Od systemu Windows 10 Fall Creators Update i Windows Server, wersja 1709 (RS3), protokół sieciowy bloku komunikatów serwera w wersji 1 (SMBv1) nie jest już instalowany domyślnie. Został zastąpiony przez protokoły SMBv2 i nowsze począwszy od 2007 roku. Firma Microsoft publicznie wycofała protokół SMBv1 w 2014 roku.
Protokół SMBv1 ma następujące zachowanie w systemach Windows 10 i Windows Server 2019 i nowszych wersjach:
- SmBv1 ma teraz zarówno funkcje podrzędne klienta, jak i serwera, które można odinstalować oddzielnie.
- Windows 10 Enterprise, Windows 10 Education i Windows 10 Pro for Workstations nie zawierają już klienta lub serwera SMBv1 domyślnie po czystej instalacji.
- System Windows Server 2019 lub nowszy nie zawiera już klienta lub serwera SMBv1 domyślnie po czystej instalacji.
- System Windows 10 Home i Windows 10 Pro nie zawierają już serwera SMBv1 domyślnie po czystej instalacji.
- System Windows 11 nie zawiera serwera SMBv1 ani klienta domyślnie po czystej instalacji.
- Windows 10 Home i Windows 10 Pro nadal zawierają klienta SMBv1 domyślnie po czystej instalacji. Jeśli klient SMBv1 nie jest używany łącznie przez 15 dni (nie licząc czasu, gdy komputer jest wyłączony), odinstalowuje się automatycznie.
- Uaktualnienia w miejscu i loty niejawnych testerów systemu Windows 10 Home i Windows 10 Pro nie są automatycznie usuwane automatycznie SMBv1 początkowo. System Windows ocenia użycie klienta i serwera SMBv1, a jeśli którykolwiek z nich nie jest używany przez 15 dni w sumie (z wyjątkiem czasu, w którym komputer jest wyłączony), system Windows automatycznie go odinstaluje.
- Uaktualnienia w miejscu oraz wersje testowe programu Windows Insider dla edycji Windows 10 Enterprise, Windows 10 Education i Windows 10 Pro for Workstations nie usuwają automatycznie wersji SMBv1. Administrator musi zdecydować się na odinstalowanie programu SMBv1 w tych środowiskach zarządzanych.
- Automatyczne usuwanie smBv1 po 15 dniach jest jednorazową operacją. Jeśli administrator ponownie zainstaluje protokół SMBv1, nie zostanie podjęta żadna dalsza próba odinstalowania.
- Funkcje protokołu SMB w wersji 2.02, 2.1, 3.0, 3.02 i 3.1.1 są nadal w pełni obsługiwane i dołączane domyślnie w ramach plików binarnych SMBv2.
- Ponieważ usługa Przeglądarka komputerów korzysta z protokołu SMBv1, usługa zostanie odinstalowana, jeśli klient lub serwer SMBv1 zostanie odinstalowany. Oznacza to, że sieć Eksploratora nie może już wyświetlać komputerów z systemem Windows przy użyciu starszej metody przeglądania datagramu NetBIOS.
- Protokół SMBv1 można nadal ponownie zainstalować we wszystkich wersjach systemów Windows 10 i Windows Server 2016.
- Maszyny wirtualne z systemem Windows Server utworzone przez firmę Microsoft dla witryny Azure Marketplace nie zawierają plików binarnych SMB1 & nie można włączyć protokołu SMB1. Maszyny wirtualne różnych dostawców z Azure Marketplace mogą zawierać protokół SMB1, w celu uzyskania dalszych informacji skontaktuj się z dostawcą.
Począwszy od systemu Windows 10, wersja 1809 (RS5), Windows 10 Pro nie zawiera już klienta SMBv1 domyślnie po czystej instalacji. Wszystkie inne zachowania z wersji 1709 nadal mają zastosowanie.
Uwaga
System Windows 10 w wersji 1803 (RS4) Pro obsługuje protokół SMBv1 w taki sam sposób jak windows 10, wersja 1703 (RS2) i Windows 10, wersja 1607 (RS1). Ten problem został rozwiązany w systemie Windows 10 w wersji 1809 (RS5). Nadal można ręcznie odinstalować protokół SMBv1. Jednak system Windows nie odinstaluje automatycznie SMBv1 po 15 dniach w następujących scenariuszach:
- Wykonasz czystą instalację systemu Windows 10 w wersji 1803.
- Uaktualniasz system Windows 10 w wersji 1607 lub Windows 10 w wersji 1703 do systemu Windows 10 w wersji 1803 bezpośrednio bez wcześniejszego uaktualnienia do systemu Windows 10 w wersji 1709.
Jeśli spróbujesz nawiązać połączenie z urządzeniami obsługującymi tylko protokół SMBv1 lub jeśli te urządzenia spróbują nawiązać połączenie, może zostać wyświetlony jeden z następujących komunikatów o błędach:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58
Gdy serwer zdalny wymaga połączenia SMBv1 z tego klienta, a klient SMBv1 jest zainstalowany, rejestrowane jest następujące zdarzenie. Ten mechanizm przeprowadza inspekcję użycia protokołu SMBv1 i jest również wykorzystywany przez automatyczny deinstalator do ustawienia 15-dniowego czasomierza usuwania SMBv1, jeśli nie jest używany.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Jeśli serwer zdalny wymaga połączenia SMBv1 z tego klienta, a klient SMBv1 nie jest zainstalowany, rejestrowane jest następujące zdarzenie. To zdarzenie pokazuje, dlaczego połączenie nie powiedzie się.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Te urządzenia prawdopodobnie nie działają w systemie Windows. Najprawdopodobniej korzystają ze starszych wersji systemu Linux, Samba lub innego typu oprogramowania innej firmy w celu świadczenia usług SMB. Często te wersje systemów Linux i Samba nie są już obsługiwane.
