创建smb共享 拒绝访问（创建smb共享拒绝访问）



本文介绍如何在 SMB 客户端与服务器组件上启用和禁用服务器消息块 (SMB) 版本 1 (SMBv1)、SMB 版本 2 (SMBv2) 和 SMB 版本 3 (SMBv3)。

虽然禁用或删除 SMBv1 可能会导致旧计算机或软件出现一些兼容性问题，但 SMBv1 存在重大安全漏洞，我们强烈建议不要使用它。 默认情况下，SMB 1.0 未安装在任何版本的 Windows 11 或 Windows Server 2019 及更高版本中。 默认情况下，Windows 10 中也不会安装 SMB 1.0（家庭版和专业版）。 建议更新仍需要它的 SMB 服务器，而不是重新安装 SMB 1.0。 有关需要 SMB 1.0 的第三方及其移除该要求的更新信息，请查看 SMB1 产品信息交换所。

我们建议保持启用 SMBv2 和 SMBv3，但你可能发现，暂时禁用其中一个版本可以方便进行故障排除。 有关详细信息，请参阅如何在 SMB 服务器上检测 SMB 协议状态以及启用和禁用 SMB 协议。

在 Windows 10、Windows 8.1、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 中，禁用 SMBv3 会停用以下功能：

• 透明故障转移 – 在维护或故障转移期间，客户端在不中断群集节点的情况下重新进行连接
• 横向扩展 - 对所有文件群集节点上的共享数据进行并发访问
• 多通道 - 当客户端和服务器之间有多个可用路径时聚合网络带宽和容错
• SMB 直通 - 添加 RDMA 网络支持以提高性能、降低延迟和降低 CPU 使用率
• 加密 - 提供端到端加密，并防止在不受信任的网络上窃听
• 目录租赁 - 通过缓存改善分支机构中的应用程序响应时间
• 性能优化 - 针对小型随机读/写 I/O 的优化

在 Windows 7 和 Windows Server 2008 R2 中，禁用 SMBv2 会停用以下功能：

• 请求复合 - 允许将多个 SMBv2 请求作为单个网络请求发送
• 更大规模的读取和写入 - 更好地利用更快的网络
• 文件夹和文件属性缓存 - 客户端保留文件夹和文件的本地副本
• 持久性句柄 - 允许在发生暂时性断开连接时以透明方式重新连接到服务器
• 改进的消息签名 - HMAC SHA-256 取代了 MD5 作为哈希算法
• 改进的文件共享可伸缩性 - 每个服务器的用户、共享和开放文件数量显著增加
• 支持符号链接
• 客户端 oplock 租赁模型 - 限制客户端和服务器之间传输的数据，改善高延迟网络的性能，并提高 SMB 服务器的可伸缩性
• 大 MTU 支持 - 充分利用 10 千兆以太网 (GbE)
• 提高能效 – 向服务器开放文件的客户端可以休眠

SMBv2 协议是在 Windows Vista 和 Windows Server 2008 中引入的，而 SMBv3 协议是在 Windows 8 和 Windows Server 2012 中引入的。 有关 SMBv2 和 SMBv3 功能的详细信息，请参阅以下文章：

• 服务器消息块概述
• SMB 中的新增功能

下面是使用权限提升的 PowerShell 命令检测、禁用和启用 SMBv1 客户端和服务器的步骤。

• 检测：

• 禁用：

• 启用：

若要从 Windows Server 中删除 SMBv1，请执行以下操作：

1. 在要删除 SMBv1 的服务器的服务器管理器仪表板上，在“配置此本地服务器”下，选择“添加角色和功能”。
2. 在“开始之前”页上选择“启动‘删除角色和功能’向导”，然后在随后出现的页上选择“下一步”。
3. 在“选择目标服务器”页上的“服务器池”下，确保已选择要从中删除该功能的服务器，然后选择“下一步”。
4. 在“删除服务器角色”页上，选择“下一步”。
5. 在“删除功能”页上，清除“SMB 1.0/CIFS 文件共享支持”对应的复选框，然后选择“下一步”。
6. 在“确认删除所选内容”页上，确认已列出该功能，然后选择“删除”。

若要为上述操作系统禁用 SMBv1，请执行以下操作：

1. 在“控制面板”中，选择“程序和功能”。
2. 在“控制面板主页”下，选择“打开或关闭 Windows 功能”打开“Windows 功能”框。
3. 在“Windows 功能”框中，向下滚动列表，清除“SMB 1.0/CIFS 文件共享支持”对应的复选框，然后选择“确定”。
4. 在 Windows 应用更改后，在确认页上选择“立即重启”。

本部分介绍如何使用组策略禁用 SMBv1。 可以在不同版本的 Windows 上使用此方法。

若要确定哪些客户端正在尝试使用 SMBv1 连接到 SMB 服务器，可以在 Windows Server 2016、Windows 10 和 Windows Server 2019 上启用审核。 如果在 Windows 7 和 Windows Server 2008 R2 上安装了 2018 年 5 月每月更新，或者在 Windows 8.1 和 Windows Server 2012 R2 上安装了 2017 年 7 月每月更新，则也可以在这些操作系统上进行审核。

• 启用：

• 禁用：

• 检测：

启用 SMBv1 审核后，事件 3000 会出现在“Microsoft-Windows-SMBServerAudit”事件日志中，其中标识了每个尝试使用 SMBv1 进行连接的客户端。

如果所有设置都在同一个 GPO 中，则组策略管理会显示以下设置。

完成本文中的配置步骤后，允许策略进行复制和更新。 在测试期间，可以根据需要在命令提示符下运行 gpupdate /force，然后检查目标计算机以确保正确应用了注册表设置。 确保 SMBv2 和 SMBv3 可对环境中的所有其他系统正常运行。

版权声明：

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符，请将相关资料发送至xkadmin@xkablog.com进行投诉反馈，一经查实，立即处理！

转载请注明出处，原文链接：https://www.xkablog.com/bcyy/38045.html