Resumo
No Windows 7 e Windows Server 2008 R2, desabilitar o SMBv2 desativa as seguintes funções:
- Combinação de solicitações – permite o envio de várias solicitações SMB 2 como uma única solicitação de rede
- Maiores leituras e gravações – melhor utilização de redes mais rápidas
- Armazenamento em cache de propriedades de pastas e arquivos – os clientes mantêm cópias locais de pastas e arquivos
- Identificadores duráveis – permitem que uma conexão seja refeita transparentemente com o servidor se houver uma desconexão temporária
- Assinatura melhorada de mensagens – O HMAC SHA-256 substitui o MD5 como algoritmo de hash
- Melhor escalabilidade para compartilhamento de arquivos – número significativamente maior de usuários, compartilhamentos e arquivos abertos por servidor
- Suporte para links simbólicos
- Modelo de concessão de oplock para cliente – limita os dados transferidos entre o cliente e o servidor, melhorando o desempenho em redes de alta latência e aumentando a escalabilidade do servidor SMB
- Maior suporte para MTU – para o uso total do recurso 10 GB Ethernet
- Maior eficiência energética – clientes que têm arquivos abertos em um servidor podem ser suspensos
No Windows 8, Windows 8.1, Windows 10, Windows Server 2012 e Windows Server 2016, desabilitar o SMBv3 desativa as seguintes funções (e também as funções do SMBv2 descritas na lista anterior):
- Failover transparente – os clientes se reconectam sem interrupção a nós de cluster durante a manutenção ou o failover
- Escalonamento – acesso simultâneo a dados compartilhados em todos os nós de cluster de arquivos
- Vários canais – agregação de largura de banda de rede e tolerância a falhas quando vários caminhos estão disponíveis entre o cliente e o servidor
- SMB Direct – adiciona suporte a redes RDMA para alto desempenho, com baixa latência e baixa utilização de CPU
- Criptografia – fornece criptografia ponta a ponta e protege contra escuta de informações confidenciais em redes não confiáveis
- Concessão de diretório – Aumenta o tempo de resposta do aplicativo em filiais por meio do armazenamento em cache
- Otimizações de desempenho – otimizações para pequenas operações aleatórias de E/S de leitura/gravação
Informações adicionais
Para obter mais informações sobre os recursos do SMBv2 e do SMBv3, acesse os seguintes sites do Microsoft TechNet:
Como habilitar ou desabilitar protocolos SMB no servidor SMB
Windows 8 e Windows Server 2012
O Windows 8 e o Windows Server 2012 introduzem o novo cmdlet Set-SMBServerConfiguration do Windows PowerShell. O cmdlet permite que você habilite ou desabilite os protocolos SMBv1, SMBv2 e SMBv3 no componente de servidor.
Observações Ao habilitar ou desabilitar o SMBv2 no Windows 8 ou no Windows Server 2012, o SMBv3 também é habilitado ou desabilitado. Esse comportamento ocorre porque esses protocolos compartilham a mesma pilha.
Você não precisa reiniciar o computador depois de executar o cmdlet Set-SMBServerConfiguration.
- Para obter o estado atual da configuração do protocolo do servidor SMB, execute o seguinte cmdlet:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
- Para desabilitar o SMBv1 no servidor SMB, execute o seguinte cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
- Para desabilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $false
- Para habilitar o SMBv1 no servidor SMB, execute o seguinte cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $true
- Para habilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Windows 7, Windows Server 2008 R2, Windows Vista e Windows Server 2008
Para habilitar ou desabilitar protocolos SMB em um Servidor SMB que executa oWindows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008, use o Windows PowerShell ou o Editor do Registro.
Windows PowerShell 2.0 ou uma versão posterior do PowerShell
- Para desabilitar o SMBv1 no servidor SMB, execute o seguinte cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
- Para desabilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force
- Para habilitar o SMBv1 no servidor SMB, execute o seguinte cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 1 -Force
- Para habilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 1 -Force
Observação É necessário reiniciar o computador após realizar essas alterações.
Editor do Registro
Importante: este artigo contém informações sobre como modificar o Registro. Faça backup do Registro antes de modificá-lo. Você deve saber como restaurar o Registro caso ocorra algum problema. Para obter mais informações sobre como fazer o backup, a restauração e a modificação do Registro, clique no número de artigo a seguir para visualizá-lo na Base de Dados de Conhecimento Microsoft:
Para habilitar ou desabilitar o SMBv1 no servidor SMB, configure a seguinte chave do Registro:
REG_DWORD: 0 = Desabilitado
REG_DWORD: 1 = Habilitado
Padrão: 1 = Habilitado
Para habilitar ou desabilitar o SMBv2 no servidor SMB, configure a seguinte chave do Registro:
REG_DWORD: 0 = Desabilitado
REG_DWORD: 1 = Habilitado
Padrão: 1 = Habilitado
Como habilitar ou desabilitar protocolos SMB no cliente SMB
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012
Observação Ao habilitar ou desabilitar o SMBv2 no Windows 8 ou no Windows Server 2012, o SMBv3 também é habilitado ou desabilitado. Esse comportamento ocorre porque esses protocolos compartilham a mesma pilha.
- Para desabilitar o SMBv1 no cliente SMB, execute os seguintes comandos:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
- Para habilitar o SMBv1 no cliente SMB, execute os seguintes comandos:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
- Para desabilitar o SMBv2 e SMBv3 no cliente SMB, execute os seguintes comandos:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
- Para habilitar o SMBv2 e SMBv3 no cliente SMB, execute os seguintes comandos:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
Observações
- Você deve executar os seguintes comandos em um prompt de comandos com privilégios elevados.
