Включить smb1 для Windows Server 2019

Обновлено: 03.07.2024

В Windows Server 2016/2019 и Windows 10 (начиная со сборки 1709) сетевой протокол Server Message Block 1.0 (SMBv1), используемый для доступа к общим папкам, по умолчанию отключен. В большинстве случаев этот протокол требуется для доступа к общим папкам, размещенным в устаревших системах, таких как более не поддерживаемые Windows XP, Windows Server 2003 и более старые ОС. В этой статье мы рассмотрим, как включить или отключить поддержку клиентов и серверов SMBv1 в Windows 10 и Windows Server 2016/2019.

Если в вашей сети не осталось клиентов SMB 1.x, вы должны полностью отключить SMBv1 на всех устройствах Windows. Отключив SMB 1.0, вы можете защитить компьютеры Windows от широкого спектра уязвимостей в этом унаследованном протоколе (самый известный общедоступный эксплойт для SMBv1 — EternalBlue). В результате ваши устройства будут использовать новые, более эффективные, безопасные и функциональные версии протокола SMB при доступе к общим сетевым ресурсам.

В одной из предыдущих статей мы показывали таблицу совместимости клиентской и серверной версий SMB. Согласно таблице, старые версии клиентов (XP, Server 2003 и некоторые *nix-клиенты) могут получать доступ к общим сетевым папкам только по протоколу SMB v1.0. Если таких клиентов в сети нет, можно полностью отключить SMB 1.0 на стороне файловых серверов (включая контроллеры домена AD) и клиентских рабочих столов.

В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента — SMB-клиент и SMB-сервер, которые можно включать и отключать независимо друг от друга.

Аудит доступа к общей папке через SMB v1.0

Прежде чем отключать или полностью удалять драйвер SMB 1.0 на стороне файлового сервера SMB, стоит убедиться, что в вашей сети нет устаревших клиентов, использующих его. Для этого включите аудит доступа к файловому серверу через SMB v1.0 с помощью следующей команды PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $true

Через пару дней откройте средство просмотра событий на сервере, проверьте журнал Приложения и службы -> Microsoft -> Windows -> SMBServer -> Аудит и посмотрите, обращались ли какие-либо клиенты к файловому серверу через SMB1.

Совет. Вы можете отобразить список событий из этого журнала событий с помощью следующей команды PowerShell:
Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

В нашем примере в журнале было обнаружено событие с идентификатором EventID 3000 из источника SMBServer. Событие указывает на то, что клиент 192.168.1.10 пытается получить доступ к серверу по протоколу SMB1.

Set- SmbServerConfiguration — включить аудит доступа через smb1

Вам необходимо найти этот компьютер или устройство в сети и обновить ОС или прошивку до версии, которая поддерживает новые версии протокола SMB: SMBv2 или SMBv3.

В нашем случае мы проигнорируем эту информацию, но вы должны иметь в виду, что позже этот клиент не сможет получить доступ к общим папкам на этом SMB-сервере.

Включить/отключить SMB 1.0 в Windows Server 2016/2019

В Windows Server 2016, начиная со сборки 1709, и Windows Server 2019 по умолчанию отключен SMBv1. Чтобы включить поддержку клиентского протокола SMBv1 в новых версиях Windows Server, необходимо установить отдельную функцию поддержки общего доступа к файлам SMB 1.0/CIFS.

Вы можете установить компонент SMBv1 с помощью диспетчера серверов или PowerShell.

Функция поддержки общего доступа к файлам SMB 1.0 / CIFS на Windows Server 2016

Вы можете проверить, включен ли SMBv1, с помощью команды PowerShell:

Чтобы установить компонент FS-SMB1, выполните:

Чтобы удалить функцию клиента SMBv1 (требуется перезагрузка), выполните команду:

Uninstall-WindowsFeature – Имя FS-SMB1 – Удалить

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Чтобы ваш сервер мог обрабатывать клиентский доступ SMBv1.0, вам необходимо включить поддержку SMBv1 на уровне файлового сервера SMB в дополнение к компоненту FS-SMB1. Чтобы проверить, включен ли доступ SMBv1 для общих сетевых ресурсов на вашем сервере, выполните:

Get-SmbServerConfiguration протокол smb1 включен

Строка «EnableSMB1Protocol: True» означает, что вам разрешен доступ к общим папкам на этом сервере по протоколу SMBv1. Чтобы отключить поддержку сервера SMBv1 в Windows Server, выполните команду PowerShell:

Set-SmbServerConfiguration-EnableSMB1Protocol $false-Force

Теперь используйте командлет Get-SmbServerConfiguration, чтобы убедиться, что сервер SMB1 отключен.

