni a fürtcsomópontokhoz a karbantartás vagy a feladatátvétel időtartama alatt
• Horizontális felskálázás – egyidejű hozzáférés az összes fájlfürtcsomópontban tárolt megosztott adathoz 
• Több csatorna – a hálózati sávszélesség és hibatűrés összesítése, ha az ügyfél és a kiszolgáló között több útvonal is elérhető
• SMB Direct – lehetővé teszi az RDMA hálózatkezelés támogatását, amely rendkívül nagy teljesítményt, kis késleltetést és kis processzorterhelést biztosít
• Titkosítás – végpontok közötti titkosítást biztosít, és nem megbízható hálózatokon is védelmet nyújt a lehallgatással szemben
• Mappabérlés – gyorsítótárazás segítségével javítja az alkalmazások válaszidejét a fiókirodákban
• Teljesítményoptimalizálás – a kis méretű, véletlenszerű írási/olvasási I/O-műveletek optimalizálása

További információ

Az SMBv2 protokoll a Windows Vista és a Windows Server 2008 rendszerekben jelent meg először.

Az SMBv3 protokoll a Windows 8 és a Windows Server 2012 rendszerekben jelent meg először.

Az SMBv2 és az SMBv3 protokoll funkcióival kapcsolatos további információkért keresse fel a következő Microsoft TechNet webhelyeket:
 
SMB protokoll – áttekintés

What’s New in SMB (Az SMB újdonságai)

Az SMB v1 szabályos eltávolítása Windows 8.1, Windows 10, Windows 2012 R2 és Windows Server 2016 rendszeren

Windows Server 2012 R2 és 2016: PowerShell-módszerek

SMB v1

SMB v2/v3

Windows Server 2012 R2 és Windows Server 2016: Kiszolgálókezelői módszer az SMB letiltására

SMB v1

Windows 8.1 és Windows 10: PowerShell-módszer

SMB v1 protokoll

SMB v2/v3protokoll

Windows 8.1 és Windows 10: Programok telepítése és törlése módszer

Az SMB protokollok állapotának észlelése, engedélyezése és letiltása az SMB-kiszolgálón

Windows 8 és Windows Server 2012

A Windows 8 és a Windows Server 2012 rendszerbe bekerült az új Set-SMBServerConfiguration Windows PowerShell-parancsmag. Ez a parancsmag lehetővé teszi az SMBv1, SMBv2 és SMBv3 protokoll engedélyezését és letiltását a kiszolgálói összetevőn. 

Megjegyzés

Ha Windows 8 vagy Windows Server 2012 rendszeren engedélyezi vagy letiltja az SMBv2 protokollt, a rendszer az SMBv3 protokollt is engedélyezi vagy letiltja. Ez azért történik, mivel a két protokoll ugyanazt a vermet használja.

A Set-SMBServerConfiguration parancsmag futtatása után nem szükséges újraindítani a számítógépet.

SMB v1 az SMB-kiszolgálón

További információkért lásd: Server storage at Microsoft (Kiszolgálói tárhely a Microsoftnál).

SMB v2/v3 az SMB-kiszolgálón

Windows 7, Windows Server 2008 R2, Windows Vista és Windows Server 2008

Ha egy Windows 7, Windows Server 2008 R2, Windows Vista vagy Windows Server 2008 rendszerrel futó SMB-kiszolgálón szeretné engedélyezni vagy letiltani az SMB protokollokat, használja a Windows PowerShellt vagy a Beállításszerkesztőt.

PowerShell-módszerek

Megjegyzés

Ehhez a módszerhez a PowerShell 2.0 vagy újabb verzió szükséges.

SMB v1 az SMB-kiszolgálón

Észlelés:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Alapértelmezett konfiguráció = Engedélyezve (A rendszer nem hoz létre beállításkulcsot), így nem fog SMB1 értéket visszakapni

Letiltás:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Engedélyezés:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force

Megjegyzés: A módosítások elvégzését követően indítsa újra a számítógépet.

További információkért lásd: Server storage at Microsoft (Kiszolgálói tárhely a Microsoftnál).

SMB v2/v3 az SMB-kiszolgálón

Észlelés:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Letiltás:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force

Engedélyezés:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

Megjegyzés: A módosítások elvégzését követően indítsa újra a számítógépet.