- É necessário reiniciar o computador após realizar essas alterações.
Desabilitar o Servidor SMBv1 com a Política de Grupo
Isso configurará o seguinte novo item no registo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Entrada do Registro: SMB1 REG_DWORD: 0 = Desabilitado
Para configurar isso usando a Política de Grupo:
- Abra o Console de Gerenciamento de Política de Grupo. Clique com o botão direito do mouse no objeto de Política de Grupo (GPO) que deve conter o novo item de preferência e, em seguida, clique em Editar.
- Na árvore do console, em Configuração do Computador, expanda a pasta Preferências e, em seguida, expanda a pasta Configurações do Windows.
- Clique com o botão direito do mouse no nó Registro, aponte para Novo e selecione Item do Registro.
Na caixa de diálogo Novas Propriedades do Registro, selecione o seguinte:
- Ação: Criar
- Hive: HKEY_LOCAL_MACHINE
- Caminho da chave: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Nome do valor: SMB1
- Tipo do valor: REG_DWORD
- Dados do valor: 0
Isso desabilita os componentes do Servidor SMBv1. Essa Política de Grupo precisa ser aplicada a todas as estações de trabalho, servidores e controladores de domínio necessários no domínio.
Observação: Filtros WMI também podem ser definidos para excluir sistemas operacionais sem suporte ou exclusões selecionadas, como o Windows XP.
Cuidado! Tenha cautela ao fazer essas alterações em controladores de domínio cujos sistemas herdados Windows XP ou sistemas Linux e de terceiros mais antigos (que não dão suporte ao SMBv2 ou ao SMBv3) exigem acesso a SYSVOL ou outros compartilhamentos de arquivos nos quais o SMB v1 está sendo desabilitado.
Desabilitar o Cliente SMBv1 com a Política de Grupo
Para desabilitar o cliente SMBv1, a chave do Registro de serviços precisa ser atualizada para desabilitar o início de MRxSMB10 e, em seguida, a dependência por MRxSMB10 precisa ser removida da entrada para LanmanWorkstation para que ela possa ser iniciada normalmente, sem exigir primeiro o início de MRxSMB10.
Isso atualizará e substituirá os valores padrão nos seguintes 2 itens do Registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
Entrada do Registro: Iniciar REG_DWORD: 4 = Desabilitado
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Entrada do Registro: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”
Observação:O MRxSMB10 padrão incluído que está removido como dependência
Para configurar isso usando a Política de Grupo:
- Abra o Console de Gerenciamento de Política de Grupo. Clique com o botão direito do mouse no objeto de Política de Grupo (GPO) que deve conter o novo item de preferência e, em seguida, clique em Editar.
- Na árvore do console, em Configuração do Computador, expanda a pasta Preferências e, em seguida, expanda a pasta Configurações do Windows.
- Clique com o botão direito do mouse no nó Registro, aponte para Novo e selecione Item do Registro.
Na caixa de diálogo Novas Propriedades do Registro, selecione o seguinte:
- Ação: Atualizar
- Hive: HKEY_LOCAL_MACHINE
- Caminho da chave:SYSTEM\CurrentControlSet\services\mrxsmb10
- Nome do valor: Iniciar
- Tipo do valor: REG_DWORD
- Dados de valores: 4
Em seguida, remova a dependência de MRxSMB10 que acabou de ser desabilitado
Na caixa de diálogo Novas Propriedades do Registro, selecione o seguinte:
- Ação: Substituir
- Hive: HKEY_LOCAL_MACHINE
- Caminho da chave:SYSTEM\CurrentControlSet\Services\LanmanWorkstation
- Nome do valor: DependOnService
- Tipo de valor REG_MULTI_SZ
- Dados de valores:
- Bowser
- MRxSmb20
- NSI
Observação: Essas 3 cadeias de caracteres não terão marcadores (veja abaixo)
O valor padrão inclui MRxSMB10 em várias versões do Windows. Por isso, ao substituí-las por essa cadeia de caracteres multivalor, ele está na verdade removendo MRxSMB10 como uma dependência para LanmanServer e passando de quatro valores padrão para apenas esses três valores acima.
Observação: Ao usar o Console de Gerenciamento de Política de Grupo, não é necessário usar aspas ou vírgulas.Basta digitar cada entrada em linhas individuais, conforme mostrado acima:
Reinicialização necessária
Depois que a política for aplicada e as configurações do Registro estiverem em vigor, os sistemas de destino devem ser reinicializados antes que o SMB v1 seja desabilitado.
Resumo
Se todas as configurações estiverem no mesmo Objeto de Política de Grupo (GPO), o Gerenciamento de Política de Grupo mostrará as configurações abaixo.
Teste e validação
Uma vez configurados, permita que a política faça a replicação e a atualização. Conforme necessário para o teste, execute gpupdate /force a partir de um prompt CMD.EXE e, em seguida, analise as máquinas de destino para garantir que as configurações do Registro estejam sendo aplicadas corretamente. Certifique-se de que o SMB v2 e o SMB v3 estejam funcionando para todos os outros sistemas no ambiente.
Cuidado!Não se esqueça de reiniciar os sistemas de destino.
Como remover normalmente o SMB v1 no Windows 8.1, Windows 10, Windows 2012 R2, e Windows Server 2016
Windows Server: Método do Gerenciador de Servidores