Windows服務(wù)器如何啟用/禁用SMBv1、SMBv2和SMBv3

這篇文章主要講解了“Windows服務(wù)器如何啟用/禁用SMBv1、SMBv2和SMBv3”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“Windows服務(wù)器如何啟用/禁用SMBv1、SMBv2和SMBv3”吧！

禁用 smbv2 和 smbv3 的影響

我們建議不要禁用 smbv2 或 smbv3。禁用 smbv2 或 smbv3 只能作為臨時故障排除措施。請勿使 smbv2 或 smbv3 保持禁用狀態(tài)。

禁用 smbv2 的影響

在 windows 7 和 windows server 2008 r2 中，禁用 smbv2 會停用以下功能：

• 請求復(fù)合 - 允許發(fā)送多個 smb 2 請求作為單個網(wǎng)絡(luò)請求

• 大型讀寫 - 更好地利用更快速的網(wǎng)絡(luò)

• 文件夾和文件屬性緩存 - 客戶端保留文件夾和文件的本地副本

• 持久句柄 - 如果臨時斷開連接，則允許連接以透明方式重新連接到服務(wù)器

• 改進(jìn)的消息簽名 - hmac sha-256 代替 md5 作為哈希算法

• 改進(jìn)的文件共享擴(kuò)展性 - 每個服務(wù)器的用戶數(shù)量、共享數(shù)量和打開文件數(shù)量大大增加

• 支持符號鏈接

• 客戶端 oplock 租賃模式 - 限制在客戶端和服務(wù)器之間傳輸?shù)臄?shù)據(jù)，從而提高高延遲網(wǎng)絡(luò)性能并增強(qiáng) smb 服務(wù)器的擴(kuò)展性

• 大型 mtu 支持 - 可充分利用 10 千兆字節(jié) (gb) 以太網(wǎng)

• 改進(jìn)的能效 - 向服務(wù)器打開文件的客戶端可以睡眠

禁用 smbv3 的影響

在 windows 8、windows 8.1、windows 10、windows server 2012 和 windows server 2016 中，禁用 smbv3 會停用以下功能（以及以上列表中所述的 smbv2 功能）：

• 透明故障轉(zhuǎn)移 - 在維護(hù)或故障轉(zhuǎn)移期間，客戶端會重新連接，不會干擾群集節(jié)點(diǎn)

• 擴(kuò)展 – 并發(fā)訪問所有文件群集節(jié)點(diǎn)上的共享數(shù)據(jù)

• 多通道 - 如果客戶端和服務(wù)器之間有多個路徑可用時，則聚合網(wǎng)絡(luò)帶寬和容錯

• smb 直通 – 增加 rdma 網(wǎng)絡(luò)支持，實現(xiàn)極高的性能、低延遲和低 cpu 利用率

• 加密 – 提供端到端加密，并防止不可靠網(wǎng)絡(luò)上的竊聽

• 目錄租賃 - 通過緩存改進(jìn)分支機(jī)構(gòu)中應(yīng)用程序的響應(yīng)時間

• 性能優(yōu)化 - 對小型隨機(jī)讀/寫 i/o 的優(yōu)化

在 smb 服務(wù)器上啟用/禁用 smb 協(xié)議

windows 8 和 windows server 2012
windows 8 和 windows server 2012 引入了新的 set-smbserverconfiguration windows powershell cmdlet。 通過此 cmdlet，你可以在服務(wù)器組件上啟用或禁用 smbv1、smbv2 和 smbv3 協(xié)議。

注意：因為 smbv2 和 smbv3 共用一個堆疊，所以在 windows 8 或 windows server 2012 中啟用或禁用 smbv2 時，也會啟用或禁用 smbv3。

使用 powershell cmdlet

運(yùn)行 set-smbserverconfiguration cmdlet 后，無須重啟計算機(jī)。

 若要獲取 smb 服務(wù)器協(xié)議配置的當(dāng)前狀態(tài)，請運(yùn)行以下 cmdlet：

get-smbserverconfiguration | select enablesmb1protocol, enablesmb2protocol

若要在 smb 服務(wù)器上禁用 smbv1，請運(yùn)行以下 cmdlet：

set-smbserverconfiguration -enablesmb1protocol $false

若要在 smb 服務(wù)器上禁用 smbv2 和 smbv3，請運(yùn)行以下 cmdlet：

set-smbserverconfiguration -enablesmb2protocol $false

若要在 smb 服務(wù)器上啟用 smbv1，請運(yùn)行以下 cmdlet：

set-smbserverconfiguration -enablesmb1protocol $true

若要在 smb 服務(wù)器上啟用 smbv2 和 smbv3，請運(yùn)行以下 cmdlet：

set-smbserverconfiguration -enablesmb2protocol $true 

 windows 7、windows server 2008 r2、windows vista 和 windows server 2008

若要在運(yùn)行 windows 7、windows server 2008 r2、windows vista 或 windows server 2008 的 smb 服務(wù)器上啟用或禁用 smb 協(xié)議，請使用 windows powershell 或注冊表編輯器。

