为什么以及如何在 Windows 11/10 上禁用 SMB1

尽管系统安全问题并不新鲜，但 Wannacrypt 勒索软件造成的混乱已促使网民立即采取行动。该勒索软件针对Windows操作系统的SMB服务漏洞进行传播。

SMB 或服务器消息块 是一种网络文件共享协议，用于在计算机之间共享文件、打印机等。共有三个版本 - 服务器消息块 (SMB) 版本 1 (SMBv1)、SMB 版本 2 (SMBv2) 和 SMB 版本 3 (SMBv3)。出于安全原因，Microsoft 建议您禁用 SMB1，鉴于 WannaCrypt 或 NotPetya 勒索软件的流行，现在这样做更为重要。

在 Windows 11/10 上禁用 SMB1

为了防御 WannaCrypt 勒索软件，您必须禁用 SMB1 并安装 Microsoft 发布的补丁。让我们看一下在 Windows 11/10/8/7 上禁用 SMB1 的一些方法。

通过控制面板关闭 SMB1

打开控制面板 > 程序和功能 > 打开或关闭 Windows 功能。

重启你的电脑。

使用 Powershell 禁用 SMBv1

在管理员模式下打开 PowerShell 窗口，键入以下命令并按 Enter 键以禁用 SMB1：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

建议禁用 SMB 版本 1，因为它已经过时并且使用了近 30 年的技术。

微软表示，当您使用 SMB1 时，您将失去后续 SMB 协议版本提供的关键保护，例如：

1. 预身份验证完整性 (SMB 3.1.1+) - 防止安全降级攻击。

2. 不安全的来宾身份验证阻止（Windows 10+ 上的 SMB 3.0+）- 防止 MiTM 攻击。

3. 安全方言协商（SMB 3.0、3.02）——防止安全降级攻击。

4. 更好的消息签名 (SMB 2.02+) - HMAC SHA-256 取代 MD5，作为 SMB 2.02、SMB 2.1 中的哈希算法，并且 AES-CMAC 取代 SMB 3.0+ 中的哈希算法。 SMB2 和 3 中的签名性能有所提高。

5. 加密 (SMB 3.0+) - 防止在线数据检查、MiTM 攻击。在 SMB 3.1.1 中，加密性能甚至比签名更好。

如果您希望稍后启用它们（不推荐用于 SMB1），命令如下：

启用 SMB1：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

启用 SMB2 和 SMB3：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

使用 Windows 注册表禁用 SMB1

您还可以调整 Windows 注册表以禁用 SMB1。

运行regedit并导航到以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

在右侧，DWORD SMB1 不应出现或应具有值 0。

启用和禁用它的值如下：

• 0=禁用

• 1=启用

有关在 SMB 服务器和 SMB 客户端上禁用 SMB 协议的更多选项和方法，请访问 Microsoft。