Как включить smb в windows 7

Протокол SMB: определить, включить или отключить определенную версию SMB в Windows

date

16.11.2022

user

itpro

Версии протокола SMB в Windows

Есть несколько версии протокола SMB (диалектов), которые последовательно появлялись в новых версиях Windows:

Для реализации протокола SMB в Linux/Unix системах используется samba. В скобках мы указали в каких версиях samba поддерживается каждый диалект SMB.

CIFS — Windows NT 4.0;
SMB 1.0 — Windows 2000;
SMB 2.0 — Windows Server 2008 и Windows Vista SP1 (поддерживается в Samba 3.6);
SMB 2.1 — Windows Server 2008 R2 и Windows 7 (поддерживается в Samba 4.0);
SMB 3.0 — Windows Server 2012 и Windows 8 (поддерживается в Samba 4.2);
SMB 3.02 — Windows Server 2012 R2 и Windows 8. 1 (не поддерживается в Samba);
SMB 3.1.1 – Windows Server 2016 и Windows 10 (не поддерживается в Samba).

Начиная с версии Samba 4.14, по умолчанию используется SMB2.1.

При сетевом взаимодействии по протоколу SMB между клиентом и сервером используется максимальная версия протокола, поддерживаемая одновременно и клиентом, и сервером.

Ниже представлена сводная таблица, по которой можно определить версию протокола SMB, которая выбирается при взаимодействии разных версий Windows:

Операционная система	Win 10, Server 2016	Windows 8.1, Server 2012 R2	Windows 8, Server 2012	Windows 7, Server 2008 R2	Windows Vista, Server 2008	Windows XP, Server 2003 и ниже
Windows 10 ,

К примеру, при подключении клиентского компьютера с Windows 8.1 к файловому серверу с Windows Server 2016 будет использоваться протокол SMB 3.0.2.

Согласно таблице Windows XP, Windows Server 2003 для доступа к общим файлам и папкам на сервере могут использовать только SMB 1.0, который в новых версиях Windows Server (2012 R2 / 2016) может быть отключен. Таким образом, если в вашей инфраструктуре одновременно используются компьютеры с Windows XP (снятой с поддержки), Windows Server 2003/R2 и сервера с Windows Server 2012 R2/2016/2019, устаревшие клиенты не смогут получить доступ к файлам и папкам на файловом сервере с новой ОС.

Если Windows Server 2016/2012 R2 с отключенным SMB v1.0 используется в качестве контроллера домена, значить клиенты на Windows XP/Server 2003 не смогут получить доступ к каталогам SYSVOL и NETLOGON на контроллерах домена и авторизоваться в AD.

На старых клиентах при попытке подключиться к ресурсу на файловом сервере с отключенным SMB v1 появляется ошибка:

The specified network name is no longer available

Как проверить поддерживаемые версии SMB в Windows?

Рассмотрим, как определить, какие версии протокола SMB поддерживаются на вашем компьютере Windows.

В Windows 10, 8.1 и Windows Server 2019/2016/2012R2 вы можете проверить состояние различных диалектов SMB протокола с помощью PowerShell:

Get-SmbServerConfiguration | select EnableSMB1Protocol,EnableSMB2Protocol

Данная команда вернула, что протокол SMB1 отключен ( EnableSMB1Protocol=False ), а протоколы SMB2 и SMB3 включены ( EnableSMB1Protocol=True ).

Обратите внимание, что протоколы SMBv3 и SMBv2 тесно связаны между собой. Нельзя отключить или включить отдельно SMBv3 или SMBv2. Они всегда включаются/отключаются только совместно, т.к. используют один стек.

В Windows 7, Vista, Windows Server 2008 R2/2008:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object

Если в данной ветке реестра нет параметров с именами SMB1 или SMB2, значить протоколы SMB1 и SMB2 по умолчанию включены.

проверить какие версии smb включены в windows

Также в этих версиях Windows вы можете проверить, какие диалекты SMB разрешено использовать в качестве клиентов с помощью команд:

sc.exe query mrxsmb10

SERVICE_NAME: mrxsmb10 TYPE : 2 FILE_SYSTEM_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0

sc.exe query mrxsmb20

SERVICE_NAME: mrxsmb20 TYPE : 2 FILE_SYSTEM_DRIVER STATE : 4 RUNNING (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0

В обоих случаях службы запущены ( STATE=4 Running ). Значит Windows может подключаться как к SMBv1, так и к SMBv2 серверам.

Вывести используемые версии SMB с помощью Get-SMBConnection

Как мы говорили раньше, компьютеры при взаимодействии по протоколу SMB используют максимальную версию, поддерживаемую как клиентом, так и сервером. Для определения версии SMB, используемой для доступа к удаленному компьютеру можно использовать командлет PowerShell Get-SMBConnection :

Get-SMBConnection вывести в powershell версии smb, исопльзуемые для подключения

Версия SMB, используемая для подключения к удаленному серверу (ServerName) указана в столбце Dialect.

