Отключение SMBv1

Про­то­ко­лу SMBv1 уже более 30 лет и он может быть выклю­чен пол­но­стью во всех сетях, где нет не под­дер­жи­ва­е­мых Май­к­ро­софт опе­ра­ци­он­ных систем (т.е. млад­ше Windows Vista), уста­рев­ших сете­вых нако­пи­те­лей и подоб­ных устройств и уста­рев­ших прин­те­ров. Но даже в слу­чае исполь­зо­ва­ния Windows XP / 2000 / 2003 — то воз­мо­жен пере­ход на Direct SMB.

При­чи­ны, поче­му это нуж­но сде­лать — про­то­кол уже силь­но уста­рел, он рабо­та­ет пло­хо и неэф­фек­тив­но (это не зна­чит, что он пло­хой, он про­сто уста­рел и пред­на­зна­чен для очень широ­ко­го кру­га обо­ру­до­ва­ния: COM пор­ты, сете­вая печать … поверх любых сете­вых про­то­ко­лов). Все­го на совре­мен­ных опе­ра­ци­он­ных систе­мах одно­вре­мен­но может рабо­тать три вер­сии SMB поверх двух сете­вых пор­тов: 139 и 445 TCP.

На совре­мен­ной опе­ра­ци­он­ной систе­ме отклю­чить его про­сто. Для Windows Server 2012 R2 / 8.1 и стар­ше мож­но про­сто цели­ком уда­лить ком­по­нент “ста­рые воз­мож­но­сти LAN Manager”. В него вхо­дит SMBv1 и Computer Browser. Это дела­ет­ся штат­но, через уста­нов­ку / уда­ле­ние ком­по­нен­тов опе­ра­ци­он­ной систе­мы.

Выклю­чить SMBv1 мож­но и груп­по­вой поли­ти­кой, и через PowerShell:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

и через реестр

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0sc.exe config mrxsmb10 start=disabled

Мож­но уда­лить сам сер­вис, отве­ча­ю­щий за SMBv1 (это отдель­ный от SMBv2 сер­вис):

sc.exe config lanmanworkstatio depend=browser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled

Уда­ле­ние уста­рев­ше­го сер­ви­са не при­ве­дет к послед­стви­ям, если все сде­лать гра­мот­но и пой­дет толь­ко на поль­зу локаль­ной сети пред­при­я­тия. Подроб­нее так­же мож­но про­чи­тать на сай­те Май­к­ро­софт.

Оставьте комментарий