Cách phát hiện, kích hoạt và vô hiệu hóa SMBv1, SMBv2 và SMBv3 trên Windows

Cách phát hiện, kích hoạt và vô hiệu hóa SMBv1, SMBv2 và SMBv3 trên Windows

win v3

Windows Server có ba phiên bản của Server Message Block (SMB): SMBv1, SMBv2 và SMBv3. Trong bài viết này, chúng ta sẽ tìm hiểu cách kích hoạt hoặc vô hiệu hóa các phiên bản này trên các thành phần SMB của máy chủ và máy khách.

Tuy việc vô hiệu hóa hoặc gỡ bỏ SMBv1 có thể gây ra một số vấn đề về tương thích với máy tính hoặc phần mềm cũ, nhưng SMBv1 có những lỗ hổng bảo mật đáng kể, chúng tôi khuyến nghị bạn không sử dụng nó. SMB 1.0 không được cài đặt mặc định trên bất kỳ phiên bản nào của Windows 11 hoặc Windows Server 2019 trở lên. SMB 1.0 cũng không được cài đặt mặc định trên Windows 10, trừ phi phiên bản Home và Pro. Chúng tôi đề xuất thay vì cài đặt lại SMB 1.0, bạn nên cập nhật máy chủ SMB vẫn cần nó. Để biết danh sách các bên thứ ba yêu cầu SMB 1.0 và cập nhật của họ để loại bỏ yêu cầu này, hãy xem SMB1 Product Clearinghouse.

Tạm thời vô hiệu hóa SMBv2 hoặc SMBv3 để khắc phục sự cố

Chúng tôi khuyến nghị giữ SMBv2 và SMBv3 được kích hoạt, nhưng bạn có thể tạm thời tắt một trong hai để khắc phục sự cố. Để biết thêm thông tin, hãy xem Cách xác định trạng thái, kích hoạt và vô hiệu hóa giao thức SMB trên máy chủ SMB.

Trên Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 và Windows Server 2012, việc vô hiệu hóa SMBv3 sẽ tắt các chức năng sau:

  • Transparent Failover – khách hàng kết nối lại mà không gián đoạn đến các nút cụm trong quá trình bảo trì hoặc chuyển đổi sự cố
  • Scale Out – truy cập đồng thời vào dữ liệu được chia sẻ trên tất cả các nút cụm tệp
  • Multichannel – tổng hợp băng thông mạng và khả năng chịu lỗi nếu có nhiều đường kết nối giữa khách hàng và máy chủ
  • SMB Direct – hỗ trợ mạng RDMA để đạt hiệu suất cao, độ trễ thấp và sử dụng CPU thấp
  • Mã hóa – cung cấp mã hóa từ đầu đến cuối và bảo vệ khỏi nghe trộm trên các mạng không đáng tin cậy
  • Directory Leasing – cải thiện thời gian phản hồi ứng dụng tại các văn phòng chi nhánh thông qua việc lưu cache
  • Tối ưu hóa hiệu suất – tối ưu hóa cho I/O đọc/ghi ngẫu nhiên nhỏ
READ  TOP 9 loại pô độ cho Exciter 150 không thể bỏ lỡ cho "xế yêu"

Trên Windows 7 và Windows Server 2008 R2, việc vô hiệu hóa SMBv2 sẽ tắt các chức năng sau:

  • Request compounding – cho phép gửi nhiều yêu cầu SMBv2 như một yêu cầu mạng duy nhất
  • Đọc và ghi lớn hơn – sử dụng tốt hơn trên các mạng nhanh hơn
  • Lưu cache thuộc tính thư mục và tệp tin – khách hàng giữ các bản sao cục bộ của thư mục và tệp tin
  • Durable handles – cho phép kết nối tái kết nối với máy chủ một cách trong suốt nếu có mất kết nối tạm thời
  • Chữ ký tin nhắn cải tiến – sử dụng thuật toán băm HMAC SHA-256 thay thế cho MD5
  • Khả năng mở rộng cải thiện cho chia sẻ tệp tin – tăng số người dùng, chia sẻ và tệp mở trên mỗi máy chủ SMB một cách đáng kể
  • Hỗ trợ cho liên kết tượng trưng
  • Mô hình cho thuê oplock của khách hàng – giới hạn dữ liệu được trao đổi giữa khách hàng và máy chủ, cải thiện hiệu suất trên mạng có độ trễ cao và tăng khả năng mở rộng của máy chủ SMB
  • Hỗ trợ MTU lớn – để sử dụng đầy đủ Ethernet 10 Gigabit (GbE)
  • Hiệu suất tiết kiệm năng lượng cải tiến – khách hàng có tệp đã mở đến máy chủ có thể ngủ

Giao thức SMBv2 được giới thiệu từ Windows Vista và Windows Server 2008, trong khi giao thức SMBv3 được giới thiệu từ Windows 8 và Windows Server 2012. Để biết thêm thông tin về khả năng của SMBv2 và SMBv3, hãy xem các bài viết sau:

  • Tổng quan về Server Message Block
  • Những điều mới trong SMB
READ  Top xe tay ga nữ mới nhất hiện nay 2024

Cách gỡ bỏ SMBv1 qua PowerShell

Dưới đây là các bước để phát hiện, vô hiệu hóa và kích hoạt SMBv1 bằng cách sử dụng các lệnh PowerShell có quyền hành.