Можно вывести информацию о версиях SMB, используемых для доступа к конкретному серверу:

Get-SmbConnection -ServerName servername

Если нужно отобразить, используется ли SMB шифрование (появилось в SMB 3.0), выполните:

Get-SmbConnection | ft ServerName,ShareName,Dialect,Encrypted,UserName

В Linux вывести список SMB подключения и используемые диалекты в samba можно командой:

Чтобы на стороне сервера вывести список используемых клиентами версий протокола SMB и количество клиентов, используемых ту или иную версию протокола SMB, выполните команду:

Get-SmbSession | Select-Object -ExpandProperty Dialect | Sort-Object -Unique

Get-SmbSession Получить количество клиентов, использующих разные версии SMB

В нашем примере имеется 825 клиентов, подключенных к серверу с помощью SMB 2.1 (Windows 7/Windows Server 2008 R2) и 12 клиентов SMB 3.02.

С помощью PowerShell можно включить аудит версий SMB, используемых для подключения:

Set-SmbServerConfiguration –AuditSmb1Access $true

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

Об опасности использования SMBv1

Последние несколько лет Microsoft из соображений безопасности планомерно отключает устаревший протокол SMB 1.0. Связано это с большим количеством критических уязвимостей в этом протоколе (вспомните историю с эпидемиями вирусов-шифровальщиков wannacrypt и petya, которые использовали уязвимость именно в протоколе SMBv1). Microsoft и другие IT компании настоятельно рекомендуют отказаться от его использования.

Однако отключение SMBv1 может вызвать проблемы с доступом к общий файлам и папкам на новых версиях Windows 10 (Windows Server 2016/2019) с устаревших версий клиентов (Windows XP, Server 2003), сторонних ОС (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, старые версии Linux), различных старых NAS устройствах.

Если в вашей сети не осталось legacy устройств с поддержкой только SMBv1, обязательно отключайте эту версию диалекта в Windows.

В том случае, если в вашей сети остались клиенты с Windows XP, Windows Server 2003 или другие устройства, которые поддерживают только SMBv1, их нужно как можно скорее обновить или тщательно изолировать.

Включение и отключение SMBv1, SMBv2 и SMBv3 в Windows

Рассмотрим способы включения, отключения различных версий SMB в Windows. Мы рассматриваем отдельно включение клиента и сервера SMB (это разные компоненты).

Windows 10, 8.1, Windows Server 2019/2016/2012R2:

Отключить клиент и сервер SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Отключить только SMBv1 сервер:
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Включить клиент и сервер SMBv1:
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Включить только SMBv1 сервер:
Set-SmbServerConfiguration -EnableSMB1Protocol $true

Подробнее про протокол SMBv1 в Windows 10 и Windows Server 2016/2019.

Отключить сервер SMBv2 и SMBv3:
Set-SmbServerConfiguration -EnableSMB2Protocol $false

Включить сервер SMBv2 и SMBv3:
Set-SmbServerConfiguration -EnableSMB2Protocol $true

Set-SmbServerConfiguration - powershell отключить SMBv2 и SMBv3

Windows 7, Vista, Windows Server 2008 R2/2008:

Отключить SMBv1 сервер:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 –Force

отключить smbv1 сервер в windows 7 через powershell

Включить SMBv1 сервер:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 1 –Force

Отключить SMBv1 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Включить SMBv1 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

Отключить SMBv2 сервер:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 0 -Force

Включить SMBv2 сервер

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 1 –Force

Отключить SMBv2 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

Включить SMBv2 клиент:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

Для отключения сервера SMBv1 на всех компьютерах независимо от версии Windows можно распространить параметр реестра типа REG_DWORD с именем SMB1 и значением 0 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters)на через GPO.

Для отключения SMBv2 нужно в этой же ветке установить параметр SMB2=0.

Для отключения SMBv1 клиента нужно распространить такой параметр реестра:

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
Name: Start
Type: REG_DWORD
Value: 4

При отключении SMB 1.0/CIFS File Sharing Support в Windows вы можете столкнуться с ошибкой “0x80070035, не найден сетевой путь”, ошибкой при доступе к общим папкам, и проблемами обнаружения компьютеров в сетевом окружении. В этом случае вместо служба обозревателя компьютеров (Computer Browser) нужно использовать службы обнаружения (линк).

Предыдущая статья Следующая статья

Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

В этой статье описывается включение и отключение блока сообщений сервера (S МБ) версии 1 (S МБ v1), S МБ версии 2 (S МБ v2) и S МБ версии 3 (S МБ v3) на клиентских и серверных компонентах S МБ.

При отключении или удалении S МБ v1 могут возникнуть некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, S МБ v1 имеет значительные уязвимости безопасности, и мы настоятельно рекомендуем не использовать его. S МБ 1.0 по умолчанию не устанавливается в любом выпуске Windows 11 или Windows Server 2019 и более поздних версий. S МБ 1.0 также не устанавливается по умолчанию в Windows 10, кроме выпусков Home и Pro. Мы рекомендуем вместо переустановки S МБ 1.0 обновить сервер S МБ, который по-прежнему требует его. Список сторонних производителей, требующих S МБ 1.0 и их обновлений, которые удаляют требование, просмотрите S МБ 1 Product Clearinghouse.

