Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 unter WindowsHow to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows

Gilt für: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies to: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Artikel wird beschrieben, wie Sie Server Message Block (SMB) Version 1 (SMBv1), SMB Version 2 (SMBv2) und SMB Version 3 (SMBv3) auf den SMB-Client- und -Serverkomponenten aktivieren und deaktivieren.This article describes how to enable and disable Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2), and SMB version 3 (SMBv3) on the SMB client and server components.

Während das Deaktivieren oder Entfernen von SMBv1 zu Kompatibilitätsproblemen mit alten Computern oder Software führen kann, weist SMBv1 erhebliche Sicherheitsrisiken auf, und es wird dringend empfohlen, sie nicht zu verwenden.While disabling or removing SMBv1 might cause some compatibility issues with old computers or software, SMBv1 has significant security vulnerabilities and we strongly encourage you not to use it.

Deaktivieren von SMBv2 oder SMBv3 für die ProblembehandlungDisabling SMBv2 or SMBv3 for troubleshooting

Es wird empfohlen, SMBv2 und SMBv3 aktiviert zu lassen, aber es kann hilfreich sein, diese vorübergehend für die Problembehandlung zu deaktivieren.We recommend keeping SMBv2 and SMBv3 enabled, but you might find it useful to disable one temporarily for troubleshooting. Weitere Informationen finden Sie unter Erkennen des Status, Aktivieren und Deaktivieren von SMB-Protokollen auf dem SMB-Server.For more information, see How to detect status, enable, and disable SMB protocols on the SMB Server.

In Windows 10, Windows 8.1 und Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 und Windows Server 2012 deaktiviert die Deaktivierung von SMBv3 die folgenden Funktionen:In Windows 10, Windows 8.1, and Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, and Windows Server 2012, disabling SMBv3 deactivates the following functionality:

  • Transparentes Failover: Clients stellen während der Wartung oder des Failovers die Verbindung mit Clusterknoten ohne Unterbrechung wieder her.Transparent Failover - clients reconnect without interruption to cluster nodes during maintenance or failover
  • Scale Out: gleichzeitiger Zugriff auf freigegebene Daten auf allen DateiclusterknotenScale Out - concurrent access to shared data on all file cluster nodes
  • Multichannel: Aggregation von Netzwerkbandbreite und Fehlertoleranz, wenn mehrere Pfade zwischen Client und Server verfügbar sindMultichannel - aggregation of network bandwidth and fault tolerance if multiple paths are available between client and server
  • SMB Direct: Fügt RDMA-Netzwerkunterstützung für hohe Leistung bei geringer Latenz und geringer CPU-Auslastung hinzu.SMB Direct - adds RDMA networking support for high performance, with low latency and low CPU use
  • Verschlüsselung: Bietet End-to-End-Verschlüsselung und schützt vor Lauschangriffen in nicht vertrauenswürdigen Netzwerken.Encryption - Provides end-to-end encryption and protects from eavesdropping on untrustworthy networks
  • Verzeichnisleasing: Verbessert die Antwortzeiten von Anwendungen in Filialen durch Zwischenspeichern.Directory Leasing - Improves application response times in branch offices through caching
  • Leistungsoptimierungen: Optimierungen für kleine zufällige Lese-/Schreib-E/APerformance Optimizations - optimizations for small random read/write I/O

In Windows 7 und Windows Server 2008 R2 deaktiviert das Deaktivieren von SMBv2 die folgenden Funktionen:In Windows 7 and Windows Server 2008 R2, disabling SMBv2 deactivates the following functionality:

  • Anforderungsverbund: Ermöglicht das Senden mehrerer SMBv2-Anforderungen als einzelne Netzwerkanforderung.Request compounding - allows for sending multiple SMBv2 requests as a single network request
  • Größere Lese- und Schreibvorgänge– bessere Nutzung schnellerer NetzwerkeLarger reads and writes - better use of faster networks
  • Zwischenspeichern von Ordner- und Dateieigenschaften: Clients behalten lokale Kopien von Ordnern und Dateien bei.Caching of folder and file properties - clients keep local copies of folders and files
  • Dauerhafte Handles: Ermöglicht die transparente Wiederherstellung der Verbindung mit dem Server, wenn eine vorübergehende Trennung der Verbindung besteht.Durable handles - allow for connection to transparently reconnect to the server if there's a temporary disconnection
  • Verbesserte Nachrichtensignatur: HMAC SHA-256 ersetzt MD5 als HashalgorithmusImproved message signing - HMAC SHA-256 replaces MD5 as hashing algorithm
  • Verbesserte Skalierbarkeit für die Dateifreigabe: Die Anzahl der Benutzer, Freigaben und geöffneten Dateien pro Server wurde erheblich erhöht.Improved scalability for file sharing - number of users, shares, and open files per server greatly increased
  • Unterstützung symbolischer VerknüpfungenSupport for symbolic links
  • Clientoplock-Leasemodell: schränkt die zwischen Client und Server übertragenen Daten ein, verbessert die Leistung in Netzwerken mit hoher Latenz und erhöht die Skalierbarkeit von SMB-Servern.Client oplock leasing model - limits the data transferred between the client and server, improving performance on high-latency networks and increasing SMB server scalability
  • Große MTU-Unterstützung – für die vollständige Verwendung von 10 Gigabit Ethernet (GbE)Large MTU support - for full use of 10 Gigabit Ethernet (GbE)
  • Verbesserte Energieeffizienz: Clients, die über geöffnete Dateien auf einem Server verfügen, können in den Energiesparmodus gehen.Improved energy efficiency - clients that have open files to a server can sleep

Das SMBv2-Protokoll wurde in Windows Vista und Windows Server 2008 eingeführt, während das SMBv3-Protokoll in Windows 8 und Windows Server 2012 eingeführt wurde.The SMBv2 protocol was introduced in Windows Vista and Windows Server 2008, while the SMBv3 protocol was introduced in Windows 8 and Windows Server 2012. Weitere Informationen zu SMBv2- und SMBv3-Funktionen finden Sie in den folgenden Artikeln:For more information about SMBv2 and SMBv3 capabilities, see the following articles:

Entfernen von SMBv1How to remove SMBv1

So entfernen Sie SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 und Windows 2012 R2.Here's how to remove SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, and Windows 2012 R2.

PowerShell-MethodenPowerShell methods

SMBv1 (Client und Server)SMBv1 (client and server)
  • Erkennen:Detect:

    Get-WindowsOptionalFeature -Online -FeatureName smb1protocol
    
  • Deaktivieren:Disable:

    Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
    
  • Aktivieren Sie:Enable:

    Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol
    

Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: Server-Manager zum Deaktivieren von SMBWindows Server 2012 R2, Windows Server 2016, Windows Server 2019: Server Manager method for disabling SMB

SMBv1SMBv1

Server-Manager – Dashboardmethode

So entfernen Sie SMBv1 aus Windows Server:To remove SMBv1 from Windows Server:

  1. Wählen Sie auf dem Server-Manager Dashboard des Servers, auf dem Sie SMBv1 entfernen möchten, unter Diesen lokalen Server konfigurieren die Option Rollen und Features hinzufügen aus.On the Server Manager Dashboard of the server where you want to remove SMBv1, under Configure this local server, select Add roles and features.
  2. Wählen Sie auf der Seite Bevor Sie beginnen den Assistenten zum Entfernen von Rollen und Features starten aus, und klicken Sie dann auf der folgenden Seite auf Weiter.On the Before you begin page, select Start the Remove Roles and Features Wizard, and then on the following page, select Next.
  3. Stellen Sie auf der Seite Zielserver auswählen unter Serverpool sicher, dass der Server, von dem Sie das Feature entfernen möchten, ausgewählt ist, und wählen Sie dann Weiter aus.On the Select destination server page under Server Pool, ensure that the server you want to remove the feature from is selected, and then select Next.
  4. Wählen Sie auf der Seite Serverrollen entfernen die Option Weiter aus.On the Remove server roles page, select Next.
  5. Deaktivieren Sie auf der Seite Features entfernen das Kontrollkästchen für SMB 1.0/CIFS-Dateifreigabeunterstützung, und wählen Sie Weiter aus.On the Remove features page, clear the check box for SMB 1.0/CIFS File Sharing Support and select Next.
  6. Vergewissern Sie sich auf der Seite Entfernungsauswahl bestätigen, dass das Feature aufgeführt ist, und wählen Sie dann Entfernen aus.On the Confirm removal selections page, confirm that the feature is listed, and then select Remove.

