Содержание
- Способ 1: Включение компонента Windows
- Способ 2: Команда для PowerShell
- Способ 3: Управление групповой политикой
- Вопросы и ответы
Перед началом ознакомления со следующими способами отметим, что использование SMBv1 в качестве средства удаленного доступа обычному пользователю чаще всего не нужно, поскольку проще его организовать при помощи других вспомогательных технологий. Более детальную информацию по этому поводу предлагаем прочесть в статьях по ссылкам ниже.
Подробнее:
Подключение к удаленному компьютеру
Способы подключения к удаленному рабочему столу в Windows 10
В Windows 10 существует отдельный модуль, позволяющий подключать различные компоненты. С его помощью активировать SMBv1 будет проще всего, а выглядит процесс так:
- Откройте «Пуск» и перейдите в меню «Параметры».
- Здесь выберите раздел «Приложения».
- В категории «Приложения и возможности» опуститесь в самый низ, где щелкните по кликабельной надписи «Программы и компоненты».
- Через левую панель вызовите окно «Включение или отключение компонентов Windows».
- Отыщите в меню директорию «Поддержка общего доступа к файлам SMB 1.0/CIFS», разверните ее и активируйте все подпапки, включая и главную категорию.
Если технология не активировалась сейчас, потребуется перезагрузить компьютер, ведь именно тогда происходит обновление параметров реестра, что и требуется для корректной работы SMB.
Способ 2: Команда для PowerShell
Если вы не боитесь взаимодействовать с оболочкой PowerShell, активировать SMBv1 можно через нее, вставив всего одну команду.
- Щелкните правой кнопкой мыши по меню «Пуск» и выберите «Windows PowerShell (администратор)».
- В PowerShell вставьте команду
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocolи нажмите на Enter. - Ожидайте завершения процедуры включения компонента, что займет несколько минут.
- После вам понадобится отправить компьютер на перезапуск, чтобы окончить операцию. Вы можете сделать это потом, выбрав сейчас отрицательный вариант ответа.
- Далее в PowerShell отобразится информация о том, что SMBv1 была успешно активирована и находится в рабочем состоянии.
Дополнительно отметим две другие команды для PowerShell, которые могут пригодиться при дальнейшей работе с рассматриваемым компонентом в Windows:
Get-WindowsFeature FS-SMB1— позволяет узнать, в каком состоянии сейчас находится SMBv1.Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol— отключает работу компонента.
Способ 3: Управление групповой политикой
Отметим, что этот вариант подойдет только владельцам доменов, которые хотят настроить SMBv1 на всех локальных компьютерах. Рядовым пользователям мы не советуем задействовать этот вариант — им лучше остановиться на двух предыдущих.
- Для начала придется добавить средство управления групповыми политиками в ОС. Для этого откройте «Пуск» и перейдите в «Параметры».
- Откройте раздел «Приложения».
- В первой же категории вас интересует кликабельная надпись «Дополнительные возможности».
- Нажмите «Добавить компонент», чтобы перейти к его выбору.
- В списке отыщите «RSAT: средства управления групповыми политиками» и запустите установку.
- Вернитесь в предыдущее меню и отслеживайте прогресс инсталляции.
- После проверьте компонент на наличие его в списке и перезагрузите компьютер, чтобы все изменения вступили в силу.
- Войдите в операционную систему под именем владельца домена, откройте утилиту «Выполнить» через Win + R и пропишите
gpmc.msc, нажав затем на клавишу Enter. - Ожидайте загрузки управления групповой политикой.
- Там откройте главный раздел «Управление групповой политики» и найдите реестр.
Остается только заполнить сведения реестра в соответствии с приведенным далее списком
- Действие:
Создать - Куст:
HKEY_LOCAL_MACHINE - Путь раздела:
SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters - Имя параметра:
SMB1 - Тип параметра:
REG_DWORD - Значение:
1
Остается только сохранить изменения для реестра и перезапустить компьютер, чтобы они вступили в силу. Если захотите в будущем отключить параметр, измените его значение на «0».
Еще статьи по данной теме:
Помогла ли Вам статья?
Протокол SMBv1 в последних версиях Windows по умолчанию отключен, однако в некоторых случаях может потребоваться его включение: как правило, речь идёт о необходимости подключения устаревшего оборудования и компьютеров.