отключить smb1 с помощью командлета set-SmbServerConfiguration

Чтобы включить поддержку SMBv1 на сервере, выполните команду:

Set-SmbServerConfiguration-EnableSMB1Protocol $True-Force

В Windows 7/8 и Windows Server 2008 R2/2012 для отключения клиента SMB 1.0 необходимо отключить службу и драйвер доступа SMBv1 с помощью команд:

sc.exe config lanmanworkstation depend= Bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

удалить драйвер smb1 на клиенте: sc.exe config mrxsmb10 start= disabled

Как включить/отключить SMBv1 в Windows 10?

Как мы уже говорили, во всех новых сборках Windows10 (начиная с 1709) отключена поддержка протокола SMB1 (также отключен гостевой доступ по протоколу SMBv2).

В Windows 10 вы можете проверить состояние компонентов протокола SMBv1 с помощью команды DISM:

Dism /online /Get-Features /format:table | найдите "Протокол SMB1"

smb1protocol отключен в windows10

В нашем примере вы можете видеть, что все функции SMBv1 отключены:

  • Автоматическое удаление SMB 1.0/CIFS
  • Клиент SMB 1.0/CIFS
  • Сервер SMB 1.0/CIFS

Функция Windows10 Поддержка общего доступа к файлам SMB 1.0/CIFS

Вы можете включить клиент и сервер SMBv1 в Windows 10 из окна управления функциями или с помощью команд:

Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:" Сервер протокола SMB1"

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Если после включения клиента SMBv1 он не используется более 15 дней, он автоматически отключается.

Автоматическое удаление клиента SMBv1 — это одноразовая операция. Если администратор снова вручную включит SMBv1, он не будет отключен автоматически.

Чтобы отключить поддержку клиента и сервера SMB1 в Windows 10, выполните следующие команды DISM:

Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:" Сервер протокола SMB1"

Если вы отключили клиент SMBv1 в Windows 10, то при доступе к скрытой папке на файловом сервере, который поддерживает только SMBv1 (протоколы SMBv2 и v3 отключены или не поддерживаются), вы можете получить следующие ошибки:

ошибка доступа windows10 smb 1.0

Кроме того, если вы отключите клиент SMBv1, служба обозревателя компьютеров, которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети, перестанет работать на компьютере. Чтобы правильно отображать соседние компьютеры в сети Windows 10, необходимо настроить службу узла провайдера обнаружения компонентов (см. эту статью).

Отключение клиента и сервера SMBv1 с помощью групповой политики

В среде домена Active Directory вы можете отключить SMBv1 на всех серверах и компьютерах с помощью групповых политик (GPO). Поскольку в стандартных групповых политиках Windows нет отдельной политики настройки SMB, вам придется отключить ее через политику реестра.

отключение сервера smb1 через gpo

  1. Откройте консоль управления групповыми политиками ( gpmc.msc ), создайте новый объект групповой политики (disableSMBv1) и свяжите его с OU, содержащей компьютеры, на которых вы хотите отключить SMB1;
  2. Переключитесь в режим редактирования политики. Разверните раздел GPO «Конфигурация компьютера» -> «Настройки» -> «Параметры Windows» -> «Реестр»;
  3. Создайте новый элемент реестра со следующими параметрами:
    Действие: Обновить
    Hive: HKEY_LOCAL_MACHINE
    Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    Имя значения: SMB1
    Тип значения: REG_DWORD
    Данные значения: 0

    Эта политика отключит поддержку серверного компонента SMBv1 через реестр на всех компьютерах.

Если вы хотите отключить клиент SMB на компьютерах домена через GPO, создайте два дополнительных параметра реестра:

  • Параметр Start (тип REG_DWORD) со значением 4 в разделе реестра HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10;
  • Параметр DependOnService (тип REG_MULTI_SZ) со значением Bowser, MRxSmb20, NSI (каждое значение с новой строки) в ключе реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.

отключить smb Групповая политика клиентского драйвера v1.0

Осталось обновить настройки групповой политики на клиентах ( gpupdate /force ) и после перезагрузки убедиться, что компоненты SMBv1 полностью отключены.


Я понимаю, что это не очень интересный пост, особенно по сравнению с другими моими замечательными размышлениями на этом сайте, но я чувствовал, что действительно должен написать его, чтобы поделиться болью!