Windows 8.1 und Windows 10: PowerShell-MethodeWindows 8.1 and Windows 10: PowerShell method

SMBv1-ProtokollSMBv1 Protocol
  • Erkennen:Detect:

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Deaktivieren:Disable:

    Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Aktivieren Sie:Enable:

    Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
SMBv2/v3-Protokoll (deaktiviert nur SMBv2/v3-Server)SMBv2/v3 Protocol (only disables SMBv2/v3 Server)
  • Erkennen:Detect:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol
    
  • Deaktivieren:Disable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false
    
  • Aktivieren Sie:Enable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true
    

Windows 8.1 und Windows 10: Methode "Software" hinzufügen oder entfernenWindows 8.1 and Windows 10: Add or Remove Programs method

client-Methode "Add-Remove Programs"

So deaktivieren Sie SMBv1 für Windows 8.1 und Windows 10:To disable SMBv1 on Windows 8.1 and Windows 10:

  1. Wählen Sie in der Systemsteuerung die Option Programme und Features aus.In Control Panel, select Programs and Features.
  2. Wählen Sie unter Startseite der Systemsteuerung die Option Windows-Features aktivieren oder deaktivieren aus, um das Feld Windows-Features zu öffnen.Under Control Panel Home, select Turn Windows features on or off to open the Windows Features box.
  3. Scrollen Sie im Feld Windows-Funktionen nach unten in der Liste, deaktivieren Sie das Kontrollkästchen für SMB 1.0/CIFS-Dateifreigabeunterstützung, und wählen Sie OK aus.In the Windows Features box, scroll down the list, clear the check box for SMB 1.0/CIFS File Sharing Support and select OK.
  4. Nachdem Windows die Änderung angewendet hat, wählen Sie auf der Bestätigungsseite Neu starten aus.After Windows applies the change, on the confirmation page, select Restart now.

Erkennen des Status, Aktivieren und Deaktivieren von SMB-Protokollen auf dem SMB-ServerHow to detect status, enable, and disable SMB protocols on the SMB Server

Für Windows 8 und Windows Server 2012For Windows 8 and Windows Server 2012

Windows 8 und Windows Server 2012 haben das neue Cmdlet Set-SMBServerConfiguration Windows PowerShell eingeführt.Windows 8 and Windows Server 2012 introduced the new Set-SMBServerConfiguration Windows PowerShell cmdlet. Mit dem Cmdlet können Sie die Protokolle SMBv1, SMBv2 und SMBv3 auf der Serverkomponente aktivieren oder deaktivieren.The cmdlet enables you to enable or disable the SMBv1, SMBv2, and SMBv3 protocols on the server component.

Hinweis

Wenn Sie SMBv2 in Windows 8 oder Windows Server 2012 aktivieren oder deaktivieren, ist SMBv3 ebenfalls aktiviert oder deaktiviert.When you enable or disable SMBv2 in Windows 8 or Windows Server 2012, SMBv3 is also enabled or disabled. Dieses Verhalten tritt auf, da diese Protokolle denselben Stapel verwenden.This behavior occurs because these protocols share the same stack.

Sie müssen den Computer nach dem Ausführen des Cmdlets Set-SMBServerConfiguration nicht neu starten.You don't have to restart the computer after you run the Set-SMBServerConfiguration cmdlet.

SMBv1 auf SMB-ServerSMBv1 on SMB Server
  • Erkennen:Detect:

    Get-SmbServerConfiguration | Select EnableSMB1Protocol
    
  • Deaktivieren:Disable:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false
    
  • Aktivieren Sie:Enable:

    Set-SmbServerConfiguration -EnableSMB1Protocol $true
    

Weitere Informationen finden Sie unter Serverspeicher bei Microsoft.For more information, see Server storage at Microsoft.

SMB v2/v3 auf dem SMB-ServerSMB v2/v3 on SMB Server
  • Erkennen:Detect:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol
    
  • Deaktivieren:Disable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false
    
  • Aktivieren Sie:Enable:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true
    

Für Windows 7, Windows Server 2008 R2, Windows Vista und Windows Server 2008For Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Verwenden Sie zum Aktivieren oder Deaktivieren von SMB-Protokollen auf einem SMB-Server, auf dem Windows 7, Windows Server 2008 R2, Windows Vista oder Windows Server 2008 ausgeführt wird, Windows PowerShell oder den Registrierungs-Editor.To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.