В этой инструкции подробно о том, как включить протокол SMB1 на сервере и клиенте в Windows 11 и Windows 10. Примечание: указанный протокол в настоящее время считается небезопасным и без необходимости включать его не следует.
Включение компонента SMB 1.0
Прежде всего, в новых версиях Windows 11/10 потребуется включить отключенный по умолчанию компонент для поддержки SMBv1, для этого:
- Нажмите клавиши Win+R на клавиатуре, введите appwiz.cpl и нажмите Enter.
- В открывшемся окне в списке слева нажмите «Включение или отключение компонентов Windows».
- Включите компонент «Поддержка общего доступа к файлам SMB 1.0/CIFS» и нажмите «Ок».
- Дождитесь установки необходимых компонентов и перезагрузите компьютер.
Также вы можете включить компонент с помощью команды PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
После того, как компонент был установлен, может потребоваться включить использование протокола SMB1 для сервера или клиента — в Windows 11 и 10 это выполняется отдельно.
Проверка и включение SMB 1 на клиенте
Для проверки состояния клиентской части протокола SMB1 в Windows 11 и Windows 10 используйте PowerShell или командную строку, запущенную от имени администратора и следующую команду:
sc.exe qc lanmanworkstation
Если в разделе «Зависимости» отсутствует запись mrxsmb10, протокол 1-й версии отключен. Для его включения можно использовать команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto
То же самое можно проделать в редакторе реестра:
- В разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
для параметра Start установить значение 2
- В разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
изменить параметр DependOnService, добавив в него строку mrxsmb10
После внесения изменений в реестре, перезагрузите компьютер.
На сервере
Чтобы проверить состояние сервера SMB1 в Windows 11/10 используйте команду
PowerShell Get-SmbServerConfiguration | Select EnableSMB1Protocol
Если в результате вы увидите значение True, использование протокола включено.
При значении False вы можете включить его с помощью команды:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
Для включения SMBv1 на сервере в реестре, измените значение параметра DWORD с именем SMB1 на 1 в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Внимание: по умолчанию параметр отсутствует в этом разделе реестра (при его отсутствии считается, что серверный протокол SMB1 включен). При необходимости вы можете его создать.
Внеся изменения в реестр, выполните перезагрузку компьютера.
In this article, we will see how to enable the SMB1 file sharing protocol. In modern Windows 10 versions, it is disabled for security reasons. However, if you have computers in your network that run pre-Windows Vista systems or Android or Linux apps that only work with SMB v1, you need to enable it to network with these devices.
The Server Message Block (SMB) Protocol is the network file sharing protocol of Microsoft Windows. The set of message packets defining a particular version of the protocol is called a dialect. The Common Internet File System (CIFS) is a dialect of SMB. Both SMB and CIFS are also available on VMS. It is worth mentioning that both SMB and CIFS are also available on other operating systems like Linux and Android via alternate implementations from third parties. For reference, see the
following MSDN article
.
Microsoft’s implementation of the SMB protocol comes with the following additions:
- Dialect negotiation
- Determining other Microsoft SMB Protocol servers on the network, or network browsing
- Printing over a network
- File, directory, and share access authentication
- File and record locking
- File and directory change notification
- Extended file attribute handling
- Unicode support
- Opportunistic locks
The SMBv1 protocol is outdated and insecure. It was the only choice till Windows XP. It was superseded by SMB2 and later versions which offer superior performance and better security. SMB v1 is not recommended for use any more by Microsoft. Starting in Windows Vista, Microsoft implemented a new version of SMB, known as SMB2. However, older Windows versions and many apps running on Android and Linux do not support recent versions of SMB, making it impossible to network Windows PC with such devices if only SMB v2/v3 are enabled.
SMB1 is disabled by default starting in Windows 10 version 1709 «Fall Creators Update». So, if you have to enable SMB1, here is how it can be done. Before proceeding, ensure that your user account has administrative privileges. Now, follow the instructions below.
To enable SMB1 in Windows 10, do the following.
- Press the Win + R keys to open Run and type
optionalfeatures.exeinto the Run box.
