Windows 10 /Server2016でSMBv1.0を無効/有効にする方法は?
Windows Server2016/2019およびWindows10(ビルド1709以降)では、共有フォルダーへのアクセスに使用されるサーバーメッセージブロック1.0(SMBv1)ネットワークプロトコルはデフォルトで無効になっています。ほとんどの場合、このプロトコルは、サポートされなくなったWindows XP、Windows Server 2003、および古いOSなどのレガシーシステムでホストされている共有フォルダーにアクセスするために必要です。この記事では、Windows10およびWindowsServer2016/2019でSMBv1クライアントおよびサーバーのサポートを有効または無効にする方法について説明します。
ネットワークにSMB1.xクライアントが残っていない場合は、すべてのWindowsデバイスでSMBv1を完全に無効にする必要があります。 SMB 1.0を無効にすることで、このレガシープロトコルのさまざまな脆弱性からWindowsコンピューターを保護できます(SMBv1の最も有名な公開エクスプロイトはEternalBlueです)。その結果、デバイスは、ネットワーク共有にアクセスするときに、SMBプロトコルの新しい、より効率的で、安全で機能的なバージョンを使用します。
以前の記事の1つで、クライアント側とサーバー側のSMBバージョンの互換性の表を示しました。表によると、古いバージョンのクライアント(XP、Server 2003、および一部の* nixクライアント)は、SMBv1.0プロトコルを使用してのみネットワーク共有フォルダーにアクセスできます。ネットワークにそのようなクライアントがない場合は、ファイルサーバー(ADドメインコントローラーを含む)およびクライアントデスクトップ側でSMB1.0を完全に無効にすることができます。
Windows10およびWindowsServer2016では、SMBv1プロトコルは2つの別個のコンポーネント(SMBクライアント)に分割されています。 およびSMBサーバー 、個別に有効/無効にできます。
内容:
- SMBv1.0を介した共有フォルダアクセスの監査
- WindowsServer2016/2019でSMB1.0を有効/無効にする
- Windows10でSMBv1を有効/無効にする方法
- グループポリシーを介したSMBv1クライアントとサーバーの無効化
SMBファイルサーバー側でSMB1.0ドライバーを無効にするか完全に削除する前に、ネットワークでそれを使用するレガシークライアントがないことを確認する価値があります。これを行うには、次のPowerShellコマンドを使用して、SMBv1.0を介したファイルサーバーアクセスの監査を有効にします。
Set-SmbServerConfiguration –AuditSmb1Access $true
数日後、サーバーでイベントビューアを開き、ログを確認しますアプリケーションとサービス-> Microsoft-> Windows-> SMBServer-> Audi t そして、SMB1を介してファイルサーバーにアクセスしたクライアントがあるかどうかを確認します。
ヒント。 次のPowerShellコマンドを使用して、このイベントログのイベントのリストを表示できます。Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit この例では、EventID 3000のイベント SMBServerから ソースがログで見つかりました。このイベントは、クライアント192.168.1.10がSMB1プロトコルを使用してサーバーにアクセスしようとしていることを示しています。
SMB1 access Client Address: 192.168.1.10 Guidance: This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.
ネットワーク上でこのコンピューターまたはデバイスを見つけて、OSまたはファームウェアを新しいSMBプロトコルバージョンをサポートするバージョン(SMBv2またはSMBv3)に更新する必要があります。
この場合、この情報は無視しますが、後でこのクライアントがこのSMBサーバー上の共有フォルダーにアクセスできなくなることに注意してください。
WindowsServer2016/2019でSMB1.0を有効/無効にする
ビルド1709およびWindowsServer2019以降のWindowsServer2016では、SMBv1はデフォルトで無効になっています。新しいバージョンのWindowsServerでSMBv1クライアントプロトコルのサポートを有効にするには、個別の SMB 1.0/CIFSファイル共有サポートをインストールする必要があります。 機能。
SMBv1機能は、サーバーマネージャーまたはPowerShellを使用してインストールできます。
PowerShellコマンドでSMBv1が有効になっていることを確認できます:
Get-WindowsFeature | Where-Object {$_.name -eq "FS-SMB1"} | ft Name,Installstate
FS-SMB1をインストールするには 機能、実行:
Install-WindowsFeature FS-SMB1
SMBv1クライアント機能をアンインストールするには(再起動が必要)、次のコマンドを実行します:
Uninstall-WindowsFeature –Name FS-SMB1 –Remove
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
サーバーがSMBv1.0クライアントアクセスを処理するには、 FS-SMB1 に加えて、SMBファイルサーバーレベルでSMBv1サポートを有効にする必要があります。 成分。サーバー上のネットワーク共有に対してSMBv1アクセスが有効になっているかどうかを確認するには、次のコマンドを実行します。
Get-SmbServerConfiguration
「EnableSMB1Protocol: True」という行 」は、SMBv1プロトコルを使用してこのサーバー上の共有フォルダーにアクセスできることを意味します。 Windows ServerでSMBv1サーバーのサポートを無効にするには、PowerShellコマンドを実行します。
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
次に、Get-SmbServerConfigurationを使用します SMB1サーバーが無効になっていることを確認するコマンドレット。
サーバーでSMBv1サポートを有効にするには、次のコマンドを実行します。
Set-SmbServerConfiguration -EnableSMB1Protocol $True -Force
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Windows10でSMBv1を有効/無効にする方法
すでに述べたように、Windows10のすべての新しいビルド(1709以降)では、SMB1プロトコルのサポートが無効になっています(SMBv2プロトコルを介したゲストアクセスも無効になっています)。