Коллеге, с которым я работаю, нужно было включить эту функцию на компьютере Azure Windows Server 2019 для связи с какой-то старой системой, которая поддерживает только блок сообщений сервера версии 1 (SMB1). Достаточно легко добавить это, верно?

Попытка установки


Обратите внимание на собственность штата? Функция отключена, а полезная нагрузка (файлы установки) отсутствует на виртуальной машине Azure.

При попытке установить эту функцию вы получаете:


Думаю, мне нужны исходники Windows Server 2019!

Загрузка Windows Server 2019

Смонтируйте ISO и скопируйте install.wim

В последних версиях Windows можно щелкнуть правой кнопкой мыши ISO-образ и смонтировать его. В смонтированном ISO-образе найдите install.wim и скопируйте этот файл в папку на диске C:, например c:\wim. В папке c:\wim создайте папку с именем mount и выполните следующую команду:

Содержимое файла install.wim теперь доступно в папке c:\wim\mount. Теперь не пытайтесь включить эту функцию, указав на источники с параметром -source команды Enable-WindowsOptionalFeature. Пока не получится!

Пропатчить смонтированные файлы

Теперь мы можем обновить смонтированные файлы в автономном режиме с помощью следующей команды:

Обновление займет некоторое время! Это нужно сделать, потому что файлы, смонтированные из загруженного ISO, не соответствуют версии образа Windows Server 2019. Без этого обновления установка компонента SMB1 не удастся.

Включить функцию SMB1

Теперь мы можем включить эту функцию с помощью следующей команды:

Вам потребуется перезагрузка. После перезагрузки из командной строки PowerShell выполните приведенную ниже команду, чтобы проверить установку:

В свойстве State должно быть указано: Enabled

Заключение

Что-то настолько тривиальное заняло у меня слишком много времени. Есть ли более простой способ? Дайте мне знать! 👍

И кстати, не включайте SMB1. Это совсем не безопасно. Но в некоторых случаях это просто невозможно.

Сетевой протокол Server Message Block (SMB) используется для совместного использования и доступа к папкам, файлам, принтерам и другим устройствам по сети (порт TCP 445). В этой статье мы рассмотрим, какие версии (диалекты) SMB доступны в разных версиях Windows (и как они соотносятся с версиями samba в Linux); как проверить версию SMB, используемую на вашем компьютере; и как включить или отключить диалекты SMBv1, SMBv2 и SMBv3.

Версии протокола SMB в Windows

Существует несколько версий протокола SMB (диалектов), которые постоянно появлялись в новых версиях Windows (и samba):

  • CIFS — Windows NT 4.0
  • SMB 1.0 — Windows 2000
  • SMB 2.0 — Windows Server 2008 и Windows Vista SP1 (поддерживается в Samba 3.6)
  • SMB 2.1 — Windows Server 2008 R2 и Windows 7 (Samba 4.0)
  • SMB 3.0 — Windows Server 2012 и Windows 8 (Samba 4.2)
  • SMB 3.02 — Windows Server 2012 R2 и Windows 8.1 (не поддерживается в Samba)
  • SMB 3.1.1 — Windows Server 2016 и Windows 10 (не поддерживается в Samba)

Samba используется для реализации протокола SMB в Linux/Unix. Samba 4.14 и новее по умолчанию использует SMB 2.1.

При сетевой связи SMB клиент и сервер используют максимальную версию протокола SMB, поддерживаемую как клиентом, так и сервером.

Сводная таблица совместимости версий SMB выглядит следующим образом. С помощью этой таблицы можно определить версию протокола SMB, которая выбирается при взаимодействии разных версий Windows:

< td>SMB 1.0
Операционная система Windows 10, Win Server 2016 Windows 8.1, Win Server 2012 R2 Windows 8,Server 2012 Windows 7,Server 2008 R2 Windows Vista,Server 2008 Windows XP, Server 2003 и более ранние версии
Windows 10, Windows Server 2016 SMB 3.1.1 SMB 3.02 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
Windows 8.1, Server 2012 R2 SMB 3.02 SMB 3.02 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
Windows 8, Server 2012 SMB 3.0 SMB 3.0 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
Windows 7, Server 2008 R2 SMB 2.1 SMB 2.1 SMB 2.1 SMB 2.1 SMB 2.0
Windows Vista, Server 2008 SMB 2.0 SMB 2.0 SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
Windows XP, 2003 и более ранние версии SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0

Например, если клиентский компьютер под управлением Windows 8.1 подключается к файловому серверу с Windows Server 2016, будет использоваться протокол SMB 3.0.2.

