Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows und Windows Server
- SMB1ist ein "DiNOSAURIER" und sollte in den Windows Netzwerken genau so wie NT LM deaktiviert und auf die neuen Autentifizierungen und Protokolle gewechselt werden!
- Die alte Rückwaurtskompatibilitaut oder auch Legacy Geschiche ist leicht aber laungerfristig immer übel
- Einfach mal sicherheitstechnisch vorwaurts denken und alte zoepfe abschneiden!
Zusammenfassung
In diesem Artikel wird beschrieben, wie Sie Server Message Block (SMB) Version 1 (SMBv1), SMB Version 2 (SMBv2) und SMB Version 3 (SMBv3) auf den SMB-Client- und Serverkomponenten aktivieren und deaktivieren.
Warnung: Es wird nicht empfohlen, SMBv2 oder SMBv3 zu deaktivieren. Deaktivieren Sie SMBv2 oder SMBv3 nur als temporäre Maßnahme zur Problembehandlung. Lassen Sie SMBv2 oder SMBv3 nicht deaktiviert.
Windows 7 Windows Server 2008
In Windows 7 und Windows Server 2008 R2 wird durch das Deaktivieren von SMBv2 die folgende Funktionalität deaktiviert:
- Verbindung von Anforderungen - ermöglicht es, mehrere SMB 2-Anforderungen als eine Netzwerkanforderung zu senden
- Größere Lese- und Schreibvorgänge - bessere Nutzung schnellerer Netzwerke
- Zwischenspeicherung von Ordner- und Dateieigenschaften - Clients speichern lokale Kopie von Ordnern und Dateien
- Dauerhafte Handles - ermöglichen es, dass eine Serververbindung bei einer kurzzeitigen Verbindungsunterbrechung transparent wiederhergestellt wird
- Verbesserte Nachrichtensignierung - HMAC SHA-256 ersetzt den MD5-Hashalgorithmus
- Verbesserte Skalierbarkeit zur Dateifreigabe - sehr viel größere Anzahl der Benutzer, Freigaben und geöffneten Dateien pro Server
- Unterstützung für symbolische Links
- Client-Oplock-Leasingmodell - begrenzt die Datenmenge, die zwischen Client und Server übertragen wird, verbessert die Leistung bei Netzwerken mit hoher Latenz und verbessert die SMB-Serverskalierbarkeit
- Unterstützung großer MTUs - zur optimalen Nutzung von 10-Gigabyte-Ethernet
- Verbesserte Energieeffizienz - Clients, die auf dem Server Dateien geöffnet haben, können in den Ruhezustand versetzt werden
Windows 8 bis Server 2016
In Windows 8, Windows 8.1, Windows 10, Windows Server 2012 und Windows Server 2016 wird durch das Deaktivieren von SMBv3 die folgende Funktionalität (sowie die SMBv2-Funktionalität, die in der vorherigen Liste beschrieben wurde) deaktiviert :
- Transparentes Failover – Clients stellen während Wartung oder Failover unterbrechungsfrei die Verbindung zu Clusterknoten wieder her
- Skalierung – Gleichzeitiger Zugriff auf freigegebene Daten auf allen Dateiclusterknoten
- Verwendung mehrerer Kanäle – Aggregation der Netzwerkbandbreite und Fehlertoleranz, wenn mehrere Pfade zwischen Client und Server verfügbar sind
- SMB Direct – Bietet zusätzlich RDMA-Netzwerkunterstützung für höchste Leistung mit niedriger Latenz und niedriger CPU-Nutzung
- Verschlüsselung – Bietet End-to-End-Verschlüsselung und schützt vor Lauschangriffen in nicht vertrauenswürdigen Netzwerken
- Verzeichnisleasing – Verbesserte Reaktionszeiten von Anwendungen in Zweigniederlassungen durch Zwischenspeicherung
- Leitungsoptimierungen – Optimierungen für kleine wahlfreie Lese-/Schreib-EA-Vorgänge
Technischer Hintergrund
Weitere Informationen
Das SMBv2-Protokoll wurde in Windows Vista und Windows Server 2008 eingeführt.
Das SMBv3-Protokoll wurde in Windows 8 und Windows Server 2012 eingeführt.
Weitere Informationen zu den Funktionen von SMBv2 und SMBv3 finden Sie auf den folgenden Microsoft TechNet-Websites:
Aktivieren oder Deaktivieren der SMB-Protokolle auf dem SMB-Server, Windows 8 und Windows Server 2012
In Windows 8 und Windows Server 2012 wird das neue Windows PowerShell-Cmdlet Set-SMBServerConfiguration eingeführt. Das Cmdlet ermöglicht Ihnen, die Protokolle SMBv3, SMBv1 und SMBv2 auf der Serverkomponente zu aktivieren oder zu deaktivieren.
