Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 unter Windows

Gilt für: Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In diesem Artikel wird beschrieben, wie Sie Server Message Block (SMB) Version 1 (SMBv1), SMB Version 2 (SMBv2) und SMB Version 3 (SMBv3) auf den SMB-Client- und -Serverkomponenten aktivieren und deaktivieren.

Während das Deaktivieren oder Entfernen von SMBv1 zu Kompatibilitätsproblemen mit alten Computern oder Software führen kann, weist SMBv1 erhebliche Sicherheitsrisiken auf, und es wird dringend empfohlen, sie nicht zu verwenden.

Deaktivieren von SMBv2 oder SMBv3 für die Problembehandlung

Es wird empfohlen, SMBv2 und SMBv3 aktiviert zu lassen, aber es kann hilfreich sein, diese vorübergehend für die Problembehandlung zu deaktivieren. Weitere Informationen finden Sie unter Erkennen des Status, Aktivieren und Deaktivieren von SMB-Protokollen auf dem SMB-Server.

In Windows 10, Windows 8.1 und Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 und Windows Server 2012 deaktiviert die Deaktivierung von SMBv3 die folgenden Funktionen:

  • Transparentes Failover: Clients stellen während der Wartung oder des Failovers die Verbindung mit Clusterknoten ohne Unterbrechung wieder her.
  • Scale Out: gleichzeitiger Zugriff auf freigegebene Daten auf allen Dateiclusterknoten
  • Multichannel: Aggregation von Netzwerkbandbreite und Fehlertoleranz, wenn mehrere Pfade zwischen Client und Server verfügbar sind
  • SMB Direct: Fügt RDMA-Netzwerkunterstützung für hohe Leistung bei geringer Latenz und geringer CPU-Auslastung hinzu.
  • Verschlüsselung: Bietet End-to-End-Verschlüsselung und schützt vor Lauschangriffen in nicht vertrauenswürdigen Netzwerken.
  • Verzeichnisleasing: Verbessert die Antwortzeiten von Anwendungen in Filialen durch Zwischenspeichern.
  • Leistungsoptimierungen: Optimierungen für kleine zufällige Lese-/Schreib-E/A

In Windows 7 und Windows Server 2008 R2 deaktiviert das Deaktivieren von SMBv2 die folgenden Funktionen:

  • Anforderungsverbund: Ermöglicht das Senden mehrerer SMBv2-Anforderungen als einzelne Netzwerkanforderung.
  • Größere Lese- und Schreibvorgänge– bessere Nutzung schnellerer Netzwerke
  • Zwischenspeichern von Ordner- und Dateieigenschaften: Clients behalten lokale Kopien von Ordnern und Dateien bei.
  • Dauerhafte Handles: Ermöglicht die transparente Wiederherstellung der Verbindung mit dem Server, wenn eine vorübergehende Trennung der Verbindung besteht.
  • Verbesserte Nachrichtensignatur: HMAC SHA-256 ersetzt MD5 als Hashalgorithmus
  • Verbesserte Skalierbarkeit für die Dateifreigabe: Die Anzahl der Benutzer, Freigaben und geöffneten Dateien pro Server wurde erheblich erhöht.
  • Unterstützung symbolischer Verknüpfungen
  • Clientoplock-Leasemodell: schränkt die zwischen Client und Server übertragenen Daten ein, verbessert die Leistung in Netzwerken mit hoher Latenz und erhöht die Skalierbarkeit von SMB-Servern.
  • Große MTU-Unterstützung – für die vollständige Verwendung von 10 Gigabit Ethernet (GbE)
  • Verbesserte Energieeffizienz: Clients, die über geöffnete Dateien auf einem Server verfügen, können in den Energiesparmodus gehen.

Das SMBv2-Protokoll wurde in Windows Vista und Windows Server 2008 eingeführt, während das SMBv3-Protokoll in Windows 8 und Windows Server 2012 eingeführt wurde. Weitere Informationen zu SMBv2- und SMBv3-Funktionen finden Sie in den folgenden Artikeln:

Entfernen von SMBv1

So entfernen Sie SMBv1 in Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 und Windows 2012 R2.

