我不使用我的 Windows 10 机器来共享或检索文件、连接到打印机或通过家庭网络中的串行端口连接到其他主机。鉴于SMB 协议中存在安全漏洞的历史(本周发布的最新版本),我想禁用它。但是,详细说明如何禁用它的同一页面不建议永久这样做:
我们建议您不要禁用 SMBv2 或 SMBv3。禁用 SMBv2 或 SMBv3 仅作为临时故障排除措施。不要让 SMBv2 或 SMBv3 处于禁用状态。
我可以放心地忽略该建议吗?为什么会在那里?是否有启用它的安全性或其他非文件共享功能,我错过了?例如,当“高级故障排除”页面显示
在 Windows 8、Windows 8.1、Windows 10、Windows Server 2012 和 Windows Server 2016 中,禁用 SMBv3 会停用以下功能(以及前面列表中描述的 SMBv2 功能):
- 透明故障转移 - 客户端在维护或故障转移期间重新连接到集群节点而不会中断
- Scale Out – 并发访问所有文件集群节点上的共享数据
- 多通道 - 如果客户端和服务器之间有多个可用路径,则聚合网络带宽和容错
- SMB Direct – 添加 RDMA 网络支持以实现非常高的性能、低延迟和低 CPU 利用率
- 加密——提供端到端加密并防止对不可信网络的窃听
- 目录租赁 - 通过缓存提高分支机构的应用程序响应时间
- 性能优化 - 小型随机读/写 I/O 的优化
这是否也适用于非文件共享流量、加密和本地 I/O?
全面禁用 SMB 没有任何合理意义。您可能会禁用几个引用 \\localhost\C$ 的关键 Windows 功能,尽管这很愚蠢。
让它打开。如果您有安全问题,请通过 Windows 防火墙处理它,以阻止所有到本地系统的出站/入站流量,而不是通过端口阻止通过 SMB 的本地系统流量请求。
如果您确实希望继续,我强烈建议您对以下链接进行全面审查,以准确了解您要禁用的内容。
https://docs.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview
和更多。检查完整列表的链接。
今晚(2020 年 3 月 12 日)发布了一个新的累积更新,该更新解决了(除其他外)修正 SMB 3.1.1 的问题。
虽然我确实理解您的担忧,但 SMB 很大程度上嵌入了 Windows 10 所做的事情(包括所有形式的共享)。
因此,我建议保持 Windows 10 为最新版本,而不是永久禁用 SMB。
下面有一篇关于禁用 SMBv3 的影响的相当技术性的文章。在我看来,让 Windows 10 保持最新状态会更好、更容易
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3