在 Windows 中阻止 SMBv1
Server 消息块(SMB)是一种遵循客户端-Server 模型的通信协议,可在设备(如打印机和端口)之间实现共享访问。在 SMB 的三个版本(SMBv1、SMBv2、SMBv3)中,由于网络容易因 SMBv1 中存在的漏洞 而遭受恶意攻击,Microsoft 建议阻止 SMBv1 协议。以下是关于如何在 Windows 中阻止 SMBv1 的详细指南。
如何阻止 445 端口?
- 进入“开始” -> “控制面板”。
- 单击“Windows 防火墙/Windows Defender 防火墙”。
- 进入“高级设置”。
- 右键单击“入站规则”按钮并单击“新建规则”选项。
- 现在选择“端口”选项并单击“下一步”。
- 在“特定本地端口”下将端口指定为 445。
- 选择 TCP 并单击“下一步”。
- 选择“阻止连接”选项并单击“下一步”。
- 现在选择“域”、“专用”和“公用”选项并单击“下一步”。
- 提供名称和说明,然后单击“完成”。
- TCP 端口 445 现已成功被阻止。
如何阻止 SMBv1 通信协议?
可以根据所使用的 Windows 设备类型,通过以下方式阻止 SMBv1 协议:
适用于 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019:
- 打开该 Server 的 Server 管理器仪表板。
- 选择“添加角色和功能”选项。
- 现在单击“启动删除角色和功能向导”,然后单击“下一步”。
- 在“选择目标 Server”页面的“Server 池”选项卡中,选择要从中删除此功能的 Server。
- 单击“下一步”。
- 在“删除 Server 角色”页面上,单击“下一步”。
- 在“删除功能”页面中,取消选中“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“下一步”。
- 在“删除所选内容”页面上,确认该功能已列出,然后选择“删除”。
- 您的设备中现已成功阻止 SMBv1 协议。
适用于 Windows 8.1 和 Windows 10:
- 进入“开始” -> “控制面板”。
- 在控制面板中选择“程序和功能”。
- 在“控制面板主页”部分,选择“启用或关闭 Windows 功能”以打开“Windows 功能”对话框。
- 在“Windows 功能”对话框中向下滚动,取消选中“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”。
在 Windows PowerShell 中使用命令启用/禁用 SMB v1/v2/v3
- 以管理员模式打开 Windows PowerShell。
- 使用以下命令启用 SMBv1/SMBv2/SMBv3
- Set-SmbServerConfiguration -EnableSMB1Protocol $true
- Set-SmbServerConfiguration -EnableSMB2Protocol $true
- 使用以下命令禁用 SMBv1/SMBv2/SMBv3
- Set-SmbServerConfiguration -EnableSMB1Protocol $false
- Set-SmbServerConfiguration -EnableSMB2Protocol $false
- 要检查 SMBv1/SMBv2/SMBv3 的状态,请使用以下命令。
- Get-SmbServerConfiguration | Select EnableSMB1Protocol
- Get-SmbServerConfiguration | Select EnableSMB2Protocol
注意:
- 阻止 SMB 不会影响 OpManager 中的 WMI 数据采集。但是,在执行此操作之前,请务必与您的系统管理员确认。
- 由于 SMBv2 和 SMBv3 协议共享同一协议栈,启用或禁用 SMBv2 时也会同时启用或禁用 SMBv3。
- 运行 Set-SMBServerConfiguration cmdlet 后,无需重新启动计算机。
如需了解更多信息,请访问此页面。
感谢您的反馈!