PowerShell-Methoden

SMBv1 (Client und Server)
  • Erkennen:

    Get-WindowsOptionalFeature -Online -FeatureName smb1protocol
    
  • Deaktivieren:

    Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
    
  • Aktivieren Sie:

    Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol
    

Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: Server-Manager zum Deaktivieren von SMB

SMBv1

Server-Manager – Dashboardmethode

So entfernen Sie SMBv1 aus Windows Server:

  1. Wählen Sie auf dem Server-Manager Dashboard des Servers, auf dem Sie SMBv1 entfernen möchten, unter Diesen lokalen Server konfigurieren die Option Rollen und Features hinzufügen aus.
  2. Wählen Sie auf der Seite Bevor Sie beginnen den Assistenten zum Entfernen von Rollen und Features starten aus, und klicken Sie dann auf der folgenden Seite auf Weiter.
  3. Stellen Sie auf der Seite Zielserver auswählen unter Serverpool sicher, dass der Server, von dem Sie das Feature entfernen möchten, ausgewählt ist, und wählen Sie dann Weiter aus.
  4. Wählen Sie auf der Seite Serverrollen entfernen die Option Weiter aus.
  5. Deaktivieren Sie auf der Seite Features entfernen das Kontrollkästchen für SMB 1.0/CIFS-Dateifreigabeunterstützung, und wählen Sie Weiter aus.
  6. Vergewissern Sie sich auf der Seite Entfernungsauswahl bestätigen, dass das Feature aufgeführt ist, und wählen Sie dann Entfernen aus.

Windows 8.1 und Windows 10: PowerShell-Methode

SMBv1-Protokoll
  • Erkennen:

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Deaktivieren:

    Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
  • Aktivieren Sie:

    Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    
SMBv2/v3-Protokoll (deaktiviert nur SMBv2/v3-Server)
  • Erkennen:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol
    
  • Deaktivieren:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false
    
  • Aktivieren Sie:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true
    

Windows 8.1 und Windows 10: Methode "Software" hinzufügen oder entfernen

client-Methode "Add-Remove Programs"

So deaktivieren Sie SMBv1 für Windows 8.1 und Windows 10:

  1. Wählen Sie in der Systemsteuerung die Option Programme und Features aus.
  2. Wählen Sie unter Startseite der Systemsteuerung die Option Windows-Features aktivieren oder deaktivieren aus, um das Feld Windows-Features zu öffnen.
  3. Scrollen Sie im Feld Windows-Funktionen nach unten in der Liste, deaktivieren Sie das Kontrollkästchen für SMB 1.0/CIFS-Dateifreigabeunterstützung, und wählen Sie OK aus.
  4. Nachdem Windows die Änderung angewendet hat, wählen Sie auf der Bestätigungsseite Neu starten aus.

Erkennen des Status, Aktivieren und Deaktivieren von SMB-Protokollen auf dem SMB-Server

Für Windows 8 und Windows Server 2012

Windows 8 und Windows Server 2012 haben das neue Cmdlet Set-SMBServerConfiguration Windows PowerShell eingeführt. Mit dem Cmdlet können Sie die Protokolle SMBv1, SMBv2 und SMBv3 auf der Serverkomponente aktivieren oder deaktivieren.

Hinweis

Wenn Sie SMBv2 in Windows 8 oder Windows Server 2012 aktivieren oder deaktivieren, ist SMBv3 ebenfalls aktiviert oder deaktiviert. Dieses Verhalten tritt auf, da diese Protokolle denselben Stapel verwenden.

Sie müssen den Computer nach dem Ausführen des Cmdlets Set-SMBServerConfiguration nicht neu starten.

SMBv1 auf SMB-Server
  • Erkennen:

    Get-SmbServerConfiguration | Select EnableSMB1Protocol
    
  • Deaktivieren:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false
    
  • Aktivieren Sie:

    Set-SmbServerConfiguration -EnableSMB1Protocol $true
    

Weitere Informationen finden Sie unter Serverspeicher bei Microsoft.

SMB v2/v3 auf dem SMB-Server
  • Erkennen:

    Get-SmbServerConfiguration | Select EnableSMB2Protocol
    
  • Deaktivieren:

    Set-SmbServerConfiguration -EnableSMB2Protocol $false
    
  • Aktivieren Sie:

    Set-SmbServerConfiguration -EnableSMB2Protocol $true
    

Für Windows 7, Windows Server 2008 R2, Windows Vista und Windows Server 2008

Verwenden Sie zum Aktivieren oder Deaktivieren von SMB-Protokollen auf einem SMB-Server, auf dem Windows 7, Windows Server 2008 R2, Windows Vista oder Windows Server 2008 ausgeführt wird, Windows PowerShell oder den Registrierungs-Editor.