- Find SMB 1.0/CIFS File Sharing Support in the list and check the box next to it.
- Alternatively, you can expand it and enable only client or server, depending on what you want.
- Click on the «Restart button» if prompted.
After that, you will get SMB1 working in Windows 10.
Disabling the options mentioned above will remove SMB1 support from the OS.
Alternatively, you can enable or disable SMB1 using PowerShell.
Enable or disable the SMB1 protocol in Windows 10 using PowerShell
- Open PowerShell as Administrator.Tip: You can add «Open PowerShell As Administrator» context menu.
- Type or copy-paste the following command:
Get-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
It will show if you have the SMB1 protocol enabled or not.
- To enable the feature, run the command
Enable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol" -All
- To disable the feature, run the following command:
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
- Confirm the operation and you are done.
That’s it.
Support us
Winaero greatly relies on your support. You can help the site keep bringing you interesting and useful content and software by using these options:
If you like this article, please share it using the buttons below. It won’t take a lot from you, but it will help us grow. Thanks for your support!
По-умолчанию в Windows Server 2016/2019 и Windows 10 (начиная с билда 1709) отключена поддержка сетевого протокола для общего доступа к файлам в сетевых папках Server Message Block 1.0 (SMBv1). Этот протокол в большинстве случаев нужно только для обеспечения работы устаревших систем, например снятых с поддержки Windows XP, Windows Server 2003 и т.д. В этой статье мы рассмотрим, как включить или корректно отключить поддержку клиента и сервера SMBv1 в Windows 10 и Windows Server 2016/2019.
Если вашей сети не осталось устройств, которые поддерживают только протокол SMB 1.1, нужно полностью отключить протокол SMBv1 на всех Windows компьютерах в целях безопасности. Отключив SMB 1, вы защитите компьютеры Windows от большого количества уязвимостей, которые есть в этом устаревшем протоколе (самый известный публичный эксплоит для SMBv1 — EternalBlue). В результате клиенты при доступе к общим сетевым SMB шарам будут использовать новые более производительные, безопасные и
функциональные
версии протокола SMB.
В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно этой таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD) и клиентских станциях.
В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента – SMB клиент и SMB сервер, которые можно включать/отключать отдельно.
Содержание:
- Аудит доступа к файловому серверу по SMB v1.0
- Включение/отключение SMB 1.0 в Windows Server 2016/2019
- Включить/отключить SMB 1.0 в Windows 10
- Отключение SMBv1 с помощью групповых политик
Аудит доступа к файловому серверу по SMB v1.0
Перед отключением и полным удалением драйвера SMB 1.0 на стороне файлового SMB сервера желательно убедится, что в сети не осталось устаревших клиентов, которые используют для подключения протокол SMB v1.0. Для этого, нужно включить аудит доступа к файловому серверу по SMB1 протоколу с помощью команды PowerShell:
Set-SmbServerConfiguration –AuditSmb1Access $true
Через пару дней откройте на сервере журнал событий Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit и проверьте, были ли зафиксированы попытки доступа к ресурсам сервера по протоколу SMB1.
В нашем примере в журнале обнаружено событие с EventID 3000 от источника SMBServer, в котором указано что клиент 192.168.1.10 пытается обратиться к сервереу по протоколу SMB1.
SMB1 access Client Address: 192.168.1.10 Guidance: This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.
Вам нужно найти в сети этот компьютер или устройство, при необходимости обновить ОС или прошивку, до версии поддерживающий, более новые протоколы SMB: SMBv2 или SMBv3.
В данном случае, мы проигнорируем эту информацию, но нужно учитывать тот факт, что в дальнейшем данный клиент не сможет получить SMB доступ к общим папкам на этом сервере.
Включение/отключение SMB 1.0 в Windows Server 2016/2019
В Windows Server 2016, начиная с билда 1709, и Windows Server 2019 по умолчанию отключен протокол SMBv1. Чтобы включить поддержку клиентского протокола SMBv1в новых версиях Windows Server, нужно установить отдельный компонент SMB 1.0/CIFS File Sharing Support.
Вы можете установить компонент поддержки клиента SMBv1 с помощью Server Manager, или через PowerShell.
