Verwalten von SMB-Dialekten unter Windows und Windows Server 2025

Administratoren haben die Möglichkeit, SMB2 und SMB3 Dialekte in Windows Server und Windows Client zu verwalten. In diesem Artikel erfahren Sie, wie Sie einen minimalen und maximalen SMB-Dialekt für den SMB-Server und -Client mithilfe von Gruppenrichtlinien und Windows PowerShell konfigurieren.

Standardmäßig handeln SMB-Server und -Client automatisch den höchsten übereinstimmenden Dialekt von SMB 2.0.2 bis 3.1.1 aus. Ab Windows 11, Version 24H2 und Windows Server 2025, können Sie die verwendeten SMB-Protokolle angeben und ältere, weniger sichere Versionen daran hindern, eine Verbindung mit dem Server herzustellen. Sie können zum Beispiel festlegen, dass die Verbindung nur SMB 3.1.1, den sichersten Dialekt des Protokolls, verwendet.

Voraussetzungen

Bevor Sie SMB-Dialekte konfigurieren können, müssen Sie:

• Ein SMB-Server, der unter einem der folgenden Betriebssysteme läuft.
  • Windows Server 2025.
  • Windows 11, 24H2 oder höher.
• Administratorrechte für den Computer.
• Wenn Sie Gruppenrichtlinien für eine Domäne verwenden, benötigen Sie Berechtigungen, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) zu erstellen oder zu bearbeiten und es mit der entsprechenden Organisationseinheit (OU) zu verknüpfen.

Konfigurieren Sie maximale und minimale SMB-Dialekte

Sie können die für die Aushandlung verfügbaren Dialekte mithilfe von Gruppenrichtlinien oder PowerShell konfigurieren. Die minimalen und maximalen Dialekte können unabhängig voneinander für den SMB-Server und den Client festgelegt werden. Alternativ können Sie auch keinen Höchstwert festlegen. Sie können zum Beispiel ein Minimum von 3.1.1 festlegen, wodurch das Maximum auf 3.1.1 gesetzt wird.

SMB-Server

Sie können die für Ihren SMB-Server verfügbaren Dialekte (d. h. für eingehende Verbindungen) wie folgt konfigurieren:

PowerShell

Im Folgenden wird beschrieben, wie Sie die minimalen und maximalen SMB-Dialekte für den SMB-Server mithilfe von PowerShell mit dem Cmdlet Set-SmbServerConfiguration konfigurieren:

Führen Sie die folgenden Befehle an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus:

Set-SmbServerConfiguration -Smb2DialectMax {SMB202 | SMB210 |
SMB300 | SMB302 | SMB311 | None} -Smb2DialectMin {None | SMB202 | SMB210 | SMB300 | SMB302 | SMB311}

Um zum Beispiel den minimalen Dialekt auf SMB 3.0.0 und den maximalen Dialekt auf SMB 3.1.1 zu setzen, führen Sie den folgenden Befehl aus:

Set-SmbServerConfiguration -Smb2DialectMax SMB311 -Smb2DialectMin SMB300

Gruppenrichtlinie

So konfigurieren Sie die minimalen und maximalen SMB-Dialekte für den SMB-Server mithilfe der Gruppenrichtlinie für domänenverbundene Computer.

So konfigurieren Sie das Minimum und Maximum des SMB-Dialekts für den SMB-Server:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
2. Bearbeiten oder erstellen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO), das Sie verwenden möchten.
3. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Verwaltungsvorlagen > Netzwerk > Lanman Server.
4. Klicken Sie für die Einstellung mit der rechten Maustaste auf Mandate the Minimum version of SMB und wählen Sie Bearbeiten.
5. Wählen Sie die Mindestversion der Dialekte über ein Dropdown-Menü aus und wählen Sie OK.
6. Klicken Sie für die Einstellung mit der rechten Maustaste auf Maximale Version von SMB beauftragen und wählen Sie Bearbeiten.
7. Wählen Sie die maximale Version der Dialekte über ein Dropdown-Menü aus und wählen Sie OK.

SMB-Client

Sie können die für Ihren SMB-Client verfügbaren Dialekte (d. h. für ausgehende Verbindungen) wie folgt konfigurieren:

PowerShell

Im Folgenden wird beschrieben, wie Sie die minimalen und maximalen SMB-Dialekte für den SMB-Client mithilfe von PowerShell mit dem Cmdlet Set-SmbClientConfiguration konfigurieren:

Führen Sie die folgenden Befehle an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus:

Set-SmbClientConfiguration -Smb2DialectMax {SMB202 | SMB210 |
SMB300 | SMB302 | SMB311 | None} -Smb2DialectMin {None | SMB202 | SMB210 | SMB300 | SMB302 | SMB311}

Um beispielsweise die minimalen und maximalen Dialekte auf SMB 3.1.1 zu setzen, führen Sie den folgenden Befehl aus:

Set-SmbClientConfiguration -Smb2DialectMax SMB311 -Smb2DialectMin SMB311

Gruppenrichtlinie

So konfigurieren Sie die minimalen und maximalen SMB-Dialekte für den SMB-Client mithilfe der Gruppenrichtlinie für domänenverbundene Computer.

So konfigurieren Sie das Minimum und Maximum des SMB-Dialekts für den SMB-Client:

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

2. Bearbeiten oder erstellen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO), das Sie verwenden möchten.

3. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Administrative Vorlagen > Netzwerk >Lanman-Arbeitsstation aus.

4. Klicken Sie für die Einstellung mit der rechten Maustaste auf Mandate the minimum version of SMB und wählen Sie Bearbeiten.

5. Wählen Sie die Mindestversion der Dialekte über ein Dropdown-Menü aus und wählen Sie OK.

6. Klicken Sie für die Einstellung mit der rechten Maustaste auf Maximale Version von SMB beauftragen und wählen Sie Bearbeiten.

7. Wählen Sie die maximale Version der Dialekte über ein Dropdown-Menü aus und wählen Sie OK.

   

Überprüfung der Dialektaushandlung

Sie können ein Netzwerkerfassungstool wie Wireshark verwenden, um die Antworten von Client und Server während der Aushandlung des SMB-Protokolls zu untersuchen. Im folgenden Beispiel fordert der Client SMB 3.1.1 nur an, weil er mit einem Mindest- und Höchstdialekt von 3.1.1 konfiguriert ist:

Zugehöriger Inhalt

• Schutz von SMB-Datenverkehr vor Abhörung