Zunächst möchte ich mich entschuldigen, weil mir die Antwort damals noch unvollständig war. Ich werde jetzt viel klarer und korrekter sein.
Ich habe das selbst getestet (mit 7 und 10) und es funktioniert gut; Es sollte keinen Grund geben, warum Windows 8.1 nicht funktioniert. Ich habe es von dieser Seite in der Technet-Dokumentation von Microsoft erhalten. Leider verhindert dies nicht die Verbindung zu SMBv2-Dateifreigaben, blockiert jedoch SMBv2-Verbindungen. Dies bietet wichtige Unterschiede bei der SMB3-Sicherheit.
Wenn die SMB-Verschlüsselung für eine Dateifreigabe oder einen Server aktiviert ist, können standardmäßig nur SMB 3.0-Clients auf die angegebenen Dateifreigaben zugreifen. Dadurch wird die Absicht des Administrators erzwungen, die Daten aller Clients zu schützen, die auf die Freigaben zugreifen.
....
Wenn die Einstellung –RejectUnencryptedAccess auf der Standardeinstellung $ true belassen wird, dürfen nur verschlüsselungsfähige SMB 3.0-Clients auf die Dateifreigaben zugreifen (SMB 1.0-Clients werden ebenfalls abgelehnt).
Diese Passage schließt die SMB-Verschlüsselung für die bestimmte Serverfreigabe ein, um sie abzulehnen. Mit anderen Worten, es wird nicht abgelehnt, es sei denn, es ist verschlüsselt. Sie müssen Ihre Freigaben verschlüsseln, indem Sie die folgenden Befehle in einer erhöhten Powershell verwenden. (Sie können auch ersetzen $truemit, $falsewenn Sie nicht wollen, dass es für diese Aktie ohne Verschlüsselung abzulehnen, wenn Sie Ablehnung aktiviert haben).
So legen Sie eine bestimmte Freigabe als verschlüsselt fest:
Set-SmbShare –Name <sharename> -EncryptData $true Alle Freigaben als verschlüsselt festlegen. Das ist das, was Sie wahrscheinlich wollen. Dies ist die Standardeinstellung und überschreibt bestimmte Freigabeeinstellungen.)
Set-SmbServerConfiguration –EncryptData $true Dies kann auch durch Ändern des EncryptDataKey-In vorgenommen werden HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, indem der DWORD-Wert von 0(false) auf 1(true) gesetzt wird. Sie müssen Ihren Computer anschließend neu starten, damit die Einstellungen wirksam werden (möglicherweise könnten Sie stattdessen einige Dienste neu starten).
So erstellen Sie eine Freigabe und machen sie verschlüsselt:
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true In dem Dokument wird beschrieben, dass SMBv1 bei aktivierter RejectUncreyptedAccess-Verbindung keine Verbindung herstellen kann, da nur SMBv3- Verbindungen akzeptiert werden und somit auch eingehende SMBv2-Verbindungen eingeschränkt werden.
Daher wären alle diese Befehle völlig umsonst, wenn RejectUnencryptedAccess nicht aktiviert ist, indem der Wert auf $ true festgelegt wird. Wenn dies nicht bereits geschehen ist (standardmäßig aktiviert), verwenden Sie den Befehl:
Set-SmbServerConfiguration –RejectUnencryptedAccess $true Dies kann auch durch Ändern des RejectUnecryptedAccessKey-In vorgenommen werden HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, indem der DWORD-Wert von 0(false) auf 1(true) gesetzt wird. Sie müssen Ihren Computer anschließend neu starten, damit die Einstellungen wirksam werden (möglicherweise könnten Sie stattdessen einige Dienste neu starten).
Auch als Referenz:
Der technische Grund für die Ablehnung von SMBv2 liegt nicht in der Unverschlüsselung, sondern in einem weniger effizienten und weniger sicheren Verschlüsselungsalgorithmus. SMBv3 verwendet AES (Advanced Encryption Standard (seit 1998 veröffentlicht)), während SMBv2 HMAC-Sha256 (Security Hash Algorithm (der 2001 von der NSA veröffentlicht wurde)) verwendet. [Ich habe versucht, eingehende HMAC-Sha256 zu blockieren, und als ich versuchte zu blockieren, tat es nichts, da es von Windows nicht als "schwacher" Algorithmus betrachtet wird. Daher kann es nicht deaktiviert werden, wie Sha1-Algorithmen sein können.]
Deaktivieren Sie SMBv1 mit diesem Befehl (weil er redundant ist, wenn RejectUnencryptedAccess aktiviert ist und alle Freigaben verschlüsselt sind und Sie sie sowieso deaktivieren möchten):
Set-SmbServerConfiguration -EnableSMB1Protocol $false Aktivieren Sie SMBv2 und SMBv3 zusammen (SMBv2-Verbindungen werden blockiert, wenn RejectUnecryptedAccess aktiviert ist):
Set-SmbServerConfiguration -EnableSMB2Protocol $true Sie können eingehendes SMBv2 nicht deaktivieren, während Sie SMBv3 verwenden möchten. Sie können das eingehende SMBv1 jedoch deaktivieren, indem Sie den SMBv1-Client mit einer erhöhten Powershell oder Eingabeaufforderung deaktivieren:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol Andere schöne Referenzen von Microsoft:
- How-to-Enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows - Grundlagen zum Deaktivieren und Aktivieren von Protokollen
- Windows-Server-2012-die-Version des SMB-Protokolls-SMB-1-0-SMB-2-0-SMB-2-1-oder-SMB-3-0-Sie-Sie-verwenden- On-Your-File-Server - Protokolltechniken