SMBv1, SMBv2 en SMBv3 detecteren, inschakelen en uitschakelen in Windows

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

In dit artikel wordt beschreven hoe u Server Message Block (SMB) versie 1 (SMBv1), SMB versie 2 (SMBv2) en SMB versie 3 (SMBv3) op SMB-client- en serveronderdelen inschakelt en uitschakelt.

Als u SMBv1 uitschakelt of verwijdert, kunnen er compatibiliteitsproblemen optreden met oude computers of software. SMBv1 heeft aanzienlijke beveiligingsproblemen en raden we u ten zeere aan dezeniet te gebruiken. SMBv1 is niet standaard geïnstalleerd in een versie van Windows 11 of Windows Server 2019 en latere versies. SMBv1 is ook niet standaard geïnstalleerd in Windows 10, met uitzondering van Home- en Pro-edities. Het is raadzaam om in plaats van SMBv1 opnieuw te installeren, de SMB-server bij te werken die deze nog steeds nodig heeft. Zie SMB1 Product Clearinghousevoor een lijst met partners waarvoor SMBv1 en hun updates zijn vereist die de vereiste verwijderen.

SMBv2 of SMBv3 uitschakelen voor probleemoplossing

We raden u aan SMBv2 en SMBv3 ingeschakeld te houden, maar het is wellicht handig om er tijdelijk een uit te schakelen voor het oplossen van problemen. Voor meer informatie, zie De opdrachtregel of Registereditor gebruiken om SMB-protocollen te beheren.

Als u SMBv3 uitschakelt, wordt de volgende functionaliteit gedeactiveerd:

• Transparante failover: biedt clients een manier om opnieuw verbinding te maken zonder onderbreking van clusterknooppunten tijdens onderhoud of failover
• Uitschalen: biedt gelijktijdige toegang tot gedeelde gegevens op alle bestandsclusterknooppunten
• SMB meerdere kanalen: vereenvoudigt de aggregatie van netwerkbandbreedte en fouttolerantie als er meerdere paden beschikbaar zijn tussen de client en de server
• SMB Direct: hiermee voegt u rdMA-netwerkondersteuning (Remote Direct Memory Access) toe voor hoge prestaties, met lage latentie en weinig CPU-gebruik
• Versleuteling: biedt end-to-end-versleuteling en biedt bescherming tegen afluisteren op onbetrouwbaar netwerken
• Directory leasing: verbetert de reactietijden van toepassingen in filialen via caching
• Optimalisatie van prestaties: optimaliseert kleine I/O-bewerkingen voor lezen/schrijven

Als u SMBv2 uitschakelt, wordt de volgende functionaliteit gedeactiveerd:

• Samenstelling van aanvragen: ondersteunt het verzenden van meerdere SMBv2-aanvragen als één netwerkaanvraag
• Grotere lees- en schrijfbewerkingen: verbeteren het gebruik van snellere netwerken
• Opslaan in cache van map- en bestandseigenschappen: geeft clients de mogelijkheid om lokale kopieën van mappen en bestanden te bewaren
• Duurzame hendels: biedt een duurzame manier voor een verbinding om ononderbroken opnieuw verbinding te maken met de server na een tijdelijke verbroken verbinding
• Verbeterde berichtondertekening: maakt gebruik van een hash-gebaseerde berichtverificatiecode (HMAC) secure hash algorithm (SHA) met een 256-bits digest (HMAC SHA-256) in plaats van Message-Digest Algoritme 5 (MD5) als hashing-algoritme
• Verbeterde schaalbaarheid voor het delen van bestanden: het aantal gebruikers, shares en geopende bestanden per server aanzienlijk verhogen
• Ondersteuning voor symbolische koppelingen
• Leasemodel van client oplock: beperkt de gegevens die worden overgedragen tussen de client en de server, waardoor de prestaties van netwerken met hoge latentie worden verbeterd en de schaalbaarheid van de SMB-server wordt verhoogd
• Ondersteuning voor grote maximale transmissie-eenheid (MTU): ondersteunt volledig gebruik van 10 Gigabit Ethernet (GbE)
• Verbeterde energie-efficiëntie: biedt een manier voor clients die geopende bestanden hebben op een server om te slapen

