在日常的工作和生活中，局域网文件共享是许多人都需要的功能，尤其是对 Windows 用户而言，SMB 协议更是实现共享文件、打印机等资源的常见方式。无论是在公司内部共享资料，还是在家中通过 NAS 为 Windows 设备提供数据访问，SMB 共享都扮演着重要角色。

因此，今天想和大家深入聊聊，在 Windows 系统中如何安全且正确地配置 SMB 共享——既能方便地在局域网内共享文件，又能有效保障数据安全。

如果分享的内容有遗漏或不够准确的地方，也欢迎大家指正和补充！

一、禁用SMB1.0

为什么不使用 SMB1？（关键风险总结）
1.严重安全漏洞：SMB1 在设计之初毫无安全考虑。最著名的攻击是 “永恒之蓝” 漏洞，它被用于 WannaCry 等席卷全球的勒索病毒攻击。即使打了补丁，其架构也依然脆弱。
2.性能低下：SMB1 效率很低，传输大文件时速度远不如新版本。
3.缺乏现代功能支持：不支持许多现代 SMB 功能，如持续句柄、透明故障转移等，这些功能对性能和可靠性至关重要。
4.已被行业淘汰：微软、苹果等主流厂商都已弃用或默认禁用 SMB1。它是遗留协议，只为兼容非常古老的设备（如十几年前的打印机、NAS 或 XP 时代的系统）。

操作步骤：打开控制面板-点击程序和功能

操作步骤：点击启用或关闭Windows功能

操作步骤：如果SMB1.0是开启的请你关闭-勾选SMB直通（SMB Direct）

二、创建一个SMB专用的账户

操作步骤：在开始菜单中搜索管理-打开计算机管理

操作步骤：点击本地用户和组-打开用户

操作步骤：空白处单击右键-选择新用户-按照下图设置即可

三、设置本地策略组

操作步骤：按下WIN+R键呼出运行菜单-输入gpedit.msc-点击确定

操作步骤：打开启用不安全的来宾登录设置窗口

操作步骤：选择已禁用-点击确定

在访问 SMB 共享时（即使是较新的 SMB2/3 协议），如果提供的用户凭据验证失败，系统可能会回退到使用“来宾”身份进行访问。这个“来宾”账户通常权限极低，但这仍然是一个安全隐患，因为它：
1.暴露信息：允许未经授权的用户窥探共享列表和部分可读文件。
2.违背“默认拒绝”原则：正确的安全逻辑应该是“验证失败 = 彻底拒绝访问”，而不是“换种方式让你进来”。

操作步骤：继续在本地策略组编辑器中以此打开如下目录-找到右边三个标红的选项其安全设置与图片一致

操作步骤：向下滚动找到标红选项-设置的与图片一致

操作步骤：向下滚动找到标红选项-设置的与图片一致

四、设置本地安全策略

操作步骤：WIN+R呼出运行窗口-输入 secpol.msc 打开 本地安全策略

操作步骤：打开从网络访问此计算机设置

操作步骤：点击添加用户或组

操作步骤：输入前面建立的SMB专用账户的用户名-点击检查名称

操作步骤：名称变成如下格式-点击确定

操作步骤：此时栏目中出现了我们建立的用户名-点击确定

操作步骤：询问是否更改设置-点击确定

操作步骤：向下滚动，找到标红的两项，按照上面的步骤为标红的选择添加SMB专用账户名

五、开启网络共享设置

操作步骤：打开控制面板-点击网络和共享中心

操作步骤：点击更改高级共享设置

操作步骤：将相关设置修改的与图片一致

六、建立SMB专用文件夹

操作步骤：到任意磁盘内-新建文件夹（名称自定义，我就命名为SMB）-文件夹上右键属性

操作步骤：选项卡中选择共享-点击高级共享

操作步骤：勾选共享此文件夹-点击权限

操作步骤：删除Everyone账户-点击添加

操作步骤：输入SMB专用账户用户名-根据图片执行

操作步骤：选中添加的账户-勾选完全控制-点击确定

操作步骤：继续在文件夹属性选项卡中-选择安全-点击编辑

操作步骤：点击添加

操作步骤：输入SMB专用账户用户名-按以下图片执行

操作步骤：选择刚才添加的账户-勾选完全控制-点击确定

七、测试SMB连接

操作步骤：来到另一台计算机-打开此电脑-点击查看旁边的三个点按钮

操作步骤：输入SMB路径及共享文件夹名称（路径可以是服务端计算机名称或者是服务端IP地址,我使用的是IP地址）

操作步骤:输入刚才在服务端建立的SMB专用账户的用户名和密码（因为我的服务端在写此教程之前已经建立好了，所以账户变成了SMB）

可以看到此时SMB共享连接成功了

操作步骤：打开具有SMB功能的文件管理APP-输入SMB相关信息及用户名密码

OK,此时手机测试连接也成功

当然其他设备也是可以通过SMB文件共享的方式连接的，比如你的智能电视、平板电脑等等。