Uwaga
System Windows 10 w wersji 1709 jest również znany jako "Fall Creators Update".
Aby obejść ten problem, skontaktuj się z producentem produktu, który obsługuje tylko protokół SMBv1, i zażądaj aktualizacji oprogramowania lub oprogramowania układowego obsługującego wersję SMBv2.02 lub nowszą. Aby zapoznać się z bieżącą listą znanych dostawców i ich wymagań dotyczących protokołu SMBv1, zobacz następujący artykuł w blogu zespołu inżynierów ds. systemów Windows i Windows Server Storage:
SMBv1 Product Clearinghouse
Jeśli protokół SMBv1 jest wymagany do zapewnienia zgodności aplikacji ze starszym zachowaniem oprogramowania, na przykład wymaganie wyłączenia blokad operacji, system Windows udostępnia nową flagę udziału SMB znaną jako tryb dzierżawy. Ta flaga określa, czy udział wyłącza nowoczesne semantyki SMB, takie jak dzierżawy i blokady.
Możesz określić zasób udostępniony bez używania operacji oplocks lub dzierżawy, aby umożliwić starszej aplikacji pracę z protokołem SMBv2 lub nowszą wersją. W tym celu użyj poleceń cmdlet New-SmbShare lub Set-SmbShare programu PowerShell wraz z parametrem -LeasingMode None.
Uwaga
Tę opcję należy używać tylko w udziałach wymaganych przez aplikację zewnętrzną do obsługi starszych technologii, jeśli dostawca stwierdza, że jest to wymagane. Nie należy określać trybu dzierżawy dla udziałów danych użytkownika lub udziałów urzędu certyfikacji, które są używane przez serwery plików Scale-Out. Wynika to z faktu, że usunięcie blokad i dzierżaw powoduje niestabilność i uszkodzenie danych w większości aplikacji. Tryb dzierżawy działa tylko w trybie Share. Może być używany przez dowolny system operacyjny klienta.
Przeglądanie sieci w Eksploratorze
Usługa Computer Browser korzysta z protokołu SMBv1 w celu wypełnienia węzła sieciowego Eksploratora Windows (znanego również jako "Sąsiedztwo sieci"). Ten starszy protokół jest od dawna przestarzały, nie obsługuje trasowania i ma ograniczone zabezpieczenia. Ponieważ usługa nie może działać bez protokołu SMBv1, jest usuwana w tym samym czasie.
Jeśli jednak nadal musisz używać sieci Eksploratora w środowiskach domowych i małych firm grupy roboczej do lokalizowania komputerów z systemem Windows, możesz wykonać następujące kroki na komputerach z systemem Windows, które nie używają już programu SMBv1:
Uruchom usługi "Host dostawcy odnajdywania funkcji" i "Publikacja zasobów odnajdywania funkcji", a następnie ustaw je na automatyczne (opóźnione uruchamianie).
Po otwarciu programu Explorer Network włącz odnajdywanie sieci po wyświetleniu monitu.
Wszystkie urządzenia z systemem Windows w tej podsieci, które mają te ustawienia, będą teraz wyświetlane w obszarze Sieć do przeglądania. Korzysta to z protokołu WS-DISCOVERY. Skontaktuj się z innymi dostawcami i producentami, jeśli ich urządzenia nadal nie są wyświetlane na tej liście przeglądania po wyświetleniu urządzeń z systemem Windows. Możliwe, że ten protokół jest wyłączony lub że obsługuje tylko protokół SMBv1.
Uwaga
Zalecamy mapowanie dysków i drukarek zamiast włączania tej funkcji, która nadal wymaga wyszukiwania i przeglądania ich urządzeń. Zamapowane zasoby są łatwiejsze do zlokalizowania, wymagają mniejszego szkolenia i są bezpieczniejsze do użycia. Jest to szczególnie istotne, jeśli te zasoby są udostępniane automatycznie za pośrednictwem zasad grupy. Administrator może skonfigurować drukarki do lokalizacji za pomocą metod innych niż starsza usługa Przeglądarka komputera przy użyciu adresów IP, usług Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP itd.
Jeśli nie możesz użyć żadnego z tych obejść lub producent aplikacji nie może udostępnić obsługiwanych wersji protokołu SMB, możesz ponownie włączyć protokół SMBv1 ręcznie, wykonując kroki opisane w Jak wykrywać, włączać i wyłączać protokół SMBv1, SMBv2 i SMBv3 w systemie Windows.
Ważne
Zdecydowanie zalecamy, aby nie ponownie zainstalować programu SMBv1. Dzieje się tak, ponieważ ten starszy protokół ma znane problemy z zabezpieczeniami dotyczące oprogramowania wymuszającego okup i innego złośliwego oprogramowania.
Komunikaty analizatora najlepszych praktyk systemu Windows Server
Systemy operacyjne systemu Windows Server 2012 i nowszych serwerów zawierają analizator najlepszych rozwiązań (BPA) dla serwerów plików. Jeśli przestrzegasz prawidłowych wskazówek online dotyczących odinstalowania SMB1, uruchomienie tego narzędzia BPA zwróci sprzeczny komunikat ostrzegawczy.
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Ważne
Należy zignorować wskazówki dotyczące tej konkretnej reguły narzędzia BPA, która jest przestarzała. Błąd fałszywy został poprawiony po raz pierwszy w systemach Windows Server 2022 i Windows Server 2019 w kwietniowej aktualizacji zbiorczej z 2022 roku. Powtarzamy: nie włączaj protokołu SMB 1.0.