Windows 10では、DISMコマンドを使用してSMBv1プロトコルコンポーネントのステータスを確認できます。
Dism /online /Get-Features /format:table | find "SMB1Protocol"
この例では、すべてのSMBv1機能が無効になっていることがわかります。
SMB1Protocol | Disabled SMB1Protocol-Client | Disabled SMB1Protocol-Server | Disabled SMB1Protocol-Deprecation | Disabled
Windows 10では、コントロールパネル(optionalfeatures.exe)からSMB1機能を管理することもできます。 )。 SMB 1.0/CIFSファイル共有サポートを展開します オプション。ご覧のとおり、3つのSMBv1コンポーネントもここで入手できます:
- SMB 1.0/CIFS自動削除
- SMB 1.0/CIFSクライアント
- SMB 1.0/CIFSサーバー
機能管理ウィンドウから、または次のコマンドを使用して、Windows10でSMBv1クライアントとサーバーを有効にできます。
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
SMBv1クライアントを有効にした後、15日を超えて使用されない場合、自動的に無効になります。
SMBv1クライアントの自動削除は1回限りの操作です。管理者が手動でSMBv1を再度有効にしても、自動的に無効になることはありません。Windows 10でSMB1クライアントとサーバーのサポートを無効にするには、次のDISMコマンドを実行します。
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"
Windows 10でSMBv1クライアントを無効にした場合、SMBv1のみをサポートするファイルサーバー上のsnaredフォルダーにアクセスすると(SMBv2およびv3プロトコルが無効になっているか、サポートされていない)、次のエラーが発生する場合があります。
0x80070035 The network path was not found;
-
Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks;
-
You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher.
詳細については、記事「Windows10で共有フォルダーにアクセスできません」を参照してください。
さらに、SMBv1クライアントを無効にすると、コンピューターブラウザ 従来のNetBIOSプロトコルがネットワーク上のデバイスを検出するために使用するサービスは、コンピューターでの動作を停止します。 Windows 10ネットワーク上の隣接するコンピューターを正しく表示するには、機能検出プロバイダーホストを構成する必要があります。 サービス(この記事を確認してください)。
Active Directoryドメイン環境では、グループポリシー(GPO)を使用して、すべてのサーバーとコンピューターでSMBv1を無効にできます。標準のWindowsグループポリシーには個別のSMB構成ポリシーがないため、レジストリポリシーを使用して無効にする必要があります。
- グループポリシー管理コンソール(
gpmc.msc)を開きます )、新しいGPOを作成します( disableSMBv1 )そして、SMB1を無効にするコンピューターを含むOUにリンクします; - ポリシー編集モードに切り替えます。 GPOセクションを展開しますコンピューターの構成 ->設定 ->Windowsの設定 ->レジストリ;
- 次の設定で新しいレジストリアイテムを作成します:
アクション:Update
ハイブ:HKEY_LOCAL_MACHINE
キーパス:SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:SMB1
値のタイプ:REG_DWORD
値データ:0
このポリシーは、すべてのコンピューターのレジストリを介したSMBv1サーバーコンポーネントのサポートを無効にします。 WMIフィルターを使用して、このポリシーからWindowsの一部のバージョンを除外できます。
GPOを介してドメインコンピューターでSMBクライアントを無効にする場合は、2つの追加のレジストリパラメーターを作成します。
- 開始 値が4のパラメーター(REG_DWORDタイプ) レジストリキーHKLM\SYSTEM \ CurrentControlSet \ services \ mrxsmb10;
- DependOnService 値がBowserのパラメーター(REG_MULTI_SZタイプ) 、 MRxSmb20 、 NSI (新しい行の各値)regキーHKLM \ SYSTEM \ CurrentControlSet \ Services\LanmanWorkstation。
クライアントのグループポリシー設定を更新する必要があります(gpupdate /force )再起動後、SMBv1コンポーネントが完全に無効になっていることを確認してください。
SecGuide.adml およびSecGuide.admx ファイル)SMBサーバーとクライアントを無効にするための個別のオプションがあります: - SMBv1サーバーを構成します;
- SMBv1クライアントドライバーを構成します。
-
Server 2016 で Windows Defender ウイルス対策を無効または削除する方法
このチュートリアルでは、Windows Server 2016 で Windows Defender ウイルス対策保護を削除または無効にする方法を示します。ご存知かもしれませんが、Server 2016 には、Windows Defender アプリケーションによるウイルス対策とマルウェア保護が組み込まれています。 Server 2016 で別のウイルス対策プログラムを使用してサーバーを保護する場合、Server 2016 での保護を最大化するために、Windows Defender はそれ自体を無効にしません (Window 10 の場合のように)。 Server 2016 で Defen
-
Windows 10/8/7 および Server 2016/2012 で自動再生を無効にする方法。
Windows PC で自動再生機能を無効にする場合は、このチュートリアルを読み続けてください。自動再生は、Windows 98 で初めて導入された Windows の機能で、接続されたストレージ デバイスまたは挿入されたメディア (CDROM、DVD など) の内容を調べ、コンテンツの種類 (音楽、ビデオ、ソフトウェア) に応じて、コンテンツを表示する適切なアプリケーションを選択するか、ストレージ デバイスにソフトウェアが含まれている場合は、インストールを開始できます (自動実行)。 AutoPay および Autorun 機能は便利な場合がありますが、マルウェアを含むストレージ デバ