PowerShell-MethodenPowerShell methods

Hinweis

Diese Methode erfordert PowerShell 2.0 oder eine neuere Version von PowerShell.This method requires PowerShell 2.0 or later version of PowerShell.

SMBv1 auf SMB-ServerSMBv1 on SMB Server

Erkennen:Detect:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Standardkonfiguration = Aktiviert (Es wird kein Registrierungsschlüssel erstellt), sodass kein SMB1-Wert zurückgegeben wird.Default configuration = Enabled (No registry key is created), so no SMB1 value will be returned

Deaktivieren:Disable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Aktivieren Sie:Enable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Hinweis Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.Note You must restart the computer after you make these changes. Weitere Informationen finden Sie unter Serverspeicher unter Microsoft.For more information, see Server storage at Microsoft.

SMBv2/v3 auf SMB-ServerSMBv2/v3 on SMB Server

Erkennen:Detect:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Deaktivieren:Disable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Aktivieren Sie:Enable:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Hinweis

Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.You must restart the computer after you make these changes.

Registrierungs-EditorRegistry Editor

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig.Follow the steps in this section carefully. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten.Serious problems might occur if you modify the registry incorrectly. Bevor Sie sie ändern, sichern Sie die Registrierung zwecks Wiederherstellung für den Fall, dass Probleme auftreten.Before you modify it, back up the registry for restoration in case problems occur.

Konfigurieren Sie den folgenden Registrierungsschlüssel, um SMBv1 auf dem SMB-Server zu aktivieren oder zu deaktivieren:To enable or disable SMBv1 on the SMB server, configure the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Konfigurieren Sie den folgenden Registrierungsschlüssel, um SMBv2 auf dem SMB-Server zu aktivieren oder zu deaktivieren:To enable or disable SMBv2 on the SMB server, configure the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Hinweis

Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.You must restart the computer after you make these changes.

Erkennen des Status, Aktivieren und Deaktivieren von SMB-Protokollen auf dem SMB-ClientHow to detect status, enable, and disable SMB protocols on the SMB Client

Für Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012For Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Hinweis

Wenn Sie SMBv2 in Windows 8 oder in Windows Server 2012 aktivieren oder deaktivieren, ist SMBv3 ebenfalls aktiviert oder deaktiviert.When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. Dieses Verhalten tritt auf, weil diese Protokolle denselben Stapel verwenden.This behavior occurs because these protocols share the same stack.

SMBv1 auf dem SMB-ClientSMBv1 on SMB Client
  • DetectDetect

    sc.exe qc lanmanworkstation
    
  • Deaktivieren:Disable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= disabled
    
  • Aktivieren Sie:Enable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= auto
    

Weitere Informationen finden Sie unter Serverspeicher bei Microsoft.For more information, see Server storage at Microsoft

SMBv2/v3 auf dem SMB-ClientSMBv2/v3 on SMB Client
  • Erkennen:Detect:

    sc.exe qc lanmanworkstation
    
  • Deaktivieren:Disable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
    sc.exe config mrxsmb20 start= disabled
    
  • Aktivieren Sie:Enable:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
    sc.exe config mrxsmb20 start= auto
    

Hinweis

  • Sie müssen diese Befehle an einer Eingabeaufforderung mit erhöhten Rechten ausführen.You must run these commands at an elevated command prompt.
  • Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.You must restart the computer after you make these changes.

Deaktivieren des SMBv1-Servers mit GruppenrichtlinieDisable SMBv1 Server with Group Policy

Mit diesem Verfahren wird das folgende neue Element in der Registrierung konfiguriert:This procedure configures the following new item in the registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  • Registrierungseintrag: SMB1Registry entry: SMB1
  • REG_DWORD: 0 = DeaktiviertREG_DWORD: 0 = Disabled

Um dies Gruppenrichtlinie konfigurieren, führen Sie die folgenden Schritte aus:To use Group Policy to configure this, follow these steps:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.Open the Group Policy Management Console. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO, Group Policy Object), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit.

  2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen und dann den Ordner Windows-Einstellungen.In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.

  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement.Right-click the Registry node, point to New, and select Registry Item.