PowerShell-Methoden

Hinweis

Diese Methode erfordert PowerShell 2.0 oder eine neuere Version von PowerShell.

SMBv1 auf SMB-Server

Erkennen:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Standardkonfiguration = Aktiviert (Es wird kein Registrierungsschlüssel erstellt), sodass kein SMB1-Wert zurückgegeben wird.

Deaktivieren:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Aktivieren Sie:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Hinweis Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben. Weitere Informationen finden Sie unter Serverspeicher unter Microsoft.

SMBv2/v3 auf SMB-Server

Erkennen:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Deaktivieren:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Aktivieren Sie:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Hinweis

Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.

Registrierungs-Editor

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung zwecks Wiederherstellung für den Fall, dass Probleme auftreten.

Konfigurieren Sie den folgenden Registrierungsschlüssel, um SMBv1 auf dem SMB-Server zu aktivieren oder zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Konfigurieren Sie den folgenden Registrierungsschlüssel, um SMBv2 auf dem SMB-Server zu aktivieren oder zu deaktivieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)

Hinweis

Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.

Erkennen des Status, Aktivieren und Deaktivieren von SMB-Protokollen auf dem SMB-Client

Für Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 und Windows Server 2012

Hinweis

Wenn Sie SMBv2 in Windows 8 oder in Windows Server 2012 aktivieren oder deaktivieren, ist SMBv3 ebenfalls aktiviert oder deaktiviert. Dieses Verhalten tritt auf, weil diese Protokolle denselben Stapel verwenden.

SMBv1 auf dem SMB-Client
  • Detect

    sc.exe qc lanmanworkstation
    
  • Deaktivieren:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= disabled
    
  • Aktivieren Sie:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
    sc.exe config mrxsmb10 start= auto
    

Weitere Informationen finden Sie unter Serverspeicher bei Microsoft.

SMBv2/v3 auf dem SMB-Client
  • Erkennen:

    sc.exe qc lanmanworkstation
    
  • Deaktivieren:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
    sc.exe config mrxsmb20 start= disabled
    
  • Aktivieren Sie:

    sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
    sc.exe config mrxsmb20 start= auto
    

Hinweis

  • Sie müssen diese Befehle an einer Eingabeaufforderung mit erhöhten Rechten ausführen.
  • Sie müssen den Computer neu starten, nachdem Sie diese Änderungen vorgenommen haben.

Deaktivieren des SMBv1-Servers mit Gruppenrichtlinie

Mit diesem Verfahren wird das folgende neue Element in der Registrierung konfiguriert:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

  • Registrierungseintrag: SMB1
  • REG_DWORD: 0 = Deaktiviert

Um dies Gruppenrichtlinie konfigurieren, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO, Group Policy Object), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.

  2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen und dann den Ordner Windows-Einstellungen.

  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement.

    Registrierung – Neu – Registrierungselement

Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:

  • Aktion: Erstellen
  • Hive: HKEY_LOCAL_MACHINE
  • Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Wertname: SMB1
  • Werttyp: REG_DWORD
  • Wertdaten: 0

Neue Registrierungseigenschaften – Allgemein

Mit diesem Verfahren werden die SMBv1-Serverkomponenten deaktiviert. Diese Gruppenrichtlinie muss auf alle erforderlichen Arbeitsstationen, Server und Domänencontroller in der Domäne angewendet werden.

Hinweis

WMI-Filter können auch so festgelegt werden, dass nicht unterstützte Betriebssysteme oder ausgewählte Ausschlüsse wie Windows XP ausgeschlossen werden.

Wichtig

Gehen Sie vorsichtig vor, wenn Sie diese Änderungen auf Domänencontrollern vornehmen, auf denen ältere Windows XP- oder ältere Linux- und Drittanbietersysteme (die SMBv2 oder SMBv3 nicht unterstützen) Zugriff auf SYSVOL oder andere Dateifreigaben benötigen, auf denen SMB v1 deaktiviert ist.

Deaktivieren des SMBv1-Clients mit Gruppenrichtlinie

Um den SMBv1-Client zu deaktivieren, muss der Dienstregistrierungsschlüssel aktualisiert werden, um den Start von MRxSMB10 zu deaktivieren. Anschließend muss die Abhängigkeit von MRxSMB10 aus dem Eintrag für LanmanWorkstation entfernt werden, damit er normal gestartet werden kann, ohne dass MRxSMB10 zuerst gestartet werden muss.