Согласно таблице, Windows XP и Windows Server 2003 могут использовать только SMB 1.0 для доступа к общим папкам и файлам. SMBv1 отключен в более новых версиях Windows Server (2012 R2/2016). Таким образом, если вы все еще используете в своей сети устройства с Windows XP и Windows Server 2003, они не смогут получить доступ к общим папкам на файловом сервере под управлением Windows Server 2016.

Если в качестве контроллера домена используется Windows Server 2019/2016 с отключенным SMB v1.0, клиенты Windows XP/Server 2003 не смогут получить доступ к папкам SYSVOL и NETLOGON на контроллерах домена и пройти аутентификацию с помощью AD.< /p>

Вы можете получить следующую ошибку при попытке подключения к общей папке на файловом сервере с отключенным SMBv1:

Как проверить версию SMB в Windows?

Давайте посмотрим, как узнать, какие версии SMB включены на вашем устройстве Windows.

В Windows 10/8.1 и Windows Server 2019/2016/2012R2 вы можете проверить состояние различных диалектов протокола SMB с помощью PowerShell:

Get-SmbServerConfiguration | выберите EnableSMB1Protocol,EnableSMB2Protocol

Как проверить, какая версия SMB включена в Windows с помощью PowerShell

Эта команда вернула, что протокол SMB1 отключен ( EnableSMB1Protocol = True ), а протоколы SMB2 и SMB3 включены ( EnableSMB1Protocol = False ).

Обратите внимание, что протоколы SMBv3 и SMBv2 тесно связаны. Вы не можете отключить или включить SMBv3 или SMBv2 отдельно. Они всегда включаются/отключаются только вместе, потому что они используют один и тот же стек.

В Windows 7, Vista и Windows Server 2008 R2/2008:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object

Если в этом разделе реестра нет параметров с именами SMB1 или SMB2, то протоколы SMBv1 и SMBv2 включены по умолчанию.

Проверка версии smb в Windows 7 SP1

Кроме того, в этих версиях Windows вы можете проверить, каким диалектам клиента SMB разрешено подключаться к удаленным хостам:

sc.exe запрос mrxsmb10

sc.exe запрос mrxsmb20

В обоих случаях службы работают ( STATE = 4 Running ). Это означает, что текущее устройство Windows может подключаться как к хостам SMBv1, так и к хостам SMBv2.

Проверка используемых диалектов SMB с помощью Get-SMBConnection

При обмене данными через SMB компьютеры используют максимальную версию SMB, поддерживаемую как клиентом, так и сервером. Командлет PowerShell Get-SMBConnection можно использовать для проверки версии SMB, используемой для доступа к удаленному компьютеру:

Как узнать, какой диалект SMB используется с помощью командлета Get-SmbConnection

Версия SMB, используемая для подключения к удаленному серверу (ServerName), указана в столбце Диалект.

Вы можете отобразить информацию о версиях SMB, используемых для доступа к определенному серверу:

Get-SmbConnection -ServerName srvfs01

Если вы хотите отображать, используется ли шифрование SMB (представлено в SMB 3.0):

Get-SmbConnection | ft ServerName, ShareName, Dialect, Encrypted, UserName

На стороне сервера Windows SMB можно отобразить список версий протоколов SMB, которые в настоящее время используют клиенты. Выполните команду:

Get-SmbSession | Диалект Select-Object -ExpandProperty | Сортировать-Объект - Уникальный

Get-SmbSession использует версии диалекта

В этом примере к серверу подключено 898 клиентов с использованием SMB 2.1 (Windows 7/Windows 2008 R2) и 8 клиентов SMB 3.02.

Вы можете использовать PowerShell, чтобы включить аудит версий SMB, используемых для подключения:

Set-SmbServerConfiguration –AuditSmb1Access $true

Затем события подключения SMB можно экспортировать из журналов средства просмотра событий:

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

Прекратите использовать небезопасный протокол SMBv1

За последние несколько лет корпорация Майкрософт систематически отключала устаревший протокол SMB 1.0 во всех продуктах по соображениям безопасности. Это связано с большим количеством критических уязвимостей в этом протоколе (вспомним инциденты с вымогателямиwancrypt и petya, которые эксплуатировали уязвимость в протоколе SMBv1). Microsoft и другие ИТ-компании настоятельно рекомендуют прекратить использование SMBv1 в вашей сети.