    Registrierung – Neu – Registrierungselement

Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:In the New Registry Properties dialog box, select the following:

  • Aktion: ErstellenAction: Create
  • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
  • Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersKey Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Wertname: SMB1Value name: SMB1
  • Werttyp: REG_DWORDValue type: REG_DWORD
  • Wertdaten: 0Value data: 0

Neue Registrierungseigenschaften – Allgemein

Mit diesem Verfahren werden die SMBv1-Serverkomponenten deaktiviert.This procedure disables the SMBv1 Server components. Diese Gruppenrichtlinie muss auf alle erforderlichen Arbeitsstationen, Server und Domänencontroller in der Domäne angewendet werden.This Group Policy must be applied to all necessary workstations, servers, and domain controllers in the domain.

Hinweis

WMI-Filter können auch so festgelegt werden, dass nicht unterstützte Betriebssysteme oder ausgewählte Ausschlüsse wie Windows XP ausgeschlossen werden.WMI filters can also be set to exclude unsupported operating systems or selected exclusions, such as Windows XP.

Wichtig

Gehen Sie vorsichtig vor, wenn Sie diese Änderungen auf Domänencontrollern vornehmen, auf denen ältere Windows XP- oder ältere Linux- und Drittanbietersysteme (die SMBv2 oder SMBv3 nicht unterstützen) Zugriff auf SYSVOL oder andere Dateifreigaben benötigen, auf denen SMB v1 deaktiviert ist.Be careful when you make these changes on domain controllers on which legacy Windows XP or older Linux and third-party systems (that don't support SMBv2 or SMBv3) require access to SYSVOL or other file shares where SMB v1 is being disabled.

Deaktivieren des SMBv1-Clients mit GruppenrichtlinieDisable SMBv1 Client with Group Policy

Um den SMBv1-Client zu deaktivieren, muss der Dienstregistrierungsschlüssel aktualisiert werden, um den Start von MRxSMB10 zu deaktivieren. Anschließend muss die Abhängigkeit von MRxSMB10 aus dem Eintrag für LanmanWorkstation entfernt werden, damit er normal gestartet werden kann, ohne dass MRxSMB10 zuerst gestartet werden muss.To disable the SMBv1 client, the services registry key needs to be updated to disable the start of MRxSMB10 and then the dependency on MRxSMB10 needs to be removed from the entry for LanmanWorkstation so that it can start normally without requiring MRxSMB10 to first start.

In diesem Leitfaden werden die Standardwerte in den folgenden beiden Elementen in der Registrierung aktualisiert und ersetzt:This guidance updates and replaces the default values in the following two items in the registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registrierungseintrag: Start REG_DWORD: 4= DeaktiviertRegistry entry: Start REG_DWORD: 4= Disabled

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstationHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registrierungseintrag: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20","NSI"Registry entry: DependOnService REG_MULTI_SZ: "Bowser","MRxSmb20″,"NSI"

Hinweis

Der Standard enthält MRxSMB10, der jetzt als Abhängigkeit entfernt wird.The default included MRxSMB10 which is now removed as dependency.

Führen Sie die folgenden Schritte aus, um dies mithilfe von Gruppenrichtlinie zu konfigurieren:To configure this by using Group Policy, follow these steps:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.Open the Group Policy Management Console. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.Right-click the GPO that should contain the new preference item, and then click Edit.

  2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen, und erweitern Sie dann den Ordner Windows-Einstellungen.In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.

  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement.Right-click the Registry node, point to New, and select Registry Item.

  4. Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:In the New Registry Properties dialog box, select the following:

    • Aktion: AktualisierenAction: Update
    • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
    • Schlüsselpfad: SYSTEM\CurrentControlSet\services\mrxsmb10Key Path: SYSTEM\CurrentControlSet\services\mrxsmb10
    • Wertname: StartValue name: Start
    • Werttyp: REG_DWORDValue type: REG_DWORD
    • Wertdaten: 4Value data: 4

    Starteigenschaften – Allgemein

  5. Entfernen Sie dann die Abhängigkeit von MRxSMB10, die deaktiviert wurde.Then remove the dependency on the MRxSMB10 that was disabled.

    Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:In the New Registry Properties dialog box, select the following:

    • Aktion: ErsetzenAction: Replace
    • Hive: HKEY_LOCAL_MACHINEHive: HKEY_LOCAL_MACHINE
    • Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstationKey Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
    • Wertname: DependOnServiceValue name: DependOnService
    • Werttyp: REG_MULTI_SZValue type: REG_MULTI_SZ
    • Wertdaten:Value data:
      • BowserBowser
      • MRxSmb20MRxSmb20
      • NsiNSI

    Hinweis

    Diese drei Zeichenfolgen enthalten keine Aufzählungszeichen (siehe den folgenden Screenshot).These three strings will not have bullets (see the following screen shot).

