原則 CSP - LanmanWorkstation
重要
此 CSP 包含一些正在開發且僅適用于 Windows Insider Preview 組建 的設定。 這些設定可能會變更,而且可能相依于預覽中的其他功能或服務。
AuditInsecureGuestLogon
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100.3613] 和更新版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditInsecureGuestLogon
此原則可控制當客戶端以來賓帳戶登入時,SMB 用戶端是否會啟用稽核事件。
如果啟用此原則設定,當客戶端以來賓帳戶登入時,SMB 用戶端會記錄事件。
如果您停用或未設定此原則設定,SMB 用戶端將不會記錄事件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_AuditInsecureGuestLogon |
| 易記名稱 | 稽核不安全的來賓登入 |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 登錄值名稱 | AuditInsecureGuestLogon |
| ADMX 檔案名稱 | LanmanWorkstation.admx |
AuditServerDoesNotSupportEncryption
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100.3613] 和更新版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditServerDoesNotSupportEncryption
此原則可控制當SMB伺服器不支援加密時,SMB 用戶端是否會啟用稽核事件。
如果啟用此原則設定,SMB 用戶端會在SMB伺服器不支援加密時記錄事件。
如果您停用或未設定此原則設定,SMB 用戶端將不會記錄事件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_AuditServerDoesNotSupportEncryption |
| 易記名稱 | 稽核伺服器不支援加密 |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 登錄值名稱 | AuditServerDoesNotSupportEncryption |
| ADMX 檔案名稱 | LanmanWorkstation.admx |
AuditServerDoesNotSupportSigning
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100.3613] 和更新版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/AuditServerDoesNotSupportSigning
此原則可控制當SMB伺服器不支持簽署時,SMB 用戶端是否會啟用稽核事件。
如果啟用此原則設定,SMB 用戶端會在SMB伺服器不支援簽署時記錄事件。
如果您停用或未設定此原則設定,SMB 用戶端將不會記錄事件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_AuditServerDoesNotSupportSigning |
| 易記名稱 | 稽核伺服器不支持簽署 |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 登錄值名稱 | AuditServerDoesNotSupportSigning |
| ADMX 檔案名稱 | LanmanWorkstation.admx |
EnableInsecureGuestLogons
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableInsecureGuestLogons
此原則設定會決定SMB用戶端是否允許不安全的來賓登入SMB伺服器。
如果您啟用此原則設定,或未設定此原則設定,則 SMB 用戶端會允許不安全的來賓登入。
如果您停用此原則設定,SMB 用戶端將會拒絕不安全的來賓登入。
如果您啟用簽署,SMB 用戶端將會拒絕不安全的來賓登入。
檔伺服器會使用不安全的來賓登入來允許未經驗證的共享資料夾存取。 雖然在企業環境中並不常見,但取用者網路連接記憶體 (NAS) 設備作為文件伺服器時,經常會使用不安全的來賓登入。 Windows 檔伺服器需要驗證,而且預設不會使用不安全的來賓登入。 由於不安全的來賓登入未經驗證,因此會停用重要的安全性功能,例如SMB簽署和SMB加密。 因此,允許不安全來賓登入的用戶端很容易遭受各種攔截式攻擊,這些攻擊可能會導致數據遺失、數據損毀,以及暴露於惡意代碼。 此外,任何使用不安全的來賓登入寫入檔伺服器的數據,都有可能可供網路上的任何人存取。 Microsoft建議停用不安全的來賓登入,並設定檔伺服器以要求驗證的存取權」。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_EnableInsecureGuestLogons |
| 易記名稱 | 啟用不安全的來賓登入 |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 登錄值名稱 | AllowInsecureGuestAuth |
| ADMX 檔案名稱 | LanmanWorkstation.admx |
EnableMailslots
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100.3613] 和更新版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/EnableMailslots
此原則可控制SMB用戶端是否要啟用或停用透過MUP的遠端mailslots。
如果您停用此原則設定,遠端mailslots將無法透過MUP運作,因此它們不會通過SMB用戶端重新導向器。
如果您未設定此原則設定,則可透過 MUP 允許遠端 mailslots。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_EnableMailslots |
| 易記名稱 | 啟用遠端mailslots |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\NetworkProvider |
| 登錄值名稱 | EnableMailslots |
| ADMX 檔案名稱 | LanmanWorkstation.admx |
MaxSmb2Dialect
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100.3613] 和更新版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/MaxSmb2Dialect
此原則控制SMB通訊協定的最大版本。
注意
如果仍然安裝並啟用該元件,此組策略不會防止使用SMB 1。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 785 |
允許的值:
| 值 | 描述 |
|---|---|
| 514 | SMB 2.0.2。 |
| 528 | SMB 2.1.0。 |
| 768 | SMB 3.0.0。 |
| 770 | SMB 3.0.2。 |
| 785 (預設) | SMB 3.1.1。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_MaxSmb2Dialect |
| 易記名稱 | 要求SMB的最大版本 |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| ADMX 檔案名稱 | LanmanWorkstation.admx |
MinSmb2Dialect
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100.3613] 和更新版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/MinSmb2Dialect
此原則控制SMB通訊協定的最低版本。
注意
如果仍然安裝並啟用該元件,此組策略不會防止使用SMB 1。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 514 |
允許的值:
| 值 | 描述 |
|---|---|
| 514 (預設) | SMB 2.0.2。 |
| 528 | SMB 2.1.0。 |
| 768 | SMB 3.0.0。 |
| 770 | SMB 3.0.2。 |
| 785 | SMB 3.1.1。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_MinSmb2Dialect |
| 易記名稱 | 要求SMB的最低版本 |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| ADMX 檔案名稱 | LanmanWorkstation.admx |
RequireEncryption
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 24H2 [10.0.26100.3613] 和更新版本 ✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/LanmanWorkstation/RequireEncryption
此原則可控制SMB用戶端是否需要加密。
如果啟用此原則設定,則SMB用戶端會要求SMB伺服器支援加密和加密數據。
如果您停用或未設定此原則設定,則SMB用戶端不需要加密。 不過,可能仍需要SMB加密;請參閱下面的注意事項。
注意
此原則會與每個共用、每部伺服器和每個對應的磁碟驅動器連線屬性結合,可能需要透過這些屬性進行 SMB 加密。 SMB 伺服器必須支援並啟用SMB加密。 例如,如果停用此原則 (或未設定) ,如果 SMB 伺服器共用有必要的加密,則 SMB 用戶端仍可執行加密。
重要
SMB 加密需要SMB 3.0或更新版本。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | Pol_RequireEncryption |
| 易記名稱 | 需要加密 |
| 位置 | [電腦設定] |
| 路徑 | 網路 > Lanman 工作站 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows\LanmanWorkstation |
| 登錄值名稱 | RequireEncryption |
| ADMX 檔案名稱 | LanmanWorkstation.admx |