在 Windows 10 中禁用 SMB v2/v3 是否安全?

在 Windows 10 中禁用 SMB v2/v3 是否安全?

我不使用 Windows 10 计算机来共享或检索文件、连接打印机或通过家庭网络中的串行端口连接到其他主机。鉴于安全漏洞的历史在 SMB 协议中,最新的本周出版,我想禁用它。但是,详细说明如何禁用它的同一页面不建议永久禁用:

我们建议您不要禁用 SMBv2 或 SMBv3。禁用 SMBv2 或 SMBv3 仅作为临时故障排除措施。请勿将 SMBv2 或 SMBv3 保持禁用状态。

我可以放心地忽略该建议吗?它为什么在那里?启用它是否有我所没有的安全或其他非文件共享功能?例如,当高级故障排除页面

在 Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016 中,禁用 SMBv3 会停用以下功能(以及上一列表中描述的 SMBv2 功能):

  • 透明故障转移 - 客户端在维护或故障转移期间无需中断即可重新连接到集群节点
  • 横向扩展 – 并发访问所有文件集群节点上的共享数据
  • 多通道——如果客户端和服务器之间有多条路径,则可以聚合网络带宽并实现容错
  • SMB Direct – 增加了 RDMA 网络支持,可实现极高的性能、低延迟和低 CPU 利用率。
  • 加密——提供端到端加密,防止不可信网络窃听
  • 目录租赁 - 通过缓存提高分支机构应用程序的响应时间
  • 性能优化 - 针对小型随机读/写 I/O 的优化

这是否也适用于非文件共享流量、加密和本地 I/O?

答案1

全面禁用 SMB 是毫无意义的。您可能会禁用几个引用 \\localhost\C$ 的关键 Windows 功能,尽管这样做很愚蠢。

保持开启。如果您有安全问题,请通过 Windows 防火墙进行处理,以阻止除通过端口阻止通过 SMB 进行的本地系统流量请求之外的所有到本地系统的出站/入站流量。

如果您确实希望继续,我强烈建议您全面查看以下链接,以准确了解您禁用的内容。

https://docs.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview

在 Windows 10、Windows 8.1、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 中,禁用 SMBv3 会停用以下功能:

透明故障转移 - 客户端在维护或故障转移期间无需中断即可重新连接到集群节点

横向扩展 - 并发访问所有文件群集节点上的共享数据

多通道——如果客户端和服务器之间有多条路径,则可以聚合网络带宽并实现容错

SMB Direct - 添加 RDMA 网络支持,实现高性能、低延迟和低 CPU 使用率

加密 - 提供端到端加密,防止不可信网络窃听

目录租赁 - 通过缓存提高分支机构应用程序的响应时间

性能优化 - 针对小型随机读/写 I/O 的优化

还有更多。请查看链接获取完整列表。

答案2

今天晚上(2020 年 3 月 12 日)发布了一个新的累积更新,其中解决了(除其他事项外)更正 SMB 3.1.1 的问题。

虽然我确实理解您的担忧,但 SMB 已经深深嵌入到 Windows 10 的功能中(包括所有形式的共享)。

因此我建议保持 Windows 10 为最新版本,而不是永久禁用 SMB。

下面有一篇关于禁用 SMBv3 的影响的相当技术性的文章。在我看来,让 Windows 10 保持最新状态更好、更容易

https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3

相关内容