    DependOnService-Eigenschaften

    Der Standardwert enthält MRxSMB10 in vielen Versionen von Windows. Wenn Sie sie also durch diese mehrwertige Zeichenfolge ersetzen, wird MRxSMB10 als Abhängigkeit für LanmanServer entfernt und von vier Standardwerten auf nur diese drei werte oben umgestellt.The default value includes MRxSMB10 in many versions of Windows, so by replacing them with this multi-value string, it is in effect removing MRxSMB10 as a dependency for LanmanServer and going from four default values down to just these three values above.

    Hinweis

    Wenn Sie Gruppenrichtlinien-Verwaltungskonsole verwenden, müssen Sie keine Anführungszeichen oder Kommas verwenden.When you use Group Policy Management Console, you don't have to use quotation marks or commas. Geben Sie einfach jeden Eintrag in einzelne Zeilen ein.Just type each entry on individual lines.

  6. Starten Sie die Zielsysteme neu, um die Deaktivierung von SMB v1 zu beenden.Restart the targeted systems to finish disabling SMB v1.

Überwachen der SMBv1-NutzungAuditing SMBv1 usage

Um zu ermitteln, welche Clients versuchen, eine Verbindung mit einem SMB-Server mit SMBv1 herzustellen, können Sie die Überwachung unter Windows Server 2016, Windows 10 und Windows Server 2019 aktivieren.To determine which clients are attempting to connect to an SMB server with SMBv1, you can enable auditing on Windows Server 2016, Windows 10, and Windows Server 2019. Sie können auch unter Windows 7 und Windows Server 2008 R2 überwachen, wenn das monatliche Update vom Mai 2018 installiert ist, und unter Windows 8.1 und Windows Server 2012 R2, wenn das monatliche Update vom Juli 2017 installiert ist.You can also audit on Windows 7 and Windows Server 2008 R2 if the May 2018 monthly update is installed, and on Windows 8.1 and Windows Server 2012 R2 if the July 2017 monthly update is installed.

  • Aktivieren Sie:Enable:

    Set-SmbServerConfiguration -AuditSmb1Access $true
    
  • Deaktivieren:Disable:

    Set-SmbServerConfiguration -AuditSmb1Access $false
    
  • Erkennen:Detect:

    Get-SmbServerConfiguration | Select AuditSmb1Access
    

Wenn die SMBv1-Überwachung aktiviert ist, wird das Ereignis 3000 im Ereignisprotokoll "Microsoft-Windows-SMBServer\Audit" angezeigt, das jeden Client identifiziert, der versucht, eine Verbindung mit SMBv1 herzustellen.When SMBv1 auditing is enabled, event 3000 appears in the "Microsoft-Windows-SMBServer\Audit" event log, identifying each client that attempts to connect with SMBv1.

ZusammenfassungSummary

Wenn sich alle Einstellungen im selben Gruppenrichtlinienobjekt befinden, zeigt Gruppenrichtlinie Management die folgenden Einstellungen an.If all the settings are in the same GPO, Group Policy Management displays the following settings.

Gruppenrichtlinienverwaltungs-Editor – Registrierung

Testen und ÜberprüfenTesting and validation

Lassen Sie nach Abschluss der Konfigurationsschritte in diesem Artikel die Replikation und Aktualisierung der Richtlinie zu.After completing the configuration steps in this article, allow the policy to replicate and update. Führen Sie bei Bedarf gpupdate /force an einer Eingabeaufforderung aus, und überprüfen Sie dann die Zielcomputer, um sicherzustellen, dass die Registrierungseinstellungen ordnungsgemäß angewendet werden.As necessary for testing, run gpupdate /force at a command prompt, and then review the target computers to make sure that the registry settings are applied correctly. Stellen Sie sicher, dass SMBv2 und SMBv3 für alle anderen Systeme in der Umgebung funktionieren.Make sure SMBv2 and SMBv3 are functioning for all other systems in the environment.

Hinweis

Vergessen Sie nicht, die Zielsysteme neu zu starten.Don't forget to restart the target systems.