Windows SMB正确安全的开启姿势

在日常的办公生活中，网络共享的已经成为了不可或缺的一项技术，在windows中SMB共享模式无疑是最佳选择，因为不但PC端支持SMB协议，在移动端以及办公设备扫描等都是支持SMB协议的。网络上很多关于SMB的文章与视频方法都过于简单粗暴，从而忽略了安全性和易用性。本文将采取保姆式教学，让你开启SMB的正确姿势。

落后的SMB1不要使用

从安全性的角度出发是非常不推荐SMB1协议的，因为SMB1是上世纪80年代的产物，时至今日，它在安全性方面也暴露出了越来越多的问题。windows11在默认模式下都是禁用了SMB1的，如果你还在使用SMB1的话，这里强烈建议你禁用SMB1协议。

所以我收集了网络上一些相关的资料整理了一份我认为目前来说正确安全的Windows SMB共享开启方式。（这里也感谢分享各种SMB开启方法的网友，给我提供了参考）

1.首先查看SMB相关协议是否被正确开启和禁用

打开控制面板选择程序和功能

点击启用或关闭Windows 功能

查看SMB协议的开启方式（如图和我一样设置就可以了）

2.创建一个SMB的专用帐户

此电脑右键-显示更多选项-管理

选择本地用户和组-用户-在右边空白处右键-选择新用户

设置一个你自己的专用帐户（用户名和密码以及描述按你自己的设置就好）取消掉用户下次登录时须更改密码-将用户不能更改密码和密码永不过期选中

创建好帐户后我们可以从列表中看到我们的帐户

3.计算机本地组策略设置及安全策略设置

按下WIN+R键呼出运行菜单-输入gpedit.msc打开本地组策略设置

依次打开计算机配置-管理模板-网络-lanman工作站-检查启用不安全的来宾登录是否为禁用状态，如果是启用则设置为禁用，如果是禁用状态则不需要更改了

禁用来宾模式就是为了我们的文件安全，有很多教程教大家启用该策略，但是启用后，他人进行访问时应进行身份验证，验证不通过就应该拒绝访问，结果我们开启了来宾模式验证不过的就会以来宾的方式进行登录，这是不安全的行为，就是四海来宾皆为客，来即安之。

依次打开计算机配置-windows设置-安全设置-本地策略-安全选项。查看右边相应标红的策略设置是否如图一致，不一致的修改为如图一致

Microsoft网络服务器：对通信进行数字签名(始终) —— 已禁用

这个策略是SMB做为服务端，当网络中的客户端进行访问时，服务端就会要求客户端也开启了通信的数字签名功能，否则就不允许建立连接。默认的状态下它是禁用的，对于一般用户来说也不需要开启它。当然你如果是专业人士可以根据自己的需求进行设置。这里我们默认选择关闭。

Microsoft网络客户端：对通信进行数字签名(如果服务器允许) —— 已启用

这个策略实质上和第一条有些类似，但是第一条是做为服务端，而第二条是做为客户端，我们可以看到第一个是网络服务器，而第二个是网络客户端，为什么这个又要开启呢？当本地计算机访问服务端时如果对方服务端要求进行数字签名而我们做为客户端，也开启了数字签名，那么就会被允许连接。所以这里我们选择开启。

Microsoft网络客户端：对通信进行数字签名(始终) —— 已禁用

这个策略在默认的状态下也是禁用的，我们也不要选择去开启它。因为开启之后我们做为客户端就会对于服务端之间的通信进行强制数字签名，而有些服务端并没有开启数字签名从而造成连接失败。和上面第二条策略不同的是它是如果服务端开启了通信数字签名，则我们做为服务端也对通信进行签名，如果服务端没有开启数字签名则我们做为客户端也不进行数字签名。

设备：防止用户安装打印机驱动程序 —— 已禁用

这条策略是我们在共享打印机时，局域网中的其他人要连接我们的共享打印机，他可以从我们这里直接下载打印机的驱动，如果我们开启了该策略，他人将无法从我们这边下载该打印机驱动，所以这里我们选择禁用。

网络访问：本地账户的共享和安全模型” 设置为 “经典-对本地用户进行身份验证，不改变其本来身份

这里是非常重要的一个策略，网上有教程让大家选择“仅来宾-对本地用户进行身份验证，其身份为来宾”这就和我们之前说的一样了，来宾模式本身就存在不安全因素，我们的家谁都能进来这明显也是不合适的。

接下来设置安全策略进行用户权限的分配

按下WIN+R键呼出运行菜单-输入secpol.msc打开本地安全策略设置

依次选择本地策略-用户权限分配-从网络访问此计算机

点击添加用户或组

在文本输入框中输入我们的帐户用户名-点击检查名称

检查名称后会变成以下这种格式-点击确定

这里我们就可以看见我们添加的帐户用户名了，这样就是设置好了，大家可以参考图片

对拒绝本地登录和拒绝通过远程桌面服务登录做出和上面（从网络访问此计算机）一致的设置，将我们的帐户用户名添加到这两项策略中。

拒绝本地登录

这个策略就是这个帐户我们只想用来做SMB的专用帐户，而不想用来做本地登录，拿我自己来举例，我就很不喜欢给电脑上帐户密码，开机就能用，我就觉得很爽，如果因为增添了一个帐户，开机要选择帐户或者要输入密码，就会让我很头痛，而且这样做也是相对更加安全的，新建SMB帐户它就只能做一件事就是连接SMB，其他的事情它是没有权限来做的。

拒绝通过远程桌面服务登录

这个策略就和上面类似了，不允许该帐户通过远程桌面服务连接到我们的电脑，当然也可以是我们的服务器。

4.开启网络共享服务

打开控制面板-点击网络和共享中心

点击更改高级共享设置

按照图片红色框内的示例进行设置，系统版本不同该界面略有不同，但是设置的名称和选项都是一致的。

5.设置SMB共享文件夹

这里我们在D盘新建一个SMB文件夹，当然这个就和上面的SMB专用帐户一样，你也可以设置起的的名字，这个看你自己的喜好

右键属性-点击共享-点击高级共享

勾选共享此文件夹-点击权限

将Everyone帐户删除-然后点击添加

这里和设置安全策略一样，在输入框内输入我们的帐户然后点击检查名称

将刚添加的账户给予完全控制的权限

返回到文件夹属性-选择安全选项卡-点击编辑

依旧添加我们的专用帐户

还是老规矩一样的步骤

这里一样给予完全控制的权限，这一个步骤也是非常重要的，要不然你会发现在PC端可以可以连接互通，但是到了移动端或者办公设备的扫描SMB就会出现访问连接错误。

6.SMB连接测试

使用另一台电脑，打开此电脑选择映射网络驱动器

填写做为服务端的那台电脑或者服务器的IP地址及SMB文件夹路径

填写我们设置的专用帐户密码

我们可以看到这里已经出现了我们的SMB共享磁盘了

这里我使用手机简单的做一下连接测试，填入相关的信息

我们可以看到手机也是可以正常访问我们的SMB共享目录了

到这里我们的保姆级SMB设置教程就结束了，如果有哪些地方不对的也欢迎大家去我的社交媒体平台私信指正，thinks