Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokol SMBv1 (Server Message Block verze 1) je zastaralý a ve výchozím nastavení není nainstalovaný v moderních verzích Windows a Windows Serveru. Tento článek obsahuje přehled odebrání SMBv1, jeho chování v různých edicích Windows a alternativy pro zajištění starší kompatibility. Zjistěte, jak řešit problémy související s SMBv1, prozkoumat osvědčené postupy a porozumět důsledkům jeho nepřítomnosti v síťových prostředích.
Výchozí chování pro SMBv1
Vzhledem k tomu, že windows 10 verze 1709 a Windows Server verze 1709, síťový protokol SMBv1 (Server Message Block verze 1) už není ve výchozím nastavení nainstalovaný. Protokoly SMBv2 a novější nahradily SMBv1 od roku 2007. Microsoft veřejně vyřadil protokol SMBv1 v roce 2014.
SMBv1 má následující chování ve Windows 10 a Windows Serveru 2019 a novějších verzích:
SMBv1 teď má dílčí funkce klienta i serveru, které je možné odinstalovat samostatně.
Windows 10 Enterprise, Windows 10 Education a Windows 10 Pro for Workstations už po čisté instalaci neobsahují klienta ani server SMBv1.
Windows Server 2019 a novější už po čisté instalaci neobsahuje klienta nebo server SMBv1.
Windows 10 Home a Windows 10 Pro po čisté instalaci již ve výchozím nastavení neobsahují server SMBv1.
Windows 11 ve výchozím nastavení neobsahuje server ani klienta SMBv1 po čisté instalaci.
Windows 10 Home a Windows 10 Pro verze 1709 ve výchozím nastavení obsahují klienta SMBv1 po čisté instalaci. Pokud se klient SMBv1 nepoužívá celkem po dobu 15 dnů (s výjimkou vypnutého počítače), automaticky se odinstaluje. Počínaje Windows 10, verze 1809, systém Windows 10 Pro po čisté instalaci už neobsahuje klienta SMBv1.
Místní upgrady a verze pro insidery Windows 10 Home a Windows 10 Pro zpočátku automaticky neodeberou SMBv1. Systém Windows vyhodnotí využití klienta a serveru SMBv1 a pokud se některý z nich nepoužívá celkem po dobu 15 dnů (s výjimkou času, během kterého je počítač vypnutý), Systém Windows ho automaticky odinstaluje.
Místní upgrady a Insider verze edic Windows 10 Enterprise, Windows 10 Education a Windows 10 Pro for Workstations automaticky neodeberou SMBv1. Správce se musí rozhodnout odinstalovat SMBv1 v těchto spravovaných prostředích.
Automatické odebrání SMBv1 po 15 dnech je jednorázová operace. Pokud správce znovu nainstaluje SMBv1, neprovedou se žádné další pokusy o jeho odinstalaci.
Funkce SMB verze 2.02, 2.1, 3.0, 3.02 a 3.1.1 jsou stále plně podporované a ve výchozím nastavení jsou součástí binárních souborů SMBv2.
Vzhledem k tomu, že služba Prohlížeč počítačů spoléhá na SMBv1, služba se odinstaluje, pokud je klient nebo server SMBv1 odinstalován. Bez SMBv1 už Síť Průzkumníka nemůže zobrazit počítače s Windows prostřednictvím starší verze metody procházení datagramu NetBIOS.
SMBv1 je stále možné přeinstalovat ve všech edicích Windows 10 a Windows Serveru 2016.
Virtuální počítače s Windows Serverem vytvořené Microsoftem pro Azure Marketplace neobsahují binární soubory SMB1 a protokol SMB1 nelze povolit. Virtuální počítače Azure Marketplace třetích stran můžou obsahovat protokol SMB1; obraťte se na svého dodavatele s žádostí o informace.
Poznámka:
Windows 10 verze 1803 Pro zpracovává SMBv1 stejným způsobem jako Windows 10 verze 1703 a Windows 10 verze 1607. Tento problém byl opraven ve Windows 10 verze 1809. SMBv1 můžete odinstalovat ručně. Windows ale v následujících situacích po 15 dnech automaticky neodinstaluje SMBv1:
- Provedete čistou instalaci Windows 10 verze 1803.
- Upgradujete Windows 10 verze 1607 nebo Windows 10 verze 1703 na Windows 10 verze 1803 přímo bez prvního upgradu na Windows 10 verze 1709.
Chybové zprávy při připojování k zařízením SMBv1
Pokud se pokusíte připojit k zařízením, která podporují jenom SMBv1, nebo pokud se k vám tato zařízení pokusí připojit, může se zobrazit jedna z následujících chybových zpráv:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747.The specified network name is no longer available.Unspecified error 0x80004005System Error 64The specified server cannot perform the requested operation.Error 58
Pokud vzdálený server vyžaduje připojení SMBv1 z tohoto klienta a je nainstalován klient SMBv1, zaprotokoluje se následující událost. Tento mechanismus provede audit použití SMBv1 a používá ho také automatický odinstalátor k nastavení 15denního časovače odstranění SMBv1 kvůli nedostatku použití.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Pokud vzdálený server vyžadoval připojení SMBv1 z tohoto klienta a klient SMBv1 není nainstalován, zaprotokoluje se následující událost. Tato událost ukazuje, proč připojení selže.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Tato zařízení pravděpodobně nepoužívají Windows. S větší pravděpodobností používají starší verze Linuxu, Samba nebo jiných typů softwaru třetích stran, aby poskytovaly služby SMB. Tyto verze Linuxu a Samba se často nepodporují.