Однако отключение SMBv1 может вызвать проблемы с доступом к общим файлам и папкам в более новых версиях Windows 10 (Windows Server 2016/2019) из устаревших клиентов (Windows XP, Windows Server 2003), сторонних ОС (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, старые дистрибутивы Linux), старые устройства NAS.

Если в вашей сети не осталось устаревших устройств, поддерживающих только SMBv1, обязательно отключите этот диалект SMB в Windows.

Если у вас есть клиенты под управлением Windows XP, Windows Server 2003 или другие устройства, поддерживающие только SMBv1, их следует обновить или изолировать.

Как включить и отключить SMBv1, SMBv2 и SMBv3 в Windows?

Давайте рассмотрим способы включения и отключения различных версий SMB в Windows. Мы рассмотрим управление клиентом и сервером SMB (это разные компоненты Windows).

Windows 10, 8.1 и Windows Server 2019/2016/2012R2:

Отключить клиент и сервер SMBv1:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Отключить только сервер SMBv1:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Включить клиент и сервер SMBv1:

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Включить только сервер SMBv1:

Set-SmbServerConfiguration -EnableSMB1Protocol $true

Отключить сервер SMBv2 и SMBv3:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Включить сервер SMBv2 и SMBv3:

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Отключить smb2 с помощью командлета set-smbserverconfiguration

Windows 7, Vista и Windows Server 2008 R2/2008:

Отключить сервер SMBv1:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 – Force

Как отключить SMB 1 в Windows 7 через реестр?

Включить сервер SMBv1:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force

Отключить клиент SMBv1:

sc.exe config lanmanworkstation depend= Bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Включить клиент SMBv1:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

Отключить сервер SMBv2:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Включить сервер SMBv2:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

Отключить клиент SMBv2:

sc.exe config lanmanworkstation depend= Bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

Включить клиент SMBv2:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

Вы можете отключить сервер SMBv1 на присоединенных к домену компьютерах, развернув следующий параметр реестра через объект групповой политики:

  • Ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Имя: SMB1
  • Тип: REG_DWORD
  • Значение: 0

Установите параметр реестра SMB2=0, чтобы отключить сервер SMBv2.

Чтобы отключить клиент SMBv1, необходимо распространить следующий параметр реестра:

  • Ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
  • Название: Начало
  • Тип: REG_DWORD
  • Значение: 4

При отключении SMB 1.0/CIFS File Sharing Support в Windows, вы можете столкнуться с ошибкой 0x80070035 сетевой путь не найден, получить ошибку при доступе к общим папкам SMB и проблемы с сетевым обнаружением. В этом случае вы должны использовать службу обнаружения вместо службы обозревателя компьютеров (ссылка).

В рамках наших услуг по управлению сервером мы регулярно помогаем нашим клиентам с установкой программного обеспечения.

Сегодня давайте посмотрим, как наши инженеры службы поддержки включают/отключают SMB версии 1.0 в Windows.

Почему сетевой протокол Server Message Block 1.0 (SMBv1) отключен по умолчанию?

Сетевой протокол Server Message Block 1.0 (SMBv1) по умолчанию отключен в Windows Server 2016/2019 и Windows 10.

  • Если не осталось клиентов SMB 1.x, мы полностью отключаем SMBv1 на всех устройствах Windows.
  • Отключая SMB 1.0, мы защищаем компьютеры Windows от широкого спектра уязвимостей этого устаревшего протокола.
  • В результате устройства будут использовать новые, более эффективные, безопасные и функциональные версии протокола SMB при доступе к общим сетевым ресурсам.

С другой стороны, старые версии клиентов могут получать доступ к общим сетевым папкам только по протоколу SMB v1.0. Если таких клиентов в сети нет, мы можем полностью отключить SMB 1.0 на стороне файловых серверов и клиентских рабочих мест.

Включить/отключить SMB версии 1.0 в Windows

Перед включением или отключением драйвера SMB 1.0 мы убеждаемся, что в сети нет устаревших клиентов, использующих его.

Аудит доступа к общей папке через SMB v1.0

Для этого мы включаем аудит доступа к файловому серверу через SMB v1.0 с помощью следующей команды PowerShell:

Также через пару дней открываем Event Viewer на сервере и проверяем лог в Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit. Проверьте, есть ли у клиентов доступ к файловому серверу через SMB1.