使用 windows powershell 2.0 或更高版本的 powershell

若要在 smb 服務(wù)器上禁用 smbv1，請運(yùn)行以下 cmdlet：

set-itemproperty -path "hklm:\system\currentcontrolset\services\lanmanserver\parameters" smb1 -type dword -value 0 -force

若要在 smb 服務(wù)器上禁用 smbv2 和 smbv3，請運(yùn)行以下 cmdlet：

set-itemproperty -path "hklm:\system\currentcontrolset\services\lanmanserver\parameters" smb2 -type dword -value 0 -force

若要在 smb 服務(wù)器上啟用 smbv1，請運(yùn)行以下 cmdlet：

set-itemproperty -path "hklm:\system\currentcontrolset\services\lanmanserver\parameters" smb1 -type dword -value 1 -force

若要在 smb 服務(wù)器上啟用 smbv2 和 smbv3，請運(yùn)行以下 cmdlet：

set-itemproperty -path "hklm:\system\currentcontrolset\services\lanmanserver\parameters" smb2 -type dword -value 1 -force

注意：進(jìn)行這些更改后，必須重啟計算機(jī)。

使用注冊表編輯器

注意：以下內(nèi)容包含有關(guān)如何修改注冊表的信息。修改注冊表之前，一定要先對其進(jìn)行備份。并且一定要知道在發(fā)生問題時如何還原注冊表。有關(guān)如何備份、還原和修改注冊表的更多信息，請查看 如何在 windows 中備份和還原注冊表。

若要在 smb 服務(wù)器上啟用或禁用 smbv1，請配置以下注冊表項：

注冊表子項：hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters 注冊表項： smb1
reg_dword： 0 = 已禁用
reg_dword： 1 = 已啟用
默認(rèn)值： 1 = 已啟用
若要在 smb 服務(wù)器上啟用或禁用 smbv2，請配置以下注冊表項：

注冊表子項：hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters 注冊表項： smb2
reg_dword： 0 = 已禁用
reg_dword： 1 = 已啟用
默認(rèn)值： 1 = 已啟用

在 smb 客戶端上啟用/禁用 smb 協(xié)議

windows vista、windows server 2008、windows 7、windows server 2008 r2、windows 8 和 windows server 2012
注意：因為 smbv2 和 smbv3 共用一個堆疊，所以在 windows 8 或 windows server 2012 中啟用或禁用 smbv2 時，也會啟用或禁用 smbv3。

若要在 smb 客戶端上禁用 smbv1，請運(yùn)行以下命令：

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

若要在 smb 客戶端上啟用 smbv1，請運(yùn)行以下命令：

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

若要在 smb 客戶端上禁用 smbv2 和 smbv3，請運(yùn)行以下命令：

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

若要在 smb 客戶端上啟用 smbv2 和 smbv3，請運(yùn)行以下命令：

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

注意:

必須在提升的命令提示符中運(yùn)行這些命令。
進(jìn)行這些更改后，必須重啟計算機(jī)。

使用組策略禁用 smbv1 服務(wù)器

這將在注冊表中配置以下新項:

hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters 注冊表項： smb1 reg_dword: 0 = disabled

使用組策略配置流程

1、打開組策略管理控制臺。右鍵單擊應(yīng)包含新首選項的組策略對象 (gpo)，然后單擊 編輯。

2、在 計算機(jī)配置 下的控制臺樹中，展開 首選項 文件夾，然后展開 windows 設(shè)置 文件夾。

3、右鍵單擊 注冊表 節(jié)點(diǎn)，指向 新建，然后選擇 注冊表項。

4、在 新建注冊表屬性 對話框中，選擇以下內(nèi)容：

操作： 創(chuàng)建
hive： hkey_local_machine
注冊表項路徑： system\currentcontrolset\services\lanmanserver\parameters
值名稱： smb1
值類型： reg_dword
值數(shù)據(jù)： 0