Alternativní řešení pro SMBv1
Měli byste kontaktovat výrobce produktu, který podporuje pouze SMBv1, a požádat o aktualizaci softwaru nebo firmwaru, která podporuje SMBv2.02 nebo novější verzi. Aktuální seznam známých dodavatelů a jejich požadavků SMBv1 najdete v následujícím článku blogu týmu Windows a Windows Server Storage Engineering Team:
Pokud není aktualizace dostupná, můžete použít následující alternativní řešení, která starším aplikacím umožní pracovat s SMBv2 nebo novější verzí. Tato alternativní řešení by se ale měla používat jenom jako poslední možnost a pouze v případě, že dodavatel uvádí, že jsou povinná.
Pokud nemůžete použít žádné z těchto alternativních řešení nebo pokud výrobce aplikace nemůže poskytovat podporované verze protokolu SMB, můžete SMBv1 znovu povolit ručně pomocí kroků v části Zjištění, povolení a zakázání SMBv1, SMBv2 a SMBv3 ve Windows.
Výstraha
Důrazně doporučujeme nepřeinstalovat SMBv1. Tento starší protokol obsahuje známé problémy zabezpečení týkající se ransomwaru a jiného malwaru.
Režim leasingu
Pokud je k zajištění kompatibility aplikací pro starší verze softwaru potřeba SMBv1, například je-li potřeba zakázat oplocky, Windows poskytuje příznak sdílení SMB označovaný jako režim leasingu. Tento příznak určuje, zda sdílení deaktivuje moderní sémantiku SMB, jako jsou leases a oplocky.
Můžete zadat sdílení bez použití oplocků nebo pronájmu, aby starší aplikace mohla pracovat s verzí SMBv2 nebo novější. Pokud chcete nastavit režim leasingu, použijte rutiny PowerShellu New-SmbShare a Set-SmbShare společně s parametrem -LeasingMode None. Další informace najdete v dokumentaci cmdletů New-SmbShare a Set-SmbShare.
Upozornění
Tuto možnost byste měli použít pouze u sdílených složek vyžadovaných aplikací třetí strany pro podporu starší verze, pokud dodavatel uvádí, že ji vyžadují. Nezadávejte režim pronájmu u sdílených složek uživatelských dat nebo u sdílenek certifikačních autorit, které používají souborové servery Scale-Out. Odstranění oplocků a leases způsobuje nestabilitu a poškození dat ve většině aplikací. Režim leasingu funguje jenom v režimu sdílení.
Procházení sítě pomocí Průzkumníku
Služba Prohlížeč počítačů spoléhá na protokol SMBv1 k naplnění uzlu sítě Průzkumníka Windows (označovaného také jako Network Neighborhood). Tento starší protokol je už dlouho zastaralý, nesměruje se a má omezené zabezpečení. Protože služba nemůže fungovat bez SMBv1, odebere se současně.
Pokud ale stále potřebujete použít síť Průzkumníka v prostředí domácí a malé podnikové pracovní skupiny k vyhledání počítačů se systémem Windows, které už nepoužívají SMBv1, spusťte služby Zprostředkovatel zjišťování funkcí a Publikování prostředků zjišťování funkcí a pak je nastavte na Automaticky (Zpožděný start). Když otevřete Průzkumník sítě, povolte zjišťování sítě, když budete vyzváni.
Všechna zařízení s Windows v této podsíti, která mají tato nastavení, se zobrazí v síti pro procházení. Tato metoda používá protokol WS-DISCOVERY . Pokud se jejich zařízení v tomto seznamu pro procházení nezobrazí, obraťte se na ostatní dodavatele a výrobce, jakmile se zobrazí zařízení s Windows. Je možné, že mají tento protokol zakázaný nebo že podporují pouze SMBv1.
Místo povolení této funkce, která stále vyžaduje vyhledávání a procházení zařízení, doporučujeme namapovat jednotky a tiskárny. Mapované prostředky se snadněji vyhledávají, vyžadují méně trénování a jsou bezpečnější. To platí zejména v případě, že se tyto prostředky poskytují automaticky prostřednictvím Skupinové politiky. Správce může nakonfigurovat tiskárny pro umístění jinými metodami než starší službou Prohlížeč počítačů pomocí IP adres, služeb Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP atd.
Zasílání zpráv analyzátoru osvědčených postupů pro Windows Server
Windows Server 2012 a novější obsahují analyzátor osvědčených postupů (BPA) pro souborové servery. Pokud jste postupovali podle správných online pokynů k odinstalaci protokolu SMB1, spuštění tohoto analyzátoru osvědčených postupů vrátí protichůdnou varovnou zprávu.
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Pokyny k tomuto konkrétnímu pravidlu BPA byste měli ignorovat, protože je zrušeno. Chyba označená jako "false" byla poprvé opravena v kumulativní aktualizaci z dubna 2022 v systémech Windows Server 2022 a Windows Server 2019. Nepovolujte smb 1.0.