Beállításszerkesztő

Fontos: Ebben a cikkben a beállításjegyzék módosításával kapcsolatos tudnivalók olvashatók. A módosítás előtt készítsen biztonsági másolatot a beállításjegyzékről, Győződjön meg arról, hogy tisztában van a beállításjegyzék visszaállításának módjával, ha valamilyen probléma merül fel. A Microsoft Tudásbázis következő számú cikkében bővebben olvashat a beállításjegyzék biztonsági mentéséről, visszaállításáról, illetve módosításáról; a cikk megnyitásához kattintson a sorszámra:
322756: A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben

Ha szeretné engedélyezni vagy letiltani az SMBv1 protokollt az SMB-kiszolgálón, állítsa be a következő beállításkulcsot:
Beállításalkulcs: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Beállításjegyzékbeli bejegyzés: SMB1
REG_DWORD: 0 = Letiltva
REG_DWORD: 1 = Engedélyezve
Alapértelmezett érték: 1 = Engedélyezve (Nincs létrehozva beállításkulcs)

Ha szeretné engedélyezni vagy letiltani az SMBv2 protokollt az SMB-kiszolgálón, állítsa be a következő beállításkulcsot:
Beállításalkulcs:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Beállításjegyzékbeli bejegyzés: SMB2
REG_DWORD: 0 = Letiltva
REG_DWORD: 1 = Engedélyezve
Alapértelmezett érték: 1 = Engedélyezve (Nincs létrehozva beállításkulcs)

Megjegyzés: A módosítások elvégzését követően indítsa újra a számítógépet.

Az SMB protokollok állapotának észlelése, engedélyezése és letiltása az SMB-ügyfélen

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 és Windows Server 2012

Megjegyzés: Ha Windows 8 vagy Windows Server 2012 rendszeren engedélyezi/letiltja az SMBv2 protokollt, a rendszer az SMBv3 protokollt is engedélyezi/letiltja. Ez azért történik, mivel a két protokoll ugyanazt a vermet használja.

SMB v1 az SMB-kiszolgálón

További információkért lásd: Server storage at Microsoft (Kiszolgálói tárhely a Microsoftnál)

SMB v2/v3 az SMB-kiszolgálón

Megjegyzések

• A parancsokat rendszergazdai jogú parancssorból kell kiadnia.
• A módosítások elvégzését követően indítsa újra a számítógépet.

SMBv1 kiszolgáló letiltása csoportszabályzattal

Ehhez a következő új bejegyzésre van szükség a beállításjegyzékben:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Beállításjegyzékbeli bejegyzés: SMB1 REG_DWORD: 0 = Letiltva

Konfigurálás csoportházirenddel:

1. Nyissa meg a Csoportházirend-kezelő konzol menüt. Kattintson jobb gombbal arra a csoportházirend-objektumra (GPO-ra), amelynek tartalmaznia kell az új beállítási elemet, majd kattintson a Szerkesztés gombra.
2. A konzolfában, a Számítógép konfigurációja résznél bontsa ki a Beállítások mappát, majd a Windowsos beállítások mappát.
3. Kattintson jobb gombbal a Beállításjegyzék csomópontra, mutasson az Új elemre, majd válassza ki a Beállításjegyzék-elem lehetőséget.
   

Az Új beállításjegyzék tulajdonságai párbeszédpanelen válassza ki a következőt:

• Művelet: Létrehozás
• Struktúra: HKEY_LOCAL_MACHINE
• Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Azonosítónév: SMB1
• Értéktípus: REG_DWORD
• Érték: 0
  
  

Ezzel letiltja az SMBv1 kiszolgálói összetevőit. Ezt a csoportházirendet a tartományban lévő összes érintett munkaállomásra, kiszolgálóra és tartományvezérlőre alkalmazni kell.

Megjegyzés WMI-szűrőket is beállíthat, ha szeretné kizárni a műveletből a nem támogatott operációs rendszereket vagy a kiválasztott kizárásokat, mint például a Windows XP-t. 