SMB1, SMB2, SMB3 aktivieren und deaktivieren
Hinweise Wenn Sie SMBv2 in Windows 8 oder in Windows Server 2012 aktivieren oder deaktivieren, wird SMBv3 ebenfalls aktiviert oder deaktiviert. Dieses Verhalten tritt auf, weil diese Protokolle denselben Stapel verwenden.
Nach der Ausführung des Set-SMBServerConfiguration-Cmdlets muss der Computer nicht neu gestartet werden.
Um den aktuellen Status der SMB-Serverprotokollkonfiguration abzurufen, führen Sie das folgende Cmdlet aus:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
Um SMBv1 auf dem SMB-Server zu deaktivieren, führen Sie das folgende Cmdlet aus:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Um SMBv2 und SMBv3 auf dem SMB-Server zu deaktivieren, führen Sie das folgende Cmdlet aus:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Um SMBv1 auf dem SMB-Server zu aktivieren, führen Sie das folgende Cmdlet aus:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
Um SMBv2 und SMBv3 auf dem SMB-Server zu aktivieren, führen Sie das folgende Cmdlet aus:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Windows 7, Windows Server 2008 R2, Windows Vista und Windows Server 2008
Verwenden Sie zum Aktivieren oder Deaktivieren der SMB-Protokolle auf einem SMB-Server unter Windows 7, Windows Server 2008 R2, Windows Vista oder Windows Server 2008 Windows PowerShell oder den Registrierungs-Editor.
Windows PowerShell 2.0 oder eine höhere Version
Um SMBv1 auf dem SMB-Server zu deaktivieren, führen Sie das folgende Cmdlet aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Um SMBv2 und SMBv3 auf dem SMB-Server zu deaktivieren, führen Sie das folgende Cmdlet aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
Um SMBv1 auf dem SMB-Server zu aktivieren, führen Sie das folgende Cmdlet aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
Um SMBv2 und SMBv3 auf dem SMB-Server zu aktivieren, führen Sie das folgende Cmdlet aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
Hinweis Sie müssen Ihren Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.
Registrierungs-Editor
Wichtig Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie die Registrierung bearbeiten. Sie müssen wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
- 322756 Sichern und Wiederherstellen der Registrierung in Windows
Um SMBv1 auf dem SMB-Server zu aktivieren oder zu deaktivieren, erstellen oder konfigurieren Sie den folgenden Registrierungsschlüssel:
Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistrierungseintrag: SMB1
REG_DWORD: 0 = Deaktiviert
REG_DWORD: 1 = Aktiviert
Standardwert: 1 = Aktiviert
Um SMBv2 auf dem SMB-Server zu aktivieren oder zu deaktivieren, erstellen oder konfigurieren Sie den folgenden Registrierungsschlüssel:
Registrierungsunterschlüssel:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistrierungseintrag: SMB2
REG_DWORD: 0 = Deaktiviert
REG_DWORD: 1 = Aktiviert
Standardwert: 1 = Aktiviert
Aktivieren oder Deaktivieren der SMB-Protokolle auf dem SMB-Client
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012
Hinweis: Wenn Sie SMBv2 in Windows 8 oder in Windows Server 2012 aktivieren oder deaktivieren, wird SMBv3 ebenfalls aktiviert oder deaktiviert. Dieses Verhalten tritt auf, weil diese Protokolle denselben Stapel verwenden.
Um SMBv1 auf dem SMB-Client zu deaktivieren, führen Sie die folgenden Befehle mit Admin rechten aus:
- sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled
Um SMBv1 auf dem SMB-Client zu aktivieren, führen Sie die folgenden Befehle aus:
- sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
Um SMBv2 und SMBv3 auf dem SMB-Client zu deaktivieren, führen Sie die folgenden Befehle aus:
- sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
Um SMBv2 und SMBv3 auf dem SMB-Client zu aktivieren, führen Sie die folgenden Befehle aus:
- sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
Hinweise
Sie müssen diese Befehle an einer Eingabeaufforderung mit erhöhten Rechten ausführen.
Sie müssen Ihren Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.
Deaktivieren des SMBv1-Servers mithilfe der Gruppenrichtlinien
Hiermit wird das folgende neue Element in der Registrierung konfiguriert.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registrierungseintrag: SMB1 REG_DWORD: 0 = Deaktiviert
So nehmen Sie die Konfiguration mithilfe der Gruppenrichtlinien vor:
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.
- Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen, und erweitern Sie anschließend den Ordner Windows-Einstellungen.
- Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement aus.
- Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:
Aktion: Create
Struktur: HKEY_LOCAL_MACHINE
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Wertname: SMB1
Werttyp: REG_DWORD
Wert: 0
Hiermit werden die SMBv1-Serverkomponenten deaktiviert. Diese Gruppenrichtlinie muss auf alle erforderlichen Arbeitsstationen, Server und Domänencontroller in der Domäne angewendet werden.