Отключение S МБ v2 или S МБ v3 для устранения неполадок

Мы рекомендуем включить S МБ v2 и S МБ v3, но может оказаться полезным отключить его временно для устранения неполадок. Дополнительные сведения см. в статье «Обнаружение состояния, включение и отключение протоколов S МБ на сервере S МБ».

В Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, отключение S МБ v3 деактивирует следующие функции:

Прозрачная отработка отказа — клиенты повторно подключались без прерывания работы с узлами кластера во время обслуживания или отработки отказа.
Горизонтальное масштабирование — одновременный доступ к общим данным на всех узлах кластера файлов
Multichannel — агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и сервером
S МБ Direct — добавляет ПОДДЕРЖКУ сети RDMA для обеспечения высокой производительности, с низкой задержкой и низким использованием ЦП
Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях.
Аренда каталогов — улучшает время отклика приложений в филиалах с помощью кэширования
Оптимизация производительности — оптимизация для небольших случайных операций чтения и записи операций ввода-вывода

В Windows 7 и Windows Server 2008 R2 отключение S МБ v2 деактивирует следующие функции:

Соединение запросов — позволяет отправлять несколько запросов S МБ v2 в виде одного сетевого запроса.
Более крупные операции чтения и записи — лучшее использование более быстрых сетей
Кэширование свойств папки и файлов — клиенты хранят локальные копии папок и файлов.
Устойчивые дескрипторы — разрешить прозрачное повторное подключение к серверу при временном отключении
Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 в качестве алгоритма хэширования
Улучшенная масштабируемость для общего доступа к файлам — количество пользователей, общих папок и открытых файлов на сервер значительно увеличилось
Поддержка символьных ссылок
Модель аренды клиента oplock — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера S МБ
Поддержка большого MTU — для полного использования 10 Гигабит Ethernet (GbE)
Улучшенная энергоэффективность — клиенты, имеющие открытые файлы на сервере, могут спянуть

Протокол S МБ v2 был представлен в Windows Vista и Windows Server 2008, в то время как протокол S МБ v3 был представлен в Windows 8 и Windows Server 2012. Дополнительные сведения о возможностях S МБ v2 и S МБ v3 см. в следующих статьях:

Общие сведения о протоколе SMB
Новые возможности S МБ

Удаление S МБ v1 с помощью PowerShell

Ниже приведены шаги по обнаружению, отключению и включению клиента и сервера S МБ v1 с помощью команд PowerShell с повышением прав.

Компьютер перезагрузится после запуска команд PowerShell, чтобы отключить или включить S МБ v1.

Обнаружение:

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Вы можете обнаружить состояние S МБ v1 без повышения прав, выполнив следующие Get-SmbServerConfiguration | Format-List EnableSMB1Protocol действия.

Windows Server 2012 Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчер сервера

Server Manager - Dashboard method

Чтобы удалить S МБ v1 из Windows Server, выполните приведенные действия.

На панели мониторинга диспетчер сервера сервера, где требуется удалить S МБ v1, в разделе «Настройка этого локального сервера» выберите «Добавить роли и компоненты«.
На странице «Перед началом работы» выберите «Пуск мастера удаления ролей и компонентов», а затем на следующей странице нажмите кнопку «Далее«.
На странице «Выбор целевого сервера» в пуле серверов убедитесь, что выбран сервер, из которого выбрана функция, а затем нажмите кнопку «Далее«.
На странице «Удалить роли сервера» нажмите кнопку «Далее«.
На странице «Удалить функции» снимите флажок проверка для S МБ 1.0/CIFS Для поддержки общего доступа к файлам CIFS и нажмите кнопку «Далее«.
На странице выбора «Подтверждение удаления» убедитесь, что эта функция указана, а затем нажмите кнопку «Удалить«.

Windows 8.1, Windows 10 и Windows 11: добавление или удаление методов программ

Add-Remove Programs client method

Чтобы отключить S МБ v1 для упоминание операционных систем:

Откройте Панель управления, выберите раздел Программы и компоненты.
В разделе панель управления Главная выберите «Включить или отключить функции Windows», чтобы открыть окно «Компоненты Windows».
В поле «Компоненты Windows» прокрутите список вниз, снимите флажок проверка для S МБ 1.0/CIFS. Поддержка общего доступа к файлам CIFS и нажмите кнопку «ОК«.
После применения изменения Windows на странице подтверждения нажмите кнопку «Перезапустить».

Определение состояния, включения и отключения протоколов S МБ

Если включить или отключить S МБ v2 в Windows 8 или Windows Server 2012, S МБ v3 также включен или отключен. Это происходит, так как эти протоколы используют один стек.

В Windows 8 и Windows Server 2012 появился новый командлет Set-S МБ ServerConfiguration Windows PowerShell. Командлет позволяет включить или отключить протоколы S МБ v1, S МБ v2 и S МБ v3 на серверном компоненте.

После запуска командлета Set-S МБ ServerConfiguration не нужно перезагрузить компьютер.

SMB версии 1;

Обнаружение:

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Set-SmbServerConfiguration -EnableSMB1Protocol $true

S МБ версии 2/v3

Обнаружение:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008

Чтобы включить или отключить протоколы S МБ на сервере S МБ под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.

Дополнительные методы PowerShell

Для этого метода требуется PowerShell 2.0 или более поздней версии.

S МБ v1 на сервере S МБ

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object

Конфигурация по умолчанию = включена (не создается именованное значение реестра), поэтому значение S МБ 1 не будет возвращено.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Обратите внимание , что после внесения этих изменений необходимо перезапустить компьютер. Дополнительные сведения см. в разделе «Хранилище сервера» в Корпорации Майкрософт.

S МБ v2/v3 на сервере S МБ

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

После внесения этих изменений необходимо перезапустить компьютер.

Редактор реестра

Точно следуйте всем указаниям из этого раздела. Неправильное изменение реестра может привести к серьезным проблемам. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.

Чтобы включить или отключить S МБ v1 на сервере S МБ, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB1 REG_DWORD: 0 = Disabled REG_DWORD: 1 = Enabled Default: 1 = Enabled (No registry key is created)

Чтобы включить или отключить S МБ v2 на сервере S МБ, настройте следующий раздел реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Registry entry: SMB2 REG_DWORD: 0 = Disabled REG_DWORD: 1 = Enabled Default: 1 = Enabled (No registry key is created)

После внесения этих изменений необходимо перезапустить компьютер.

Вот как определить состояние, включить и отключить протоколы S МБ на клиенте S МБ, работающем под управлением Windows 10, Windows Server 2019, Windows 8.1, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012.

S МБ v1 на клиенте S МБ

Обнаружить

sc.exe qc lanmanworkstation

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto

S МБ версии 2/v3 в клиенте S МБ

Обнаружение:

sc.exe qc lanmanworkstation

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto

Эти команды необходимо выполнить в командной строке с повышенными привилегиями.
После внесения этих изменений необходимо перезапустить компьютер.

Отключение S МБ v1 с помощью групповой политики

В этом разделе описывается, как отключить S МБ v1 с помощью групповой политики. Этот метод можно использовать в разных версиях Windows.

SMB версии 1;

Эта процедура настраивает следующий новый элемент в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Чтобы настроить групповую политику, выполните следующие действия.

Registry - New - Registry Item

Откройте Консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который должен содержать новый элемент предпочтения, а затем нажмите кнопку «Изменить«.
В дереве консоли в разделе «Конфигурация компьютера» разверните папку «Параметры» и разверните папку Windows Параметры.
Щелкните правой кнопкой мыши узел реестра , выберите пункт «Создать» и выберите элемент реестра.

В диалоговом окне «Новые свойства реестра» выберите следующее:

Действие. Создание
Hive: HKEY_LOCAL_MACHINE
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Имя значения: S МБ 1
Тип значения: REG_DWORD
Данные о значении: 0

New Registry Properties - General

Эта процедура отключает компоненты сервера S МБ v1. Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.

Фильтры WMI также можно задать для исключения неподдерживаемых операционных систем или выбранных исключений, таких как Windows XP.

Будьте осторожны при внесении этих изменений на контроллерах домена, на которых устаревшие системы Windows XP или более ранние версии Linux и сторонние системы (которые не поддерживают S МБ v2 или S МБ v3) требуют доступа к SYSVOL или другим общим папкам, где S МБ версии 1 отключен.

S МБ версии 1

Чтобы отключить клиент S МБ v1, необходимо обновить раздел реестра служб, чтобы отключить начало MRxS МБ 10, а затем зависимость от MRxS МБ 10 необходимо удалить из записи для LanmanWorkstation, чтобы она начала нормально, не требуя MRxS МБ 10.

Это руководство обновляет и заменяет значения по умолчанию в следующих двух элементах реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Запись реестра: запуск REG_DWORD: 4= отключен

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Запись реестра: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20», «NSI»

Значение по умолчанию включало MRxS МБ 10, которое теперь удаляется в качестве зависимостей.

Чтобы настроить это с помощью групповой политики, выполните следующие действия.

Откройте Консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который должен содержать новый элемент предпочтения, а затем нажмите кнопку «Изменить«.
В дереве консоли в разделе «Конфигурация компьютера» разверните папку «Параметры» и разверните папку Windows Параметры.
Щелкните правой кнопкой мыши узел реестра , выберите пункт «Создать» и выберите элемент реестра.
В диалоговом окне «Новые свойства реестра» выберите следующее:
- Действие: обновление
- Hive: HKEY_LOCAL_MACHINE
- Путь к ключу: SYSTEM\CurrentControlSet\services\mrxsmb10
- Имя значения: Start
- Тип значения: REG_DWORD
- Данные значения: 4

Start Properties - General

Действие: замена
Hive: HKEY_LOCAL_MACHINE
Путь к ключу: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Имя значения: DependOnService
Тип значения: REG_MULTI_SZ

Данные о значении:

Баузер
MRxSmb20
NSI

Эти три строки не будут содержать маркеры (см. следующий снимок экрана).