Проверить, что SMBv1 включен можно командой PowerShell:
Get-WindowsFeature | Where-Object {$_.name -eq "FS-SMB1"} | ft Name,Installstate
Чтобы установить компонент FS-SMB1, выполните:
Install-WindowsFeature FS-SMB1
Для удаления SMBv1 клиента (понадобится перезагрузка), выполните:
Uninstall-WindowsFeature –Name FS-SMB1 –Remove
Еще одна PowerShell команда, которая также позволяет удалить протокол SMB1Protocol:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Чтобы ваш сервер мог обрабатывать доступ клиентов по протоколу SMBv1, кроме компонента FS-SMB1 нужно, чтобы поддержка протокола SMBv1 была включена на уровне файлового сервера SMB. Чтобы проверить, что на вашем сервере включен доступ по SMBv1 к сетевым папкам, выполните:
Get-SmbServerConfiguration
Строка “
EnableSMB1Protocol: True
” говорит о том, что у вас разрешен доступ по протоколу SMBv1 к сетевым папкам на сервере. Чтобы отключить поддержку сервера SMBv1 в Windows Server, выполните команду:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Теперь с помощью командлета
Get-SmbServerConfiguration
убедитесь, что протокол SMB1 отключен.
Чтобы включить поддержку протокола SMBv1 на сервере, выполните команду:
Set-SmbServerConfiguration -EnableSMB1Protocol $True -Force
В Windows 7/8 и Windows Server 2008 R2/ 2012 для отключения клиента SMB нужно отключать службу и драйвер доступа по SMBv1 командами:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Включить/отключить SMB 1.0 в Windows 10
Как мы уже говорили, начиная с Windows 10 1709, во всех новых билдах поддержка протокола SMB1 отключена (также отключен гостевой доступ по протоколу SMBv2).
В Windows 10 вы можете проверить статус компонентов SMBv1 протокола командой DISM:
Dism /online /Get-Features /format:table | find "SMB1Protocol"
В нашем примере видно, что все компоненты SMBv1 отключены:
SMB1Protocol | Disabled SMB1Protocol-Client | Disabled SMB1Protocol-Server | Disabled SMB1Protocol-Deprecation | Disabled
В Windows 10 также можно управлять компонентами SMB 1 из панели управления компонентами (
optionalfeatures.exe
). Разверните ветку Поддержка общего доступа к файлам SMB 1.0 /CIFS. Как вы видите здесь также доступны 3 компонента:
- Клиент SMB0/CIFS
- Сервер SMB0/CIFS
- Автоматическое удаление протокола SMB0/CIFS
Вы можете включить клиент и сервер SMBv1 в Windows 10 из окна управления компонентами или командой:
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"
Также можно включить сервер и клиент SMBv1 с помощью PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Если после включения SMBv1 клиента, он не используется более 15 дней, он автоматически отключается.
Автоматическое отключение клиента SMBv1 это разовая операция. Если администратор включит SMBv1 вручную еще раз, он не будет отключаться автоматически.
Чтобы отключить поддержку клиента и сервера SMB1 в Windows 10, выполните следующие команды DISM:
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"
Если вы отключили поддержку SMBv1 клиента в Windows 10, то при доступе к сетевой папке на файловом сервере, который поддерживает только SMBv1 (протоколы SMBv2 и v3 отключены или не поддерживаются), появятся ошибки вида:
- 0x80070035 — не найден сетевой путь;
-
Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.
Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks
;
-
Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколуSMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher).
Также при отключении клиента SMBv1 на компьютере перестает работать служба Computer Browser (Обозреватель компьютеров), которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети. Для корректгого отобрражения соседних компьютеров в сети Windows 10 нужно настроить службу Function Discovery Provider Host (см. статью).
Отключение SMBv1 с помощью групповых политик
В доменной среде Active Directory вы можете отключить протокол SMBv1 на всех серверах и компьютеров с помощью групповой политики. Т.к. в стандартных политиках Windows нет политики настройки компонентов SMB, придется отключать его через политику реестра.
