Keine standardmäßige Installation von SMBv1 in Windows 10, Version 1709, Windows Server, Version 1709 und höheren Versionen

Zusammenfassung

Seit Windows 10 Fall Creators Update und Windows Server, Version 1709 (RS3), wird das Server Message Block Version 1 (SMBv1)-Netzwerkprotokoll standardmäßig nicht mehr installiert. Es wurde ab 2007 durch SMBv2 und nachfolgende Protokolle ersetzt. Microsoft hat das SMBv1-Protokoll im Jahr 2014 offiziell als veraltet eingestuft.

SMBv1 weist das folgende Verhalten in Windows 10 und Windows Server 2019 und höher versionen auf:

  • SMBv1 umfasst jetzt untergeordnete Client- und Serverfeatures, die separat deinstalliert werden können.
  • Windows 10 Enterprise, Windows 10 Education und Windows 10 Pro for Workstations umfassen nach einer Neuinstallation standardmäßig nicht mehr den SMBv1-Client oder -Server.
  • Windows Server 2019 enthält nach einer Neuinstallation standardmäßig nicht mehr den SMBv1-Client oder -Server.
  • Windows 10 Home und Windows 10 Pro enthalten nach einer Neuinstallation standardmäßig nicht mehr den SMBv1-