Чтобы отобразить список событий из этого журнала событий, мы используем команду:

Здесь в журнале видно событие с EventID 3000 из источника SMBServer. Событие указывает на то, что клиент 192.168.1.10 пытается получить доступ к серверу по протоколу SMB1

Мы должны найти этот компьютер или устройство в сети и обновить ОС или прошивку до версии, которая поддерживает более новые версии протокола SMB.

Включить/отключить SMB версии 1.0 в Windows Server 2016/2019

Чтобы включить поддержку клиентского протокола SMBv1 в новых версиях Windows Server, мы устанавливаем отдельную функцию поддержки общего доступа к файлам SMB 1.0/CIFS.

Это возможно либо с помощью диспетчера серверов, либо с помощью PowerShell.

Проверьте, включен ли SMBv1, с помощью команды PowerShell:

Чтобы установить компонент FS-SMB1, выполните:

Аналогичным образом, чтобы удалить функцию клиента SMBv1 (требуется перезагрузка), выполните:

Еще одна команда PowerShell, которая удаляет функцию SMB1Protocol:

Чтобы сервер обрабатывал клиентский доступ SMBv1.0, включите поддержку SMBv1 на уровне файлового сервера SMB в дополнение к компоненту FS-SMB1.

Кроме того, для проверки запустите:

«EnableSMB1Protocol: True» означает, что у нас есть доступ к общим папкам на этом сервере по протоколу SMBv1.

Чтобы отключить поддержку сервера SMBv1 в Windows Server, мы запускаем команду PowerShell:

Мы обязательно используем,

Точно так же, чтобы включить поддержку SMBv1 на сервере, запускаем команду:

В Windows 7/8 и Windows Server 2008 R2/2012, чтобы отключить клиент SMB 1.0, нам нужно отключить службу и драйвер доступа SMBv1 с помощью команд:

Отключение клиента и сервера SMBv1 с помощью групповой политики

В среде домена Active Directory мы можем отключить SMBv1 на всех серверах и компьютерах с помощью групповых политик (GPO).

Поскольку в стандартных групповых политиках Windows нет отдельной политики конфигурации SMB, мы должны отключить ее через политику реестра.

  1. Откройте консоль управления групповыми политиками (gpmc.msc), создайте новый объект групповой политики (disableSMBv1) и свяжите его с OU, содержащей компьютеры, на которых мы хотим отключить SMB1.
  2. Переключитесь в режим редактирования политики. Разверните раздел GPO «Конфигурация компьютера» -> «Настройки» -> «Параметры Windows» -> «Реестр».
  3. Создайте новый элемент реестра со следующими параметрами:

Действие: Обновить куст: HKEY_LOCAL_MACHINE Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Имя значения: SMB1 Тип значения: REG_DWORD Данные значения: 0


Эта политика отключит поддержку серверного компонента SMBv1 через реестр на всех компьютерах.

Кроме того, чтобы отключить SMB-клиент на компьютерах домена через GPO, создайте два дополнительных параметра реестра:

  • Параметр Start (тип REG_DWORD) со значением 4 в разделе реестра HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10
  • Параметр DependOnService (тип REG_MULTI_SZ) со значением Bowser, MRxSmb20, NSI (каждое значение с новой строки) в ключе реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.

Осталось обновить параметры групповой политики на клиентах ( gpupdate /force ). После перезагрузки убедитесь, что компоненты SMBv1 полностью отключены.

Базовые объекты групповой политики безопасности из набора Microsoft Security Compliance Toolkit имеют отдельный административный шаблон MS Security Guide (файлы SecGuide.adml и SecGuide.admx), в котором есть отдельные параметры для отключения сервера и клиента SMB:

  • Настроить сервер SMB v1
  • Настройка драйвера клиента SMB v1

[Получите нашу круглосуточную поддержку. Наши специалисты по серверам обеспечат быстроту и безопасность ваших серверов.]

Заключение

Короче говоря, веб-мастера могут легко включать и отключать SMB с помощью PowerShell. Сегодня мы на примере видели, как специалисты службы поддержки Bobcare включают/отключают SMB версии 1.0 в Windows.

Похожие сообщения:

ЗАЩИТИТЕ ВАШ СЕРВЕР ОТ СБОЯ!

Никогда больше не теряйте клиентов из-за низкой скорости сервера! Позвольте нам помочь вам.

Наши специалисты по серверам будут контролировать и обслуживать ваш сервер круглосуточно и без выходных, чтобы он оставался молниеносно быстрым и безопасным.

Читайте также: