SMB подпись (SMB signing) режет скорость в Windows 10/11 — как правильно настроить (2025)

Коротко: что проверить сразу

• Подключитесь по кабелю к гигабитному порту без хабов и «умных» свитчей.
• Убедитесь, что работает SMB2/SMB3, а не SMB1 (его включать нельзя).
• Проверьте, подписаны ли текущие подключения SMB и какой диалект используется.
• Если в домене — подпись часто навязывается политиками. Сначала смотрим политики.

Что такое SMB‑подпись и когда она включается

SMB signing добавляет к каждому пакету криптографическую подпись. Это защищает от подмены трафика в недоверенных сетях. Цена — дополнительная нагрузка на процессор и падение скорости, особенно на слабых NAS, Wi‑Fi и старых ПК. Подпись может быть:

• Выключена — соединение без подписи.
• Разрешена (если согласовано) — клиент/сервер договорятся о подписи при необходимости.
• Обязательна (всегда) — все соединения будут подписаны.

В доменных сетях и на некоторых новых конфигурациях политики по умолчанию часто усиливают требования. На домашних/малых сетях можно оставить «если согласовано» или отключить на время диагностики.

1) Смотрим, подписано ли текущее соединение

PowerShell (Администратор) — команды выполнять по одной строке:

Get-SmbConnection | Select ServerName, ShareName, Dialect, Signed, Encrypted
Get-SmbClientConfiguration | Select RequireSecuritySignature, EnableSecuritySignature
Get-SmbServerConfiguration | Select RequireSecuritySignature, EnableSecuritySignature

Поле Signed покажет, используется ли подпись на активных подключениях. Если везде True и скорость низкая — возможно, именно подпись «режет» пропускную.

2) Настройка на клиенте Windows

Для неопытного пользователя проще через Локальную групповую политику (Windows Pro/Enterprise):

1. Нажмите Win+R → введите gpedit.msc.
2. Откройте: Конфигурация компьютера → Административные шаблоны → Сеть → Станция рабочей станции Lanman.
3. Параметры:
   • Включить цифровую подпись (если согласовано) — Включено.
   • Включить цифровую подпись (всегда) — Отключено (для теста производительности).
4. Примените и перезайдите в систему или выполните gpupdate /force.

В Windows Home можно задать через реестр или PowerShell. PowerShell (Администратор) — выполнять по одной строке:

New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "EnableSecuritySignature" -Type DWord -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "RequireSecuritySignature" -Type DWord -Value 0

Пояснение: Enable... разрешает подпись при согласовании, Require... — делает её обязательной. Для диагностики держим Require=0.

3) Настройка на сервере/ПК с общей папкой

Если Вы шарите папку с домашнего ПК или используете сервер/NAS, проверьте требования сервера. В Windows настраивается в Сервер Lanman или реестре.

PowerShell (Администратор) — выполнять по одной строке:

New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Force | Out-Null
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "EnableSecuritySignature" -Type DWord -Value 1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "RequireSecuritySignature" -Type DWord -Value 0

На NAS (Synology/QNAP/другие) найдите опцию SMB signing/Enable SMB signing. Для домашней сети обычно достаточно режима «по согласованию» (не «всегда»). После изменений перезапустите службу/устройство.

4) Тестируем скорость правильно

Командная строка — выполнять по одной строке. Тестируем запись и чтение крупного файла, чтобы исключить кэш:

robocopy C:\Windows\System32 \NAS\share testfile.bin /NFL /NDL /NP /R:0 /W:0 /ZB /ETA /MT:8
robocopy \NAS\share C:\Temp testfile.bin /NFL /NDL /NP /R:0 /W:0 /ZB /ETA /MT:8

Смотрите строку Speed. Для гигабита нормальная пиковая скорость — около 110–120 МБ/с. Если после ослабления подписи она выросла в 2–3 раза, значит упирались в SMB‑подпись/CPU.

5) Баланс безопасности и скорости

• Дом/малая сеть: подпись можно оставить «если согласовано». Не включайте SMB1 и не отключайте шифрование там, где оно требуется.
• Офис/домен: сперва согласуйте с админом. Политики могут требовать подпись/шифрование всегда.
• Wi‑Fi/слабый NAS: подпись даёт наибольший «штраф» на CPU. Альтернатива — проводное подключение или более мощный NAS/адаптер.

6) Возвращаем настройки по умолчанию

PowerShell (Администратор) — код можно вставить целиком, он удалит явные ключи и вернёт дефолт:

Remove-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "EnableSecuritySignature" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" -Name "RequireSecuritySignature" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "EnableSecuritySignature" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "RequireSecuritySignature" -ErrorAction SilentlyContinue