DependOnService Properties

Значение по умолчанию включает MRxS МБ 10 во многих версиях Windows, поэтому заменив их этой строкой с несколькими значениями, она фактически удаляет MRxS МБ 10 в качестве зависимости для LanmanWorkstation и переходя от четырех значений по умолчанию до только этих трех значений выше.

При использовании консоли управления групповыми политиками не требуется использовать кавычки или запятые. Просто введите каждую запись в отдельных строках.

Аудит использования S МБ v1

Чтобы определить, какие клиенты пытаются подключиться к серверу S МБ с помощью S МБ v1, можно включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Вы также можете выполнить аудит в Windows 7 и Windows Server 2008 R2, если установлен ежемесячный обновление за май 2018 г. и в Windows 8.1 и Windows Server 2012 R2, если ежемесячное обновление за июль 2017 г. установлено.

Set-SmbServerConfiguration -AuditSmb1Access $true

Set-SmbServerConfiguration -AuditSmb1Access $false

Get-SmbServerConfiguration | Select AuditSmb1Access

Если включен аудит S МБ v1, событие 3000 появляется в журнале событий Microsoft-Windows-S МБ Server\Audit, определяющего каждый клиент, который пытается подключиться к S МБ v1.

Итоги

Если все параметры находятся в одном объекте групповой политики, управление групповыми политиками отображает следующие параметры.

Group Policy Management Editor - Registry

Тестирование и проверка

Выполнив действия по настройке в этой статье, разрешите политике реплика и обновить их. При необходимости для тестирования запустите gpupdate /force в командной строке, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применяются правильно. Убедитесь, что S МБ v2 и S МБ v3 работают для всех других систем в среде.

Не забудьте перезапустить целевые системы.

Как отключить протокол SMB в Windows 7?

SMB1 – это протокол передачи данных, отвечающий за взаимодействие между пользователем и Сетью. Он позволяет получать удаленный доступ к принтерам, сетевым ресурсам и файлам, а также обеспечивает межпроцессорное взаимодействие. SMBv1 не используется в Windows 10, однако он играет важную роль в более ранних версиях этой операционной системы.

Дата: 05.09.2018

smbv1 windows 7 отключить

Казалось бы, этот протокол вполне полезен, так зачем же его отключать? Проблема заключается в его уязвимости. Серверы SMB слишком плохо защищены, из-за чего атака на них является привлекательной для злоумышленников. Именно слабые стороны SMB1 использовали взломщики, запустившие в Интернет такие известные вредоносные программы, как Petya и WannaCry.

Эти вирусы блокировали файлы, размещенные на компьютерах, функционирующих на ОС Windows, а затем отображали на экране сообщение о том, что для разблокировки необходимо заплатить определенную сумму денежных средств. С целью сохранения анонимности злоумышленники требовали оплачивать выкуп не на банковский счет, а на кошелек криптовалюты Bitcoin.

Чтобы обезопасить себя от подобных инцидентов, вам лучше отключить SMB1. Из этой статьи вы узнаете о том, что необходимо для этого сделать.

Читайте также Объединение жесткого диска на Windows 7

Для любых действий с этим протоколом нам понадобится командная строка Windows (читайте, как открыть командную строку Windows от имени администратора). Заходим в Пуск и в строке поиска набираем cmd, поиск нам покажет cmd.exe , нажимаем правой кнопкой на ней и выбираем Запуск от имени администратора

Запуск cmd.exe

Отключаем протокол SMB в Windows 7

Отключить SMBv1. Копируем команду — sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
Нажимаем правой кнопкой в командной строке и выбираем Вставить, затем нажимаем Enter.
Затем копируем и вставляем вторую команду — sc.exe config mrxsmb10 start= disabled

Отключить smb1 windows 7

Отключить SMBv2 или 3. Копируем команду — sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
Нажимаем правой кнопкой в командной строке и выбираем Вставить, затем нажимаем Enter.
Затем копируем и вставляем вторую команду — sc.exe config mrxsmb20 start= disabled

Отключить SMBv2

Как включить протокол SMB в Windows 7

Если по какой-либо причине после операций описанных выше вы всё же решили, что хотите оставить этот протокол включенным, тогда читайте дальше.
Включить SMBv1. Копируем команду — sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
Нажимаем правой кнопкой в командной строке и выбираем Вставить, затем нажимаем Enter.
Затем копируем и вставляем вторую команду — sc.exe config mrxsmb10 start= auto

Включить SMBv1

Читайте также как убрать выбор системы при загрузке Windows 7

Включить SMBv2 или 3. Копируем команду — sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
Нажимаем правой кнопкой в командной строке и выбираем Вставить, затем нажимаем Enter.
Затем копируем и вставляем вторую команду — sc.exe config mrxsmb20 start= auto

Как включить smbv1 в windows 7

Как отключить поддержку по протоколу SMBv1 в windows 7, 8, 10?

SMBv1 является устаревшим протоколом, который подвергается атакам вирусов вымогателей, например, WannaCry. Рассмотрим, как отключить протокол SMBv1 в windows и полностью его заблокировать.

Зачем нужна поддержка SMBv1 в windows

SMBv1 это устаревший протокол обмена файлами, которому уже приблизительно 30 лет. В связи с чем может быть использоваться различными видами вирусов, как калитка, предоставляющая доступ к нашему компьютеру. Нашумевшим подтверждением этому является вирус вымогатель WannaCry, который заразил десятки тысяч операционных систем, зашифровал на них файлы и требовал оплату за расшифровку данных.

Проблемы можно было избежать, если бы протокол был выключен на компьютере. И все-таки, стоит его отключить. Несмотря на то, что Майкрософт выпустил патчи для устранения уязвимости даже для старых систем, неизвестно что через некоторое время не появится еще одна итерация вируса WannaCry, который использует дырявый протокол SMBv1 иным образом. Рассмотрим, как полностью отключить протокол в windows XP, 7, 8, 8.1 и 10?

Выключение SMBv1 в windows 7, Server 2008, Server 2008 R2

Откройте меню Пуск, а затем с помощью поисковой системы найдите программу PowerShell. В списке результатов поиска кликните на нее правой кнопкой мыши и выберите «запуск от имени администратора».

В окне PowerShell введите следующую команду для отключения SMBv1:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB2 -Type DWORD -Value 0 -Force

После выполнения команды перезапустите windows. Таким образом можно блокировать проникновение вирусов полностью отключив поддержку smbv1.

Выключение SMBv1 в windows 8 и выше

Зайдите в Панель управления, а затем в «Программы – Удаление Программ». Откроется список программ, установленных в системе. В левом меню кликните на кнопку «Включение или отключение компонентов windows».

Отобразится окно, в котором у нас появляется возможность управлять отдельными функциями windows. Здесь нужно найти SMBv1 и отключить его.

Поддержка общего доступа к файлам SMB1.0/CIFS

По умолчанию напротив этой записи установлен флажок, это означает, что функция активирована. Снимите его и нажмите на ОК, чтобы ее отключить.

Появится индикатор хода выключения функции. Затем нажмите на кнопку «Перезагрузка», чтобы завершить отключение через перезапуск компьютера. После перезагрузки протокол будет полностью отключен.

Дополнительная блокировка портов с помощью Брандмауэра

Если хотите обезопасить себя еще больше хорошей идеей является блокирование портов, которые использует SMBv1. Это 445 TCP и 137-139 UDP. Их можно легко отключить с помощью встроенного в систему Брандмауэра.

С помощью системного поиска в меню Пуск найдите инструмент «Брандмауэр windows». В окне брандмауэра кликните правой кнопкой мыши на поле «Правила для входящих подключений» и выберите пункт «Новое правило».

Здесь укажите тип «Port» и нажмите «Далее». В следующем шаге нужно указать тип. Выберите «TCP», а затем в поле «Определенные локальные порты» введите 445.

Нажмите на кнопку «Далее». В следующем окне нужно выбрать действие с указанным портом. Установите флажок «Блокировать подключение».

Нажмите «Далее» и все остальные настройки оставьте без изменений. На последнем шаге введите название для созданного правила – например, «Блокировка 445» и нажмите «Готово».

Созданное правило будет блокировать порт 445. Теперь создайте правило для блокировки UDP-портов в диапазоне 137-139. Все сделайте точно также только тип укажите UDP, а поле «Определенные локальные порты» введите 137-139.

Таким образом, созданы два правила, которые блокируют соединение по портам и тем самым вирусные атаки, проникающие через этот протокол.

Почему и как необходимо отключить SMB1 в windows 10/8/7

SMB или Server Message Block это протокол обмена по сети, предназначенный для совместного использования файлов, принтеров и других различных устройств. Существует три версии SMB – SMBv1, SMBv2 и SMBv3. Из соображений безопасности Microsoft рекомендует отключить SMB версии 1, так как он устарел и использует технологию, которой почти 30 лет. Чтобы избежать заражения вирусами-вымогателями типа WannaCrypt нужно отключить SMB1 и установить обновления для операционной системы. Этот протокол используется windows 2000, windows XP, windows Server 2003 и windows Server 2003 R2 – поэтому сетевой файловый доступ к данным версиям ОС будет не доступен. Тоже самое относится к некоторым сетевым хранилищам, сканерам и т.п.

Отключение SMB1 из Панели управления

Пуск -> Панель управления -> Программы и компоненты -> Включение и отключение компонентов windows

Отключаем ‘Поддержка общего доступа к файлам SMB 1.0/CIFS’

Отключение SMB1 через Powershell

Откройте консоль Powershell с правами администратора и введите следующую команду:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 –Force

Отключить SMB1 с помощью реестра windows

Также можно отключить SMBv1 запустив regedit.exe и перейдя к следующему разделу:

Создайте в этом разделе DWORD SMB1 со значением 0.

Значения для включения и отключения SMB1:

0 = Выключено
1 = Включено

После этого необходимо установить обновление MS17-010. Обновление вышло подо все версии windows, включая не поддерживаемые больше windows XP и windows Server 2003.

И в заключении хочется сказать, что, не смотря на установленный антивирус и регулярные обновления операционной системы, если Вам дороги ваши данные, необходимо в первую очередь думать о резервном копировании.

Поддержка SMB 1.0 в windows Server 2012 R2

В windows Server 2012 R2 была представлена новая версия протокола SMB 3 (технически это SMB 3.02, т.к. версия SMB 3.0 появлялась еще в windows Server 2012), а драйвер устаревшего протокола SMB 1.0 теперь по-умолчанию отключен и его компоненты не загружаются. Вследствие отсутствия поддержки SMB 1.0 устаревшие (windows XP, Server 2003 и ) и совместимые клиенты (Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, старые версии Linux) не смогут получить доступ к файлам, расположенным файловом сервере под управлением windows 2012 R2.

Различные версии протокола SMB появлялись в следующих версиях windows:

CIFS — windows NT 4.0
SMB 1.0 — windows 2000
SMB 2.0 — windows Server 2008 и WIndows Vista SP1
SMB 2.1 — windows Server 2008 R2 и windows 7
SMB 3.0 — windows Server 2012 и windows 8
SMB 3.02 — windows Server 2012 R2 и windows 8.1

При сетевом взаимодействии по SMB между клиентом и сервером используется максимальная версия протокола, поддерживаемая одновременно клиентом и сервером.

Сводная таблица о совместимости версии SMB на стороне клиента и сервера выглядит так:

Операционная система	windows 8.1, Server 2012 R2	windows 8, Server 2012	windows 7, Server 2008 R2	windows Vista, Server 2008	windows XP, Server 2003 и ниже
windows 8.1 , Server 2012 R2	SMB 3.02	SMB 3.0	SMB 2.1	SMB 2.0	SMB 1.0
windows 8 , Server 2012	SMB 3.0	SMB 3.0	SMB 2.1	SMB 2.0	SMB 1.0
windows 7, Server 2008 R2	SMB 2.1	SMB 2.1	SMB 2.1	SMB 2.0	SMB 1.0
windows Vista, Server 2008	SMB 2.0	SMB 2.0	SMB 2.0	SMB 2.0	SMB 1.0
windows XP, 2003 и ниже	SMB 1.0	SMB 1.0	SMB 1.0	SMB 1.0	SMB 1.0

Так, например, при подключении клиентского компьютера с windows 7 к файловому серверу с windows Server 2012 будет использоваться протокол SMB 2.1

Согласно таблице windows XP, windows Server 2003 для доступа к общим файлам и папкам могут использовать только SMB 1.0, который по-умолчанию в windows Server 2012 R2 отключен. Таким образом, если в вашей инфраструктуре одновременно оказались машины с windows XP (снятой с поддержки), windows Server 2003 / R2 и сервера с windows Server 2012 R2 нужно понимать, что устаревшие клиенты не смогут получить доступ к файлам и папкам на файловом сервере с новой ОС. А в том случае, если в windows 2012 R2 используется в качестве контроллера домена, то это означает, что клиенты на windows XP / Server 2003 не смогут выполнить логон скрипты (NETLOGON) и некоторые групповые политики, хранящиеся в сетевых папках на контроллерах домена (например, при использовании централизованного хранилища adm-шаблонов). На клиентах при попытке подключится к ресурсу на файловом сервере появляется ошибка

The specified network name is no longer available

Если посмотреть набор установленных по-умолчанию фич windows Server 2012 R2, среди них можно заметить установленную функцию с именем SMB 1.0/CIFS File Sharing Support. При установке данной роли в системе появляется служба Обозревателя компьютеров (Computer Browser), но сам драйвер SMB 1.0 не активен.

Совет. Если в сети не требуется поддерживать старую версию SMB для компьютеров с windows XP или windows Server 2003, этот функционал с целью уменьшения нагрузки на систему и повышений безопасности можно отключить командой

В windows Server 2012 по-умолчанию загружаются драйверы как SMB 1, так и SMB 2. Чтобы удостоверится в этом, откроем свойства системной службы Server (LanmanServer) и на вкладке Dependencies убедимся, что на сервере одновременно работают драйвера Server SMB 1.xxx Driver и SMB 2.xxx Driver.

Если открыть свойства этой же службы на windows 2012 R2 мы увидим, что драйвер, обеспечивающий поддержку SMB 1.0, отсутствует и исключен из зависимостей.

Чтобы восстановить доступ клиентов XP / 2003 по SMB к файловым серверам / контроллерам домена на windows Server 2012 R2 можно активировать поддержку SMB 1 через реестр.