In diesem Leitfaden werden die Standardwerte in den folgenden beiden Elementen in der Registrierung aktualisiert und ersetzt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Registrierungseintrag: Start REG_DWORD: 4= Deaktiviert

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Registrierungseintrag: DependOnService REG_MULTI_SZ: "Bowser", "MRxSmb20","NSI"

Hinweis

Der Standard enthält MRxSMB10, der jetzt als Abhängigkeit entfernt wird.

Führen Sie die folgenden Schritte aus, um dies mithilfe von Gruppenrichtlinie zu konfigurieren:

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten.

  2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Einstellungen, und erweitern Sie dann den Ordner Windows-Einstellungen.

  3. Klicken Sie mit der rechten Maustaste auf den Knoten Registrierung, zeigen Sie auf Neu, und wählen Sie Registrierungselement.

  4. Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:

    • Aktion: Aktualisieren
    • Hive: HKEY_LOCAL_MACHINE
    • Schlüsselpfad: SYSTEM\CurrentControlSet\services\mrxsmb10
    • Wertname: Start
    • Werttyp: REG_DWORD
    • Wertdaten: 4

    Starteigenschaften – Allgemein

  5. Entfernen Sie dann die Abhängigkeit von MRxSMB10, die deaktiviert wurde.

    Wählen Sie im Dialogfeld Neue Registrierungseigenschaften Folgendes aus:

    • Aktion: Ersetzen
    • Hive: HKEY_LOCAL_MACHINE
    • Schlüsselpfad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
    • Wertname: DependOnService
    • Werttyp: REG_MULTI_SZ
    • Wertdaten:
      • Bowser
      • MRxSmb20
      • Nsi

    Hinweis

    Diese drei Zeichenfolgen enthalten keine Aufzählungszeichen (siehe den folgenden Screenshot).

    DependOnService-Eigenschaften

    Der Standardwert enthält MRxSMB10 in vielen Versionen von Windows. Wenn Sie sie also durch diese mehrwertige Zeichenfolge ersetzen, wird MRxSMB10 als Abhängigkeit für LanmanServer entfernt und von vier Standardwerten auf nur diese drei werte oben umgestellt.

    Hinweis

    Wenn Sie Gruppenrichtlinien-Verwaltungskonsole verwenden, müssen Sie keine Anführungszeichen oder Kommas verwenden. Geben Sie einfach jeden Eintrag in einzelne Zeilen ein.

  6. Starten Sie die Zielsysteme neu, um die Deaktivierung von SMB v1 zu beenden.

Überwachen der SMBv1-Nutzung

Um zu ermitteln, welche Clients versuchen, eine Verbindung mit einem SMB-Server mit SMBv1 herzustellen, können Sie die Überwachung unter Windows Server 2016, Windows 10 und Windows Server 2019 aktivieren. Sie können auch unter Windows 7 und Windows Server 2008 R2 überwachen, wenn das monatliche Update vom Mai 2018 installiert ist, und unter Windows 8.1 und Windows Server 2012 R2, wenn das monatliche Update vom Juli 2017 installiert ist.

  • Aktivieren Sie:

    Set-SmbServerConfiguration -AuditSmb1Access $true
    
  • Deaktivieren:

    Set-SmbServerConfiguration -AuditSmb1Access $false
    
  • Erkennen:

    Get-SmbServerConfiguration | Select AuditSmb1Access
    

Wenn die SMBv1-Überwachung aktiviert ist, wird das Ereignis 3000 im Ereignisprotokoll "Microsoft-Windows-SMBServer\Audit" angezeigt, das jeden Client identifiziert, der versucht, eine Verbindung mit SMBv1 herzustellen.

Zusammenfassung

Wenn sich alle Einstellungen im selben Gruppenrichtlinienobjekt befinden, zeigt Gruppenrichtlinie Management die folgenden Einstellungen an.

Gruppenrichtlinienverwaltungs-Editor – Registrierung

Testen und Überprüfen

Lassen Sie nach Abschluss der Konfigurationsschritte in diesem Artikel die Replikation und Aktualisierung der Richtlinie zu. Führen Sie bei Bedarf gpupdate /force an einer Eingabeaufforderung aus, und überprüfen Sie dann die Zielcomputer, um sicherzustellen, dass die Registrierungseinstellungen ordnungsgemäß angewendet werden. Stellen Sie sicher, dass SMBv2 und SMBv3 für alle anderen Systeme in der Umgebung funktionieren.

Hinweis

Vergessen Sie nicht, die Zielsysteme neu zu starten.