Windows 7、Windows Server 2008/2008 R2でSMBv1を無効にする

how-to-disable-smbv1-winnt60and61.md

本資料は、Windows NT6.0系およびNT6.1系におけるSMBv1の無効化手順を、下記の内容に基づいて記述しています。

• ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
• Windows と Windows Server で SMBv1、SMBv2、SMBv3 を有効または無効にする方法

製品名	内部バージョン	備考
Windows Vista	NT 6.0	サポートが終了しているため、本資料では対象外にしています。
Windows Server 2008	NT 6.0
Windows 7	NT 6.1
Windows Server 2008 R2	NT 6.1

重要：管理者権限で実行し、またレジストリを編集する内容が含まれます。実施する前にバックアップを作成するなどし、問題が発生した場合は切り戻しできるよう十分に準備をしてください。また、実施する際は自己の責任において行ってください。

1. SMBv1サーバ機能を無効化する

方法1：コマンドプロンプトで、regコマンドを使用する (Windows Server 2008)

1. 現在の状況を確認 (特に設定していない場合、エラーが返ってきます。)

reg query "HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" /v SMB1

2. SMBv1サーバ機能を無効化

reg add "HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" /v SMB1 /t REG_DWORD /d 0 /f

3. 再起動後、設定値を確認

方法2：PowerShell 2.0以降を使用する (Windows 7/Windows Server 2008 R2)

1. 現在の状況を確認

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters"

2. SMBv1サーバ機能を無効化

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

4. 再起動後、設定値を確認

方法3：レジストリエディタでSMBv1を無効化

1. 下記のレジストリ サブキーに、"SMB1"というレジストリエントリをDWORD（32ビット）値で新規作成する

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

• REG_DWORD: 0 = 無効
• REG_DWORD: 1 = 有効 (規定値)

2. 再起動後、設定値を確認

方法4：レジストリ登録ファイルを作成してSMBv1を無効化

1. 別添サンプル "SMBv1_disable.reg" の内容をメモ帳に記述して、拡張子を".reg"、文字コードを"Unicode"にして保存
2. 上で作った ".reg" ファイルをダブルクリックして実行する
3. 再起動後、設定値を確認

2. SMBv1クライアント機能を無効化する

方法：コマンドプロンプトで、scコマンドを使用する

1. 現在の状況を確認

sc.exe qc lanmanworkstation
sc.exe query MRxSmb10

2. SMBv1クライアント機能を無効化

sc.exe config lanmanworkstation depend= Bowser/MRxSmb20/NSI 
sc.exe config MRxSmb10 start= disabled

3. 再起動後、設定値を確認

SMBv1_disable.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000