Het SMBv2-protocol is geïntroduceerd in Windows Vista en Windows Server 2008. Het SMBv3-protocol is geïntroduceerd in Windows 8 en Windows Server 2012. Zie de volgende artikelen voor meer informatie over de mogelijkheden van SMBv2 en SMBv3:

• Overzicht van het delen van bestanden met behulp van het SMB 3-protocol in Windows Server
• 1.3 Overzicht

PowerShell gebruiken om SMBv1 te verwijderen

U kunt de PowerShell-opdrachten Get-WindowsOptionalFeature, Disable-WindowsOptionalFeatureen Enable-WindowsOptionalFeature gebruiken om een SMBv1-client of -server te detecteren, uit te schakelen en in te schakelen. Voer de opdrachten uit bij een verhoogde opdrachtprompt.

Notitie

De computer wordt opnieuw opgestart nadat u de PowerShell-opdrachten hebt uitgevoerd om SMBv1 uit te schakelen of in te schakelen.

• Detecteren:

  Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Uitschakelen:

  Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

• Inschakelen:

  Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
  

Fooi

U kunt de SMBv1-status detecteren zonder verhoogde rechten door de opdracht Get-SmbServerConfiguration uit te voeren: Get-SmbServerConfiguration | Format-List EnableSMB1Protocol.

SMBv1 verwijderen

Server

SMBv1 is niet standaard geïnstalleerd op Windows Server 2019 en latere versies. In eerdere versies van Windows Server kunt u Serverbeheer gebruiken om SMBv1 te verwijderen:

1. Open Serverbeheer op de server waaruit u SMBv1 wilt verwijderen.

2. Selecteer op het Dashboard van de Serverbeheerder onder Deze lokale server configurerenRollen en onderdelen toevoegen.

3. Selecteer op de Voordat u begint pagina De wizard Functies en onderdelen verwijderenen selecteert u vervolgens op de volgende pagina Volgende.

4. Controleer op de pagina Doelserver selecteren, onder Servergroep, of de server waaruit u de functie wilt verwijderen is geselecteerd en selecteer vervolgens Volgende.

5. Op de pagina Serverfuncties verwijderen selecteer je Volgende.

6. Schakel op de pagina Functies verwijderen het selectievakje uit voor SMB 1.0/CIFS-bestandsdelingondersteuningen selecteer vervolgens Volgende.

   

7. Bevestig op de pagina Bevestig verwijderingsselecties of de functie is vermeld en selecteer vervolgens Verwijderen.

Cliënt

In Windows 8.1, Windows 10 en Windows 11 kunt u Programma's verwijderen gebruiken om SMBv1 uit te schakelen.

Voer de volgende stappen uit om SMBv1 uit te schakelen op deze besturingssystemen:

1. Selecteer in ConfiguratieschermProgramma's en onderdelen.

2. Onder Configuratiescherm, selecteer Windows-onderdelen in- of uitschakelen om het dialoogvenster Windows-onderdelen te openen.

3. Schuif in het dialoogvenster Windows-onderdelen omlaag in de lijst, schakel het selectievakje voor SMB 1.0/CIFS-ondersteuning voor bestandsdelinguit en selecteer vervolgens OK-.

   

4. Nadat Windows de wijziging heeft toegepast, selecteert u op de bevestigingspagina Nu opnieuw opstarten.

De opdrachtregel of Register-editor gebruiken om SMB-protocollen te beheren

Vanaf de Windows 10 Fall Creators Update en Windows Server 2019 is SMBv1 niet meer standaard geïnstalleerd. Zie voor meer informatie SMBv1 is niet standaard geïnstalleerd in Windows 10 versie 1709, Windows Server versie 1709 en latere versies.

Wanneer u SMBv2 inschakelt of uitschakelt in Windows 8 of Windows Server 2012, is SMBv3 ook ingeschakeld of uitgeschakeld. Dit gedrag treedt op omdat deze protocollen dezelfde stack delen.