- Откройте консоль управления Group Policy Management (gpmc.msc), создайте новый объект GPO (disableSMBv1) и назначьте его на OU с компьютерами, на которых нужно отключить SMB1;
- Перейдите в режим редактирования политики. Выберите Computer Configuration -> Preferences -> Windows Settings -> Registry;
- Создайте новый параметр реестра (Registry Item) со следующими настройками:
Action:
Update
Hive:
HKEY_LOCAL_MACHINE
Key Path:
SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Value name:
SMB1
Value type:
REG_DWORD
Value data:
0
Данная политика отключит через реестр поддержку компонента сервер SMBv1 на всех компьютерах.Если в вашем домене остались компьютеры с Windows XP/Server 2003, можно использовать отдельный WMI фильтр политики, чтобы исключить эти версии Windows из-под действия политики.
Если вы хотите через GPO отключить на компьютерах SMB клиент, создайте дополнительно два параметра реестра:
- Параметр Start (типа REG_DWORD) со значением 4 в ветке реестра HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10;
- Параметр DependOnService (типа REG_MULTI_SZ) со значением Bowser, MRxSmb20, NSI (каждое значение с новой строки) в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.
Осталось обновить настройки групповых политик на клиентах и после перезагрузки проверить, что компоненты SMBv1 полностью отключены.
В групповых политиках Security Baseline из Microsoft Security Compliance Toolkit есть отдельный административный шаблон (файлы SecGuide.adml и SecGuide.ADMX), в которых есть отдельные параметры для отключения сервера и клиента SMB:
- Configure SMB v1 server;
- Configure SMB v1 client driver.
Contents
- 1 How to Disable/Enable SMB1 via Windows 10 Control Panel
- 2 How to Enable/Disable SMB1 with PowerShell
SMB1, or the Server Message Block, is a source of confusion in Windows 10. Due to various Microsoft updates OS versions, some users have SMB1, and some don’t. As a result, some of the population is left wondering how to enable SMB1 in Windows 10, and the others want to turn it off. We’re going to show you how to do both, but let’s first jump into what the protocol is and the impact enabling or disabling it will have.
What is SMB1?
SMB is a network communications protocol that helps with file sharing, printing, and various other tasks between two nodes on a network. Microsoft first adopted SMB1 way back in 1990, making it pretty antiquated and oftentimes insecure. The protocol is now up to version 3.1.1, and later versions generally do everything version 1 did and more.
As a result, clean installs of Windows 10 version 1709 and higher no longer contain its server component, but Home and Professional variants still hold its client if you use it at least every fifteen days.
You may want to enable SMB1 in Windows 10 if you’re running legacy software/hardware that requires it to function. Even then, an upgrade to newer NAS hardware is recommended as soon as possible. Ideally, you should be using this tutorial to back up data before a transition.
Conversely, those without compatibility problems should disable SMB1 to protect against attacks. Several SMBv1 vulnerabilities have been found over the years and it was the primary attack vector for the WannaCry ransomware attack in 2017.
We say all this because it’s important that you understand the implications of SMB1 before enabling or disabling it, even in a modern, secure OS like Windows 10. Now that you know, let’s jump into the tutorials.
How to Disable/Enable SMB1 via Windows 10 Control Panel
Time needed: 2 minutes
The most user-friendly way to disable/enable SMB1 in Windows 10 is via the control panel. This is more suitable for users who aren’t familiar with the command line.
- Open the Control Panel
Press the Windows key and type “Control Panel”, clicking on the first result to launch it.
- Enter the program settings menu
In the legacy control panel, select the “Programs” category.
- Open the Windows Features menu
Under the “Programs and Features” menu, click “Turn Windows features on or off”.
- Disable/Enable SMB1 via Windows 10 features
In Windows Features, scroll until you find a folder with the label “SMB 1.0/CIFS File Sharing Support”. Expand the category and ensure all of its subfolders are enabled or disabled, depending on your preference. Press “OK”.
How to Enable/Disable SMB1 with PowerShell
Time needed: 1 minute
For the more advanced user, it’s faster to disable SMB1 through the command-line. We can do this via the Windows Optional Feature command.
- Open PowerShell as admin
Press “Windows + X”, then select “Windows PowerShell (Admin)”.
- Enable SMB1
In the resulting Powershell window, type
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol. Restart your PC for the changes to take effect.
- Disable SMB1
If you’d rather disable SMB1 (and you really should), type
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol. Again, a restart is required.
