SMBv1 no está instalado de manera predeterminada en Windows 10 versión 1709 ni en Windows Server versión 1709 y posteriores

  • Artículo

Resumen

Desde Windows 10 Fall Creators Update y Windows Server, versión 1709 (RS3), el protocolo de red del bloque de mensajes del servidor versión 1 (SMBv1) ya no está instalado de forma predeterminada. Ha sido reemplazado por SMBv2 y los protocolos posteriores a partir de 2007. Microsoft desusó públicamente el protocolo SMBv1 en 2014.

SMBv1 tiene el siguiente comportamiento en Windows 10 y Windows Server 2019 y versiones posteriores:

  • SMBv1 ahora tiene características secundarias de cliente y servidor que se pueden desinstalar por separado.
  • Windows 10 Enterprise, Windows 10 Education y Windows 10 Pro for Workstations ya no contienen el cliente o servidor SMBv1 de forma predeterminada después de una instalación limpia.
  • Tanto Windows Server 2019 como las versiones posteriores no contienen el cliente o el servidor SMBv1 de forma predeterminada después de una instalación limpia.
  • Windows 10 Home y Windows 10 Pro ya no contienen el servidor SMBv1 de forma predeterminada después de una instalación limpia.
  • Windows 11 no contiene el servidor o el cliente SMBv1 de forma predeterminada después de una instalación limpia.
  • Windows 10 Home y Windows 10 Pro siguen conteniendo aún el cliente SMBv1 de forma predeterminada después de una instalación limpia. Si el cliente SMBv1 no se usa durante 15 días en total (excluido el equipo que se está desactivando), se desinstala automáticamente.
  • Las actualizaciones en contexto y los paquetes piloto de Insider de Windows 10 Home y Windows 10 Pro no eliminan de forma automática SMBv1 inicialmente. Windows evalúa el uso del cliente y el servidor SMBv1 y, si alguno de ellos no se usa durante 15 días en total (excepto el tiempo durante el cual el equipo está desactivado), Windows lo desinstalará automáticamente.
  • Las actualizaciones en contexto y los paquetes piloto de Insider de las ediciones Windows 10 Enterprise, Windows 10 Education y Windows 10 Pro for Workstations no quitan automáticamente SMBv1. Un administrador debe decidir desinstalar SMBv1 en estos entornos administrados.
  • La eliminación automática de SMBv1 después de 15 días es una operación única. Si un administrador vuelve a instalar SMBv1, no se realizarán más intentos para desinstalarlo.
  • Las características de SMB versión 2.02, 2.1, 3.0, 3.02 y 3.1.1 siguen siendo totalmente compatibles y se incluyen de forma predeterminada como parte de los archivos binarios de SMBv2.
  • Como el servicio Computer Browser se basa en SMBv1, el servicio se desinstala si se desinstala el cliente o servidor SMBv1. Esto significa que la red del Explorador ya no puede mostrar equipos Windows mediante el método de exploración de datagramas NetBIOS heredado.
  • SMBv1 aún se puede reinstalar en todas las ediciones de Windows 10 y Windows Server 2016.
  • Las máquinas virtuales de Windows Server creadas por Microsoft para Azure Marketplace no contienen los archivos binarios SMB1, y no puede habilitar SMB1. Las máquinas virtuales de Azure Marketplace de terceros pueden contener SMB1, póngase en contacto con su proveedor para más información.

A partir de Windows 10 versión 1809 (RS5), Windows 10 Pro ya no contiene el cliente SMBv1 de forma predeterminada después de una instalación limpia. Se siguen aplicando todos los demás comportamientos de la versión 1709.

Nota:

Windows 10 versión 1803 (RS4) Pro controla SMBv1 de la misma manera que Windows 10 versión 1703 (RS2) y Windows 10 versión 1607 (RS1). Este problema se ha corregido en Windows 10 versión 1809 (RS5). Aún puede desinstalar SMBv1 manualmente. Sin embargo, Windows no desinstalará automáticamente SMBv1 después de 15 días en los escenarios siguientes:

  • Realiza una instalación limpia de Windows 10 versión 1803.
  • Actualiza Windows 10 versión 1607 o Windows 10 versión 1703 a Windows 10 versión 1803 directamente sin actualizar antes a Windows 10 versión 1709.

Si intenta conectarse a dispositivos que solo admiten SMBv1, o si estos dispositivos intentan conectarse con los suyos, puede recibir uno de los siguientes mensajes de error:

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747

The specified network name is no longer available.

Unspecified error 0x80004005

System Error 64

The specified server cannot perform the requested operation.

Error 58

Cuando un servidor remoto requiere una conexión SMBv1 desde este cliente y el cliente SMBv1 está instalado, se registra el siguiente evento. Este mecanismo audita el uso de SMBv1, y también lo utiliza el desinstalador automático para establecer el temporizador de 15 días de eliminación de SMBv1 debido a la falta de uso.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

Cuando un servidor remoto requiere una conexión SMBv1 desde este cliente y el cliente SMBv1 no está instalado, se registra el siguiente evento. Este evento es para mostrar por qué se produce un error en la conexión.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Es probable que estos dispositivos no ejecuten Windows. Es más probable que ejecuten versiones anteriores de Linux, Samba u otros tipos de software de terceros para proporcionar servicios SMB. A menudo, estas versiones de Linux y Samba ya no se admiten.

Nota:

Windows 10 versión 1709 también se conoce como "Fall Creators Update".

Más información

Para solucionar este problema, póngase en contacto con el fabricante del producto que solo admite SMBv1 y solicite una actualización de software o firmware que admita SMBv2.02 o una versión posterior. Para obtener una lista actual de proveedores conocidos y sus requisitos de SMBv1, consulte el siguiente artículo del blog del equipo de ingeniería de almacenamiento de Windows y Windows Server:

Centro de activación de productos SMBv1

Modo de concesión

Si se requiere SMBv1 a fin de proporcionar compatibilidad de aplicaciones para el comportamiento del software heredado, como un requisito para deshabilitar los bloqueos oportunistas, Windows proporciona una nueva marca de recurso compartido SMB que se conoce como modo de concesión. Esta marca especifica si un recurso compartido deshabilita la semántica moderna de SMB, como concesiones y bloqueos oportunistas.

Puede especificar un recurso compartido sin utilizar bloqueos oportunistas o concesiones para permitir que una aplicación heredada funcione con SMBv2 o una versión posterior. Para ello, use los cmdlets de PowerShell New-SmbShare o Set-SmbShare junto con el parámetro -LeasingMode None.

Nota:

Debe utilizar esta opción solo en recursos compartidos requeridos por una aplicación de terceros para la compatibilidad heredada si el proveedor indica que es necesario. No especifique el modo de concesión en los recursos compartidos de datos de usuario o los recursos compartidos de CA que los servidores de archivos de escalabilidad horizontal utilizan. Esto se debe a que la eliminación de bloqueos oportunistas y concesiones provoca inestabilidad y daños en la mayoría de los datos. El modo de concesión solo funciona en modo de uso compartido. Cualquier sistema operativo cliente lo puede utilizar.

Exploración de la red del Explorador

El servicio Explorador de equipos se crea a partir del protocolo SMBv1 para rellenar el nodo de red del Explorador de Windows (también conocido como "Entorno de red"). Este protocolo heredado está en desuso, no enruta y tiene una seguridad limitada. Como el servicio no puede funcionar sin SMBv1, se quita al mismo tiempo.

Sin embargo, si todavía tiene que usar la red del Explorador en entornos de grupo de trabajo para hogares y pequeñas empresas a fin de localizar equipos basados en Windows, puede seguir estos pasos en los equipos basados en Windows que ya no usan SMBv1:

  1. Inicie los servicios "Host de proveedor de detección de función" y "Publicación de recurso de detección de función" y establézcalos luego en Automático (Inicio retrasado).

  2. Cuando abra la red del Explorador, habilite la detección de redes cuando se le solicite.

Todos los dispositivos Windows dentro de esa subred que tengan esta configuración aparecerán ahora en Red para la exploración. Esto usa el protocolo WS-DISCOVERY. Póngase en contacto con otros proveedores y fabricantes si sus dispositivos aún no aparecen en esta lista de exploración después de que aparezcan los dispositivos Windows. Es posible que tengan este protocolo deshabilitado o que solo admitan SMBv1.

Nota

 Se recomienda asignar unidades e impresoras en lugar de habilitar esta característica, lo que todavía requiere la búsqueda y exploración de sus dispositivos. Los recursos asignados son más fáciles de localizar, requieren menos entrenamiento y son más seguros de usar. Esto es especialmente cierto si estos recursos se proporcionan automáticamente mediante una directiva de grupo. Un administrador puede configurar impresoras para su localización por métodos distintos al servicio de explorador de equipos heredados mediante direcciones IP, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP, etc.

Si no puede usar ninguna de estas soluciones alternativas o si el fabricante de la aplicación no puede proporcionar versiones compatibles de SMB, puede volver a habilitar SMBv1 manualmente siguiendo los pasos descritos en Detección, habilitación y deshabilitación de SMBv1, SMBv2 y SMBv3 en Windows.

Importante

Es muy recomendable que no vuelva a instalar SMBv1. Esto se debe a que este protocolo anterior tiene problemas de seguridad conocidos relacionados con ransomware y otros tipos de malware.

Mensajería del analizador de procedimientos recomendados de Windows Server

Windows Server 2012 y sistemas operativos de servidor posteriores contienen un analizador de procedimientos recomendados (BPA) para servidores de archivos. Si ha seguido las instrucciones en línea correctas para desinstalar SMB1, la ejecución de este BPA devolverá un mensaje de advertencia contradictorio:

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

Importante

Debe omitir las instrucciones de esta regla BPA específica, que está en desuso. El error falso se corrigió por primera vez en Windows Server 2022 y Windows Server 2019 en la actualización acumulativa de abril de 2022. Repetimos: no habilite SMB 1.0.

Referencias adicionales