Server-

U kunt de cmdlet Set-SMBServerConfiguration gebruiken om de protocollen SMBv1, SMBv2 en SMBv3 in of uit te schakelen op een serveronderdeel. U kunt de cmdlet Get-SmbServerConfiguration gebruiken om de SMB-serverconfiguratie op te halen.

U hoeft de computer niet opnieuw op te starten nadat u de Set-SMBServerConfiguration cmdlet hebt uitgevoerd.

SMBv1

• Detecteren:

  Get-SmbServerConfiguration | Select EnableSMB1Protocol
  

• Uitschakelen:

  Set-SmbServerConfiguration -EnableSMB1Protocol $false
  

• Inschakelen:

  Set-SmbServerConfiguration -EnableSMB1Protocol $true
  

Voor meer informatie, zie Stop met het gebruik van SMB1.

SMBv2 en SMBv3

• Detecteren:

  Get-SmbServerConfiguration | Select EnableSMB2Protocol
  

• Uitschakelen:

  Set-SmbServerConfiguration -EnableSMB2Protocol $false
  

• Inschakelen:

  Set-SmbServerConfiguration -EnableSMB2Protocol $true
  

SMB in- of uitschakelen op Windows 7, Windows Server 2008 R2, Windows Vista en Windows Server 2008

Als u SMB-protocollen wilt in- of uitschakelen op een SMB-server met Windows 7, Windows Server 2008 R2, Windows Vista of Windows Server 2008, gebruikt u Windows PowerShell of Register-editor, zoals wordt uitgelegd in de volgende secties.

Windows PowerShell gebruiken

U kunt de Get-Item-, Get-ItemProperty-en Set-ItemProperty cmdlets gebruiken om SMB-protocollen te detecteren, in te schakelen en uit te schakelen.

Notitie

Voor de opdrachten in de volgende secties is PowerShell 2.0 of hoger vereist.

SMBv1 op een SMB-server

• Detecteren:

  Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
  

  De standaardconfiguratie is Enabled. Als gevolg hiervan wordt er geen benoemde registerwaarde gemaakt, zodat de opdracht geen SMB1-waarde teruggeeft.

• Uitschakelen:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
  

• Inschakelen:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
  

Notitie

U moet de computer opnieuw opstarten nadat u deze wijzigingen hebt aangebracht.

Zie Stop met het gebruik van SMB1voor meer informatie.

SMBv2 en SMBv3 op een SMB-server

• Detecteren:

  Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
  

• Uitschakelen:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
  

• Inschakelen:

  Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
  

Notitie

U moet de computer opnieuw opstarten nadat u deze wijzigingen hebt aangebracht.

Register-editor gebruiken

Belangrijk

Volg de stappen in deze sectie zorgvuldig. Er kunnen ernstige problemen optreden als u het register onjuist wijzigt. Maak voordat u deze wijzigt, een back-up van het register voor herstel voor het geval er problemen optreden.

Als u SMBv1 wilt in- of uitschakelen op een SMB-server, opent u registereditor en gaat u naar het volgende registersleutelpad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Configureer een vermelding met de volgende eigenschappen:

• Gebruik SMB1-voor de naam.
• Gebruik REG_DWORDvoor het type.
• Gebruik voor de gegevens 0 voor uitgeschakelde en 1 voor ingeschakelde. De standaardwaarde is 1of ingeschakeld. In dit geval wordt er geen registersleutel gemaakt.

Als u SMBv2 wilt in- of uitschakelen op een SMB-server, opent u registereditor en gaat u naar het volgende registersleutelpad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Configureer een vermelding met de volgende eigenschappen:

• Gebruik voor de naam SMB2.
• Gebruik REG_DWORDvoor het type.
• Gebruik voor de gegevens 0 voor de uitgeschakeld en 1 voor de ingeschakeld. De standaardwaarde is 1of ingeschakeld. In dit geval wordt er geen registersleutel gemaakt.

Notitie

 U moet de computer opnieuw opstarten nadat u deze wijzigingen hebt aangebracht.

Client

U kunt als volgt de status detecteren, SMB-protocollen in- en uitschakelen op een SMB-client waarop Windows-client en Windows Server worden uitgevoerd.