  1. Phát hiện: Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  2. Vô hiệu hóa: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  3. Kích hoạt: Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Phương pháp Quản lý máy chủ trên Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 và Windows Server 2019

Để gỡ bỏ SMBv1 từ Windows Server, bạn có thể làm theo các bước sau:

  1. Trên DashBoard Quản lý máy chủ của máy chủ muốn gỡ bỏ SMBv1, dưới Môi trường cấu hình máy chủ này, chọn Thêm vai trò và tính năng.
  2. Trên trang Trước khi bạn bắt đầu, chọn Bắt đầu Lệnh gỡ bỏ vai trò và tính năng, sau đó chọn Tiếp theo.
  3. Trên trang Chọn máy chủ đích, dưới Bể máy chủ, đảm bảo máy chủ bạn muốn gỡ bỏ tính năng từ đó được chọn, sau đó chọn Tiếp theo.
  4. Trên trang Gỡ bỏ vai trò máy chủ, chọn Tiếp theo.
  5. Trên trang Gỡ bỏ tính năng, bỏ chọn hộp kiểm cho Hỗ trợ chia sẻ tệp tin SMB 1.0/CIFS và chọn Tiếp theo.
  6. Trên trang Xác nhận các lựa chọn gỡ bỏ, xác nhận rằng tính năng được liệt kê và chọn Gỡ bỏ.

Phương pháp Chương trình Thêm hoặc Gỡ bỏ chương trình trên Windows 8.1, Windows 10 và Windows 11

Để vô hiệu hóa SMBv1 trên các hệ điều hành đã đề cập, bạn có thể làm theo các bước sau:

  1. Trong Bảng điều khiển, chọn Chương trình và tính năng.
  2. Dưới Trang chủ Bảng điều khiển, chọn Bật hoặc tắt tính năng Windows để mở hộp Tính năng Windows.
  3. Trong hộp Tính năng Windows, cuộn xuống danh sách, bỏ chọn hộp kiểm cho Hỗ trợ chia sẻ tệp tin SMB 1.0/CIFS và chọn OK.
  4. Sau khi Windows áp dụng thay đổi, trên trang xác nhận, chọn Khởi động lại ngay bây giờ.
READ  XADO Scooter Race 7.5W35 - Sức mạnh mới cho động cơ xe tay ga

Cách phát hiện trạng thái, kích hoạt và vô hiệu hóa giao thức SMB

Để phát hiện trạng thái, kích hoạt và vô hiệu hóa các giao thức SMB, bạn có thể sử dụng lệnh PowerShell sau:

  • Phát hiện việc sử dụng SMBv1: Get-SmbServerConfiguration | Select AuditSmb1Access
  • Bật việc kiểm tra SMBv1: Set-SmbServerConfiguration -AuditSmb1Access $true
  • Tắt việc kiểm tra SMBv1: Set-SmbServerConfiguration -AuditSmb1Access $false

Khi việc kiểm tra SMBv1 được bật, sự kiện 3000 sẽ xuất hiện trong nhật ký sự kiện “Microsoft-Windows-SMBServerAudit”, xác định mỗi khách hàng cố gắng kết nối với SMBv1.

Tổng kết

Nếu tất cả các thiết lập nằm trong cùng một GPO, Quản lý chính sách nhóm hiển thị các thiết lập sau:

  • Các cài đặt cho SMBv1
  • Các cài đặt cho SMBv2
  • Các cài đặt cho SMBv3

Kiểm tra và xác nhận

Sau khi hoàn thành các bước cấu hình trong bài viết này, hãy cho phép chính sách được sao chép và cập nhật. Nếu cần thiết để kiểm tra, chạy lệnh gpupdate /force trong dòng lệnh, sau đó kiểm tra các máy tính mục tiêu để đảm bảo rằng các cài đặt registry được áp dụng đúng. Hãy đảm bảo rằng SMBv2 và SMBv3 hoạt động cho tất cả các hệ thống khác trong môi trường.

Để biết thêm thông tin chi tiết, hãy truy cập Sửa Xe Máy TPHCM Uy Tín Sửa Xe Máy 24h Sài Gòn Lưu Động.