Отключение SMBv1

Протоколу SMBv1 уже более 30 лет и он может быть выключен полностью во всех сетях, где нет не поддерживаемых Майкрософт операционных систем (т.е. младше Windows Vista), устаревших сетевых накопителей и подобных устройств и устаревших принтеров. Но даже в случае использования Windows XP / 2000 / 2003 — то возможен переход на Direct SMB.

Причины, почему это нужно сделать — протокол уже сильно устарел, он работает плохо и неэффективно (это не значит, что он плохой, он просто устарел и предназначен для очень широкого круга оборудования: COM порты, сетевая печать … поверх любых сетевых протоколов). Всего на современных операционных системах одновременно может работать три версии SMB поверх двух сетевых портов: 139 и 445 TCP.

На современной операционной системе отключить его просто. Для Windows Server 2012 R2 / 8.1 и старше можно просто целиком удалить компонент «старые возможности LAN Manager». В него входит SMBv1 и Computer Browser. Это делается штатно, через установку / удаление компонентов операционной системы.

Выключить SMBv1 можно и групповой политикой, и через PowerShell:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

и через реестр

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0sc.exe config mrxsmb10 start=disabled

Можно удалить сам сервис, отвечающий за SMBv1 (это отдельный от SMBv2 сервис):

sc.exe config lanmanworkstatio depend=browser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled

Удаление устаревшего сервиса не приведет к последствиям, если все сделать грамотно и пойдет только на пользу локальной сети предприятия. Подробнее также можно прочитать на сайте Майкрософт.

Оставить комментарий