SMBv1 op een SMB-client

• Detecteren:

  sc.exe qc lanmanworkstation
  

• Uitschakelen:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= disabled
  

• Inschakelen:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= auto
  

Voor meer informatie, zie Stop met het gebruik van SMB1.

SMBv2 en SMBv3 op een SMB-client

• Detecteren:

  sc.exe qc lanmanworkstation
  

• Uitschakelen:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
  sc.exe config mrxsmb20 start= disabled
  

• Inschakelen:

  sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
  sc.exe config mrxsmb20 start= auto
  

Notitie

• U moet deze opdrachten uitvoeren via een opdrachtprompt met verhoogde bevoegdheid.
• U moet de computer opnieuw opstarten nadat u deze wijzigingen hebt aangebracht.

Groepsbeleid gebruiken om SMBv1 uit te schakelen

In deze sectie wordt beschreven hoe u Groepsbeleid gebruikt om SMBv1 uit te schakelen. U kunt deze methode gebruiken in verschillende versies van Windows.

Server

SMBv1

U kunt SMBv1 uitschakelen op een SMB-server door het volgende nieuwe item in het register te configureren:

• Sleutelpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Registervermelding: SMB1
• Invoertype: REG_DWORD
• Invoergegevens: 0voor Uitgeschakeld

Voer de volgende stappen uit om groepsbeleid te gebruiken om dit item te configureren:

1. Open de console Groepsbeleidsbeheer. Klik met de rechtermuisknop op het groepsbeleidsobject (GPO) dat het nieuwe voorkeursitem moet bevatten en selecteer vervolgens Bewerken.

2. Vouw in de consolestructuur onder Computerconfiguratiede map Voorkeuren uit en vouw vervolgens de map Windows-instellingen uit.

3. Klik met de rechtermuisknop op het knooppunt Register, wijs Nieuwaan en selecteer Registeritem.

   

4. Selecteer of voer in het dialoogvenster Nieuwe registereigenschappen de volgende waarden in:

   • actie: maken
   • Hive: HKEY_LOCAL_MACHINE
   • Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
   • waardenaam: SMB1-
   • waardetype: REG_DWORD
   • waardegegevens: 0

   

Met deze procedure worden de SMBv1-serveronderdelen uitgeschakeld. U moet dit beleid toepassen op alle benodigde werkstations, servers en domeincontrollers in het domein.

Notitie

 U kunt WMI-filters (Windows Management Instrumentation) instellen om specifieke besturingssystemen uit te sluiten of client- of serverbesturingssystemen uit te sluiten. Zie Groepsbeleid filteren en WMI-filters maken voor het groepsbeleidsobjectvoor meer informatie.

Belangrijk

Sommige systemen hebben toegang nodig tot de SYSVOL-map of andere bestandsshares, maar bieden geen ondersteuning voor SMBv2 of SMBv3. Voorbeelden van dergelijke systemen zijn oudere Windows-systemen en oudere Linux- en partnersystemen. Wees voorzichtig wanneer u SMBv1 uitschakelt op domeincontrollers op deze systemen.

Client

SMBv1

Als u de SMBv1-client wilt uitschakelen, moet u de registersleutel van de services bijwerken om het begin van het MRxSMB10-stuurprogramma te voorkomen. Vervolgens moet u de afhankelijkheid van MRxSMB10 verwijderen uit de vermelding voor LanmanWorkstation, zodat deze normaal kan worden gestart zonder dat MRxSMB10 eerst moet worden gestart.

In deze sectie wordt beschreven hoe u de standaardwaarden in de volgende twee items in het register bijwerkt en vervangt:

• Sleutelpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
  • Registervermelding: Start
  • Invoertype: REG_DWORD
  • Invoergegevens: 4, voor uitgeschakeld
• Sleutelpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
  • Registervermelding: DependOnService-
  • Invoertype: REG_MULTI_SZ
  • Invoergegevens: Bowser,MRxSmb20,NSI

Notitie

 De standaardwaarde bevat MRxSMB10-, die nu als afhankelijkheid wordt verwijderd.