Чтобы включить поддержку SMB 1.0 на windows Server 2012 R2 откройте редактор реестра, перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer и измените значение параметра DependOnService с SamSS Srv2 на SamSS Srv.

После этого сервер нужно перезагрузить и убедится, что драйвер SMB 1.0 вновь работает.

Эту операцию нужно выполнить на всех файловых серверах и контроллерах домена, к которым подключаются старые версии ОС.

Закрываемся от массированной атаки вирусом-шифровальщиком Wana decrypt0r 2.0 » MS windows » Блог полезных статей о разработке и раскрутке сайтов

Начиная с 12 мая 2017 года началась массированная атака вируса-вымогателя “Wana decrypt0r 2.0″. Если вы работаете на операционной системе windows — сохраните важные данные на внешний накопитель, а лучше в облако и не в одно. Атаки производятся на разные сети, которые совершенно никак не связанных между собой.

Как отключить брешь в безопасности без обновления от Microsoft

Уязвимость можно прикрыть несколькими способами отключив поддержку протокола SMBv1.

Панель управления -> Установка и удаление программ -> Включение или отключение компонентов windows -> Отключить то, где упоминается SMB.

или выполните следующую команду в командной строке если ваша версии windows выше 8:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Заходим в центр управления сетями и общим доступом
Заходим в свойства сетевого адаптера и убираем галочки напротив строчек
- “Клиент для сетей Microsoft”
- “Служба доступа к файлам и принтерам сетей Microsoft”
Заходим в “изменить дополнительные параметры общего доступа” и везде ставим отключить.
Все! Протокол SMB отключён.

Еще для перестраховки можно добавить правила блокировки портов виндоус-фаервол:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=»Block_virus_TCP-135″ netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=»Block_virus_TCP-445″

Как уберечь себя от вируса Wana decrypt0r 2.0?

Еще в марте 2017 года компания Microsoft выпустила заплатку в накопительном обновлении безопасности – ее нужно обязательно установить! Она закрывает уязвимость, через которую проникает шифровальщик. Вирус эксплуатирует уязвимость в протоколе SMBv1 (доступ к компьютеру из сети).

Ссылки на официальные патчи (MS17-010) с сайта микрософт

windows 10 x64 windows 10 x86 windows 8.1 x64 windows 8.1 x86 windows 7 x64 SP1 windows 7 x86 SP1 windows Server 2008 R2 x64 windows Server 2008 x64 windows Server 2008 x86 windows Vista x64 Edition SP 2 windows Vista x86 SP 2 windows Server 2003 x64 windows Server 2003 x86 windows XP SP3 windows XP SP2 x64

Уязвимости поддаются все известные версии ОС windows – это от XP до windows 10 и все серверные решения начиная от windows Server 2000.

Обязательно используйте антивирус (желательно проверенный временем и с позитивной репутацией), а еще лучше – фаервол. Регулярно обновляйте антивирусные базы и вашу ОС.

Если вы заметили подозрительное поведение своего ПК (торможение, постоянно работает винчестер) просмотрите в процессах нет ли файла с именем @[email protected] или tasksche.exe.

Если вы уже подверглись вирусу и он зашифровал ваши файлы, готовьтесь морально к их потере. Пока не существует дешифратора, но специалисты уже работают над его созданием. Надеемся, что в ближайшее время он обязательно появится.

Вирус также имеет и другие названия: WCry, WannaCry, Wanna decrypt0r, WannaCrypt0r и WannaCrypt.

Уже найден набор эксплоитов, который, якобы, был украден у АНБ. Название инструмента для эксплуатации этой уязвимости – FuzzBunch. Еще одна плохая новость в том, что в этом наборе есть DoublePulsar, который эксплуатирует уязвимость системы если открыт 445 порт, внедряя через него вредоносный код прямо в память ОС. По этому, обязательно, следуйте рекомендациям изложенным в этом посте.

Как отключить протокол SMB

Эта документация перемещена в архив и не поддерживается.

SQL Server 2008

SQL Server 2008 R2
SQL Server 2005

На серверах в демилитаризованной зоне сети необходимо отключить все ненужные протоколы, в том числе протокол SMB. Веб-серверам и DNS-серверам не нужен протокол SMB. Этот протокол необходимо отключить, чтобы противостоять угрозе сбора сведений о пользователях.

В меню Пуск выберите Настройки и щелкните Сетевые подключения. Щелкните правой кнопкой мыши подключение к Интернету и выберите пункт Свойства.
Установите флажок Клиент для сетей Microsoft и нажмите кнопку Удалить.
Выполните шаги для удаления.
Выберите Службу доступа к файлам и принтерам сетей Microsoft и нажмите кнопку Удалить.
Выполните шаги для удаления.

В окне «Подключение по локальной сети — свойства» используйте диалоговое окно Свойства: Протокол Интернета (TCP/IP), чтобы удалить компоненты Совместный доступ к файлам и принтерам сетей Microsoft и Клиент для сетей Microsoft.