Figyelmeztetés

Legyen óvatos, ha olyan tartományvezérlőn végzi el ezeket a módosításokat, amelyeken régebbi Windows XP vagy Linux, illetve külső fejlesztőktől származó rendszerek (amelyek nem támogatják az SMBv2 vagy az SMBv3 protokollt) hozzáférést igényelnek a SYSVOL-hoz, illetve más fájlmegosztásokon, ahol az SMBv1 le van tiltva.

SMBv1 ügyfél letiltása csoportszabályzattal

Az SMBv1 ügyfél letiltásához módosítani kell a szolgáltatások beállításkulcsát, hogy az ne engedélyezze az MRxSMB10 elindulását, majd el kell távolítani a LanmanWorkstation bejegyzésből az MRxSMB10 függőséget, hogy az az MRxSMB10 elindulása nélkül is futni tudjon.

Ezzel a két alábbi beállításjegyzékbeli bejegyzés alapértelmezett módosításait fogja frissíteni és kicserélni:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Beállításjegyzékbeli bejegyzés: Start REG_DWORD: 4 = Letiltva

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Beállításjegyzékbeli bejegyzés: DependOnService REG_MULTI_SZ: „Bowser”, „MRxSmb20″, „NSI”

Megjegyzés Az alapértelmezés tartalmazta az MRxSMB10 részt, amelyet most eltávolítottunk a függőségek közül.

Konfigurálás csoportházirenddel:

1. Nyissa meg a Csoportházirend-kezelő konzol menüt. Kattintson jobb gombbal arra a csoportházirend-objektumra (GPO-ra), amelynek tartalmaznia kell az új beállítási elemet, majd kattintson a Szerkesztés gombra.
2. A konzolfában, a Számítógép konfigurációja résznél bontsa ki a Beállítások mappát, majd a Windowsos beállítások mappát.
3. Kattintson jobb gombbal a Beállításjegyzék csomópontra, mutasson az Új elemre, majd válassza ki a Beállításjegyzék-elem lehetőséget.
   
   

Az Új beállításjegyzék tulajdonságai párbeszédpanelen válassza ki a következőt:

• Művelet: Frissítés
• Struktúra: HKEY_LOCAL_MACHINE
• Kulcs elérési útja: SYSTEM\CurrentControlSet\services\mrxsmb10
• Azonosítónév: Start
• Értéktípus: REG_DWORD
• Érték: 4
  
  

Ezt követően távolítsa el a korábban letiltott MRxSMB10 részt.

Az Új beállításjegyzék tulajdonságai párbeszédpanelen válassza ki a következőt:

• Művelet: Csere
• Struktúra: HKEY_LOCAL_MACHINE
• Kulcs elérési útja: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
• Azonosítónév: DependOnService
• Érték típusa: REG_MULTI_SZ
• Érték:
  • Bowser
  • MRxSmb20
  • NSI

Megjegyzés: Ez a három karakterlánc nem fog golyót tartalmazni (lásd a következő képernyőképet).

Az alapértelmezett érték a Windows számos verziójában tartalmazza az MRxSMB10 részt. Azzal, hogy ezt erre a többértékes karaktersorra cseréjük, eltávolítjuk az MRxSMB10 függőséget a LanmanServer bejegyzésről, és a négy alapértelmezett értéket a fenti három értékre csökkentjük.

Megjegyzés:  A csoportházirend-kezelő konzol használatakor nem kell idézőjelet vagy vesszőt használni. Egyszerűen írja be az egyes bejegyzéseket egy-egy sorba.

Újraindítás szükséges

A házirend alkalmazását és a beállításjegyzék beállítását követően a célzott rendszereket újra kell indítani, hogy az SMBv1 protokollt le lehessen tiltani.

Összefoglalás

Ha az összes beállítás ugyanahhoz a csoportházirend-objektumhoz (GPO-hoz) tartozik, a Csoportházirend-kezelő a következő beállításokat jeleníti meg.

Tesztelés és ellenőrzés

Ha elvégezte a fenti beállításokat, engedélyezze a házirendnek a replikálást és a frissítést. Ha tesztelés szükséges, futtassa a gpupdate /force parancsot egy CMD.EXE parancssorból, majd ellenőrizze a célzott gépeken, hogy megfelelően alkalmazta-e a beállításjegyzék beállításait. Ellenőrizze, hogy az SMB v2 és az SMB v3 működik-e a környezet többi rendszerén.