Voer de volgende stappen uit om deze vermeldingen te configureren met behulp van Groepsbeleid:

1. Open de console Groepsbeleidsbeheer. Klik met de rechtermuisknop op het groepsbeleidsobject dat het nieuwe voorkeursitem moet bevatten en selecteer vervolgens Bewerken.

2. Vouw in de consolestructuur onder Computerconfiguratiede map Voorkeuren uit en vouw vervolgens de map Windows-instellingen uit.

3. Klik met de rechtermuisknop op het knooppunt Register, wijs Nieuweaan en selecteer Registeritem.

4. Selecteer of voer in het dialoogvenster Nieuwe registereigenschappen de volgende waarden in:

   • actie: bijwerken
   • Hive: HKEY_LOCAL_MACHINE
   • Sleutelpad: SYSTEM\CurrentControlSet\services\mrxsmb10
   • waardenaam: Start
   • waardetype: REG_DWORD
   • waardegegevens: 4

   

5. Als u de afhankelijkheid van het stuurprogramma MRxSMB10 wilt verwijderen dat is uitgeschakeld, opent u het dialoogvenster Nieuwe registereigenschappen en selecteert of voert u de volgende waarden in:

   • actie: vervangen
   • Hive-: HKEY_LOCAL_MACHINE
   • Sleutelpad: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
   • waardenaam: DependOnService-
   • waardetype: REG_MULTI_SZ
   • Waardegegevens:
     • Bowser
     • MRxSmb20-
     • NSI

   Notitie

   Voeg geen opsommingstekens toe aan de drie waardegegevens tekenreeksen. Geef alleen de tekenreeksen weer, zoals wordt weergegeven in de volgende schermopname.

   

   De standaardwaarde bevat MRxSMB10 en in veel versies van Windows. Door de standaardwaarde te vervangen door deze drie tekenreeksen, verwijdert u in feite MRxSMB10- als een afhankelijkheid voor LanmanWorkstation-. In plaats van de vier standaardwaarden gebruikt u deze drie waarden.

   Notitie

   Wanneer u de console Groepsbeleidsbeheer gebruikt, hoeft u geen aanhalingstekens of komma's te gebruiken. Schrijf iedere vermelding op aparte regels.

6. Als u het uitschakelen van SMBv1 wilt voltooien, start u de doelsystemen opnieuw.

SMBv1-gebruik controleren

Als u wilt bepalen welke clients verbinding willen maken met een SMB-server met behulp van SMBv1, kunt u controle inschakelen op Windows Server- en Windows-clients. Als u controle wilt in- of uitschakelen, gebruikt u de cmdlet Set-SmbServerConfiguration. Als u de controlestatus wilt controleren, gebruikt u de cmdlet Get-SmbServerConfiguration.

• Inschakelen:

  Set-SmbServerConfiguration -AuditSmb1Access $true
  

• Uitschakelen:

  Set-SmbServerConfiguration -AuditSmb1Access $false
  

• Detecteren:

  Get-SmbServerConfiguration | Select AuditSmb1Access
  

Nadat u SMBv1-controle hebt ingeschakeld, kunt u het Microsoft-Windows-SMBServer\Audit gebeurtenislogboek controleren op toegangsevenementen. Telkens wanneer een client SMBv1 probeert te gebruiken om verbinding te maken met een server, wordt een vermelding met een gebeurtenis-id van 3000 weergegeven in het logboek.

Groepsbeleidsinstellingen controleren

Als alle instellingen zich in hetzelfde groepsbeleidsobject bevinden, worden in Groepsbeleidsbeheer de volgende instellingen weergegeven:

Het beleid testen en valideren

Nadat u de configuratiestappen in de console Groepsbeleidsbeheer hebt voltooid, geeft u groepsbeleid tijd om de updates toe te passen op de instellingen. Voer indien nodig gpupdate /force uit bij een opdrachtprompt en controleer vervolgens de doelcomputers om ervoor te zorgen dat de registerinstellingen correct worden toegepast. Zorg ervoor dat SMBv2 en SMBv3 werken voor alle andere systemen in de omgeving.

Notitie

Nadat u het beleid hebt getest, start u de doelsystemen opnieuw op.