Hinweis: WMI-Filter können ebenfalls festgelegt werden, um nicht unterstützte Betriebssysteme oder ausgewählte Ausschlüsse wie etwa Windows XP auszuschließen.
Achtung! Gehen Sie vorsichtig vor bei diesen Änderungen für Domänencontroller mit Windows XP-Legacystemen oder älteren Linux- und Drittanbietersystemen (ohne Unterstützung von SMBv2 oder SMBv3), die Zugriff auf SYSVOL oder andere Dateifreigaben, für die SMB v1 deaktiviert ist, erfordern.
Deaktivieren des SMBv1-Clients mithilfe der Gruppenrichtlinien
Zum Deaktivieren des SMBv1-Clients muss der Registrierungsschlüssel „Services“ aktualisiert werden, um das Starten von MRxSMB10 zu deaktivieren.
Anschließend muss die Abhängigkeit von MRxSMB10 im Registrierungseintrag für LanmanWorkstation entfernt werden, damit die Komponente normal gestartet werden kann, ohne dass zuvor MRxSMB10 gestartet werden muss.
Hiermit werden die Standardwerte in den folgenden beiden Registrierungselementen aktualisiert und ersetzt.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
Registrierungseintrag: Start REG_DWORD: 4 = Deaktiviert
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Registrierungseintrag: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”
Hinweis: MRxSMB10 war standardmäßig enthalten und wurde nun als Abhängigkeit entfernt.
So nehmen Sie die Konfiguration mithilfe der Gruppenrichtlinien vor:
- Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.
- Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen, und erweitern Sie anschließend den Ordner Windows-Einstellungen.
- Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement aus.
- Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:
Aktion: Update
Struktur: HKEY_LOCAL_MACHINE
Schlüsselpfad: SYSTEM\CurrentControlSet\services\mrxsmb10
Wertname: Start
Werttyp: REG_DWORD
Wert: 4 - Entfernen Sie anschließend die Abhängigkeit von der soeben deaktivierten MRxSMB10-Komponente.
- Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:
Aktion: Replace
Struktur: HKEY_LOCAL_MACHINE
Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Wertname: DependOnService
Werttyp: REG_MULTI_SZ
Wert: Bowser MRxSmb20NSI
Hinweis: Diese drei Zeichenfolgen weisen keine Aufzählungszeichen auf (siehe unten).
MRxSMB10 ist standardmäßig in vielen Windows-Versionen enthalten.
Durch Ersetzen mit dieser mehrwertigen Zeichenfolge wird MRxSMB10 als Abhängigkeit für LanmanServer entfernt und die vier Standardwerte werden auf die obigen drei Werte reduziert.
Hinweis: Bei Verwendung der Gruppenrichtlinien-Verwaltungskonsole müssen keine Anführungszeichen oder Kommas verwendet werden. Geben Sie einfach wie oben dargestellt jeden Eintrag in eine separate Zeile ein:
Ein Neustart ist erforderlich!
Nachdem die Richtlinie angewendet wurde und die Registrierungseinstellungen vorhanden sind, müssen die Zielsysteme neu gestartet werden, damit SMB v1 deaktiviert wird.
Zusammenfassung
Wenn alle Einstellungen im selben Gruppenrichtlinienobjekt (GPO) vorhanden sind, werden im Gruppenrichtlinienverwaltungs-Editor die nachfolgenden Einstellungen angezeigt:
Testen und Validieren
Nach erfolgter Konfiguration sollte die Richtlinie repliziert und aktualisiert werden. Soweit dies zu Testzwecken erforderlich ist, führen Sie gpupdate /force an einer CMD.EXE-Eingabeaufforderung aus, und überprüfen Sie die Zielcomputer, um sicherzustellen, dass die Registrierungseinstellungen ordnungsgemäß angewendet werden. Stellen Sie sicher, dass SMB v2 und SMB v3 für alle anderen Systeme in der Umgebung ordnungsgemäß funktionieren.
Achtung! Denken Sie daran, die Zielsysteme neu zu starten.
Ordnungsgemäßes Entfernen von SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2 und Windows Server 2016
Windows Server: Server-Manager-Methode
Windows Server: PowerShell-Methode (Remove-WindowsFeature FS-SMB1)
Windows-Client: „Programme hinzufügen oder entfernen“-Methode
Windows-Client: PowerShell-Methode (Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol)
Weitere Informationen finden Sie unter Server storage at Microsoft.
Eigenschaften
Artikelnummer: 2696547 – Letzte Überarbeitung: 24.05.2017 – Revision: 4
Die Informationen in diesem Artikel beziehen sich auf:
Windows 10 Pro released in July 2015, Windows 10 Enterprise released in July 2015, Windows Vista Enterprise, Windows Vista Business, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Ultimate, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 8, Windows 8 Enterprise, Windows 8 Pro, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2016