本文介绍如何在 SMB 客户端和服务器组件上启用/禁用服务器消息块 SMBv1、SMBv2 和 SMBv3。
注意:建议由专业技术工程师完成以下操作。
禁用 SMBv2 和 SMBv3 的影响
我们建议不要禁用 SMBv2 或 SMBv3。禁用 SMBv2 或 SMBv3 只能作为临时故障排除措施。请勿使 SMBv2 或 SMBv3 保持禁用状态。
禁用 SMBv2 的影响
在 Windows 7 和 Windows Server 2008 R2 中,禁用 SMBv2 会停用以下功能:
禁用 SMBv3 的影响
在 Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016 中,禁用 SMBv3 会停用以下功能(以及以上列表中所述的 SMBv2 功能):
在 SMB 服务器上启用/禁用 SMB 协议
Windows 8 和 Windows Server 2012
Windows 8 和 Windows Server 2012 引入了新的 Set-SMBServerConfiguration Windows PowerShell cmdlet。 通过此 cmdlet,你可以在服务器组件上启用或禁用 SMBv1、SMBv2 和 SMBv3 协议。
注意:因为 SMBv2 和 SMBv3 共用一个堆叠,所以在 Windows 8 或 Windows Server 2012 中启用或禁用 SMBv2 时,也会启用或禁用 SMBv3。
使用 PowerShell cmdlet
运行 Set-SMBServerConfiguration cmdlet 后,无须重启计算机。
若要获取 SMB 服务器协议配置的当前状态,请运行以下 cmdlet:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
若要在 SMB 服务器上禁用 SMBv1,请运行以下 cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
若要在 SMB 服务器上禁用 SMBv2 和 SMBv3,请运行以下 cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
若要在 SMB 服务器上启用 SMBv1,请运行以下 cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
若要在 SMB 服务器上启用 SMBv2 和 SMBv3,请运行以下 cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Windows 7、Windows Server 2008 R2、Windows Vista 和 Windows Server 2008
若要在运行 Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的 SMB 服务器上启用或禁用 SMB 协议,请使用 Windows PowerShell 或注册表编辑器。
使用 Windows PowerShell 2.0 或更高版本的 PowerShell
若要在 SMB 服务器上禁用 SMBv1,请运行以下 cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
若要在 SMB 服务器上禁用 SMBv2 和 SMBv3,请运行以下 cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
若要在 SMB 服务器上启用 SMBv1,请运行以下 cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
若要在 SMB 服务器上启用 SMBv2 和 SMBv3,请运行以下 cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
注意:进行这些更改后,必须重启计算机。
使用注册表编辑器
注意:以下内容包含有关如何修改注册表的信息。修改注册表之前,一定要先对其进行备份。并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请查看 如何在 Windows 中备份和还原注册表。
若要在 SMB 服务器上启用或禁用 SMBv1,请配置以下注册表项:
注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 注册表项: SMB1
REG_DWORD: 0 = 已禁用
REG_DWORD: 1 = 已启用
默认值: 1 = 已启用
若要在 SMB 服务器上启用或禁用 SMBv2,请配置以下注册表项:
注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 注册表项: SMB2
REG_DWORD: 0 = 已禁用
REG_DWORD: 1 = 已启用
默认值: 1 = 已启用
在 SMB 客户端上启用/禁用 SMB 协议
Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8 和 Windows Server 2012
注意:因为 SMBv2 和 SMBv3 共用一个堆叠,所以在 Windows 8 或 Windows Server 2012 中启用或禁用 SMBv2 时,也会启用或禁用 SMBv3。
若要在 SMB 客户端上禁用 SMBv1,请运行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
若要在 SMB 客户端上启用 SMBv1,请运行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
若要在 SMB 客户端上禁用 SMBv2 和 SMBv3,请运行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
若要在 SMB 客户端上启用 SMBv2 和 SMBv3,请运行以下命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
注意:
必须在提升的命令提示符中运行这些命令。
进行这些更改后,必须重启计算机。
使用组策略禁用 SMBv1 服务器
这将在注册表中配置以下新项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 注册表项: SMB1 REG_DWORD: 0 = Disabled
使用组策略配置流程
1、打开组策略管理控制台。右键单击应包含新首选项的组策略对象 (GPO),然后单击 编辑。
2、在 计算机配置 下的控制台树中,展开 首选项 文件夹,然后展开 Windows 设置 文件夹。
3、右键单击 注册表 节点,指向 新建,然后选择 注册表项。
4、在 新建注册表属性 对话框中,选择以下内容:
操作: 创建
Hive: HKEY_LOCAL_MACHINE
注册表项路径: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
值名称: SMB1
值类型: REG_DWORD
值数据: 0
5、将此组策略应用到域中所有必需的工作站、服务器和域控制器,以禁用 SMBv1 服务器组件。也可以将 WMI 筛选器设置为不包含不受支持的操作系统或选中的排除项(如 Windows XP)。
注意:在旧版 Windows XP 或 Linux 早期版本以及第三方系统(不支持 SMBv2 或 SMBv3)需要访问 SYSVOL 或其他文件共享(已启用 SMB v1)的域控制器上进行这些更改时要谨慎小心。
使用组策略禁用 SMBv1 客户端
若要禁用 SMBv1 客户端,需要将服务注册表项更新为禁止 MRxSMB10 启动,然后还需要将 MRxSMB10 的依赖项从 LanmanWorkstation 项中删除,以便它可以正常启动(无需首先启动 MRxSMB10)。
这将更新和替换注册表以下 2 个项中的默认值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10 注册表项: Start REG_DWORD: 4 = Disabled
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation 注册表项: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”
注意:默认包含的 MRxSMB10 现已作为依赖项删除。
使用组策略配置流程
1、打开组策略管理控制台。右键单击应包含新首选项的组策略对象 (GPO),然后单击 编辑。
2、在 计算机配置 下的控制台树中,展开 首选项 文件夹,然后展开 Windows 设置 文件夹。
3、右键单击 注册表 节点,指向 新建,然后选择 注册表项。
4、在 新建注册表属性 对话框中,选择以下内容:
操作: 更新
Hive: HKEY_LOCAL_MACHINE
注册表项路径: SYSTEM\CurrentControlSet\services\mrxsmb10
值名称: Start
值类型: REG_DWORD
值数据: 4
然后删除刚刚禁用的 MRxSMB10 的依赖项
5、在 新建注册表属性 对话框中,选择以下内容:
操作: 替换
Hive: HKEY_LOCAL_MACHINE
注册表项路径: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
值名称: DependOnService
值类型 REG_MULTI_SZ
值数据:
Bowser
MRxSmb20
NSI
注意: 这 3 个字符串不带项目符号(具体如下)
在 Windows 的多个版本中,默认值包括 MRxSMB10,通过将其替换为此多值字符串,实际上就删除了作为 LanmanServer 依赖项的 MRxSMB10,结果是从四个默认值减少为上述这三个值。
注意:使用组策略管理控制台时,无需使用引号或逗号。只需在各行键入每个项,如上面所示。
需要重新启动
应用策略且正确设置注册表后,必须重新启动目标系统,然后才能禁用 SMB v1。
摘要
如果所有设置均在同一组策略对象 (GPO) 中,组策略管理将显示以下设置。
测试和验证
配置完成后即允许策略进行复制和更新。作为测试的必要步骤,请从 CMD.EXE 提示符处运行 gpupdate/force,然后查看目标计算机,以确保注册表设置得以正确应用。确保 SMBv2 和 SMBv3 在环境中的所有其他系统中正常运行。
注意:请务必重新启动目标系统。
如何在 Windows 8.1、Windows 10、Windows 2012 R2 和 Windows Server 2016 中轻松删除 SMBv1
Windows Server:使用 “服务器管理器”
Windows Server:使用 PowerShell (Remove-WindowsFeature FS-SMB1)
Windows 客户端:使用 “添加或删除程序”
Windows 客户端:使用 PowerShell (Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol)
参考与适用性
本文来源自微软官方技术文档:如何在 Windows 和 Windows Server 中启用和禁用 SMBv1、SMBv2 和 SMBv3。
如有变化,以微软官方为准。
这篇文章中的信息适用于:
Windows 10 Pro released in July 2015,
Windows 10 Enterprise released in July 2015
Windows Vista Enterprise
Windows Vista Business
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Ultimate
Windows 7 Enterprise
Windows 7 Home Basic
Windows 7 Home Premium
Windows 7 Professional
Windows 7 Ultimate
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Standard
Windows 8
Windows 8 Enterprise
Windows 8 Pro
Windows Server 2012 Datacenter
Windows Server 2012 Datacente
Windows Server 2012 Essentials
Windows Server 2012 Foundation
Windows Server 2012 Foundation
Windows Server 2012 Standard
Windows Server 2012 Standard
Windows Server 2016
问题内容: 我有一个下拉菜单(dropdown2), 如果 其中包含某些内容,则是必需的,但是它的选项数据由另一个下拉菜单(dropdown1)的ajax驱动。有时dropdown2将为空,在这种情况下,我可以不需要它。所以我可以通过调用此禁用javascript中的… 这可以正常工作,但服务器仍会触发逻辑。是否有人知道如果验证器设置为假客户端,我将如何强制服务器不进行验证? 问题答案: 您为什么
本文向大家介绍在Nginx服务器中启用SSL的配置方法,包括了在Nginx服务器中启用SSL的配置方法的使用技巧和注意事项,需要的朋友参考一下 生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如: 创建服务器私钥,命令会让你输入一个口令: 创建签名请求的证书(CSR): 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令: 启用一个 SSL 虚拟主机
问题内容: 当我运行Spring MVC应用程序时,出现此异常,服务器无法启动。 请帮助我解决此问题。 异常StackTrace: 问题答案: 由于互联网连接不良,jar文件可能已损坏。尝试删除文件夹的内容。然后右键单击您的项目,选择“Maven” ,“ 更新项目” ,然后选中“ 强制更新快照/版本” 。如果您确定只有一个Jar文件有问题,则只需删除其文件夹。
所有其他3DES密码都消失了,除了这一个TLS_RSA_WITH_3DES_EDE_CBC_SHA。太奇怪了! 我怎样才能摆脱这个密码?提前道谢。
我可以在我自己的电脑上使用这个程序,但是我不能在服务器上使用。 服务器使用最高权限管理员打开程序。 具有的服务器WCF HTTP激活功能。NET4。5号门开着。 服务器endpoint地址使用"http://localhost",如下所示 endpoint地址="http://localhost"绑定="basicHttpBind"bindingConfiguration="NewBinding0
我无法启动詹金斯。Windows 10上的战争。尝试使用多个端口,但对于每个端口,获取错误“地址已在使用中:绑定” 我已经从官方网站下载了詹金斯战争,然后在本地启动服务器。 完整错误跟踪: 尝试下面的查询(一个例子)java-jarjenkins.war-http pPort=9090 我已经检查过了,我在上面的查询中使用的所有端口都是免费的。使用检查可用端口