5、將此組策略應(yīng)用到域中所有必需的工作站、服務(wù)器和域控制器，以禁用 smbv1 服務(wù)器組件。也可以將 wmi 篩選器設(shè)置為不包含不受支持的操作系統(tǒng)或選中的排除項（如 windows xp）。

注意：在舊版 windows xp 或 linux 早期版本以及第三方系統(tǒng)（不支持 smbv2 或 smbv3）需要訪問 sysvol 或其他文件共享（已啟用 smb v1）的域控制器上進(jìn)行這些更改時要謹(jǐn)慎小心。

使用組策略禁用 smbv1 客戶端

若要禁用 smbv1 客戶端，需要將服務(wù)注冊表項更新為禁止 mrxsmb10 啟動，然后還需要將 mrxsmb10 的依賴項從 lanmanworkstation 項中刪除，以便它可以正常啟動（無需首先啟動 mrxsmb10）。

這將更新和替換注冊表以下 2 個項中的默認(rèn)值

hkey_local_machine\system\currentcontrolset\services\mrxsmb10 注冊表項： start reg_dword: 4 = disabled
hkey_local_machine\system\currentcontrolset\services\lanmanworkstation 注冊表項： dependonservice reg_multi_sz: “bowser”,”mrxsmb20″,”nsi”
注意：默認(rèn)包含的 mrxsmb10 現(xiàn)已作為依賴項刪除。

使用組策略配置流程

1、打開組策略管理控制臺。右鍵單擊應(yīng)包含新首選項的組策略對象 (gpo)，然后單擊 編輯。

2、在 計算機(jī)配置 下的控制臺樹中，展開 首選項 文件夾，然后展開 windows 設(shè)置 文件夾。

3、右鍵單擊 注冊表 節(jié)點(diǎn)，指向 新建，然后選擇 注冊表項。

4、在 新建注冊表屬性 對話框中，選擇以下內(nèi)容：

操作： 更新
hive： hkey_local_machine
注冊表項路徑： system\currentcontrolset\services\mrxsmb10
值名稱： start
值類型： reg_dword
值數(shù)據(jù)： 4

然后刪除剛剛禁用的 mrxsmb10 的依賴項

5、在 新建注冊表屬性 對話框中，選擇以下內(nèi)容：

操作： 替換
hive： hkey_local_machine
注冊表項路徑： system\currentcontrolset\services\lanmanworkstation
值名稱： dependonservice
值類型 reg_multi_sz
值數(shù)據(jù)：
bowser
mrxsmb20
nsi
注意： 這 3 個字符串不帶項目符號（具體如下）

在 windows 的多個版本中，默認(rèn)值包括 mrxsmb10，通過將其替換為此多值字符串，實際上就刪除了作為 lanmanserver 依賴項的 mrxsmb10，結(jié)果是從四個默認(rèn)值減少為上述這三個值。

注意：使用組策略管理控制臺時，無需使用引號或逗號。只需在各行鍵入每個項，如上面所示。

需要重新啟動

應(yīng)用策略且正確設(shè)置注冊表后，必須重新啟動目標(biāo)系統(tǒng)，然后才能禁用 smb v1。

摘要
如果所有設(shè)置均在同一組策略對象 (gpo) 中，組策略管理將顯示以下設(shè)置。

測試和驗證

配置完成后即允許策略進(jìn)行復(fù)制和更新。作為測試的必要步驟，請從 cmd.exe 提示符處運(yùn)行 gpupdate/force，然后查看目標(biāo)計算機(jī)，以確保注冊表設(shè)置得以正確應(yīng)用。確保 smbv2 和 smbv3 在環(huán)境中的所有其他系統(tǒng)中正常運(yùn)行。

注意：請務(wù)必重新啟動目標(biāo)系統(tǒng)。

如何在 windows 8.1、windows 10、windows 2012 r2 和 windows server 2016 中輕松刪除 smbv1

windows server：使用 “服務(wù)器管理器”

windows server：使用 powershell (remove-windowsfeature fs-smb1)

windows 客戶端：使用 “添加或刪除程序”

windows 客戶端：使用 powershell (disable-windowsoptionalfeature -online -featurename smb1protocol)

感謝各位的閱讀，以上就是“Windows服務(wù)器如何啟用/禁用SMBv1、SMBv2和SMBv3”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對Windows服務(wù)器如何啟用/禁用SMBv1、SMBv2和SMBv3這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關(guān)知識點(diǎn)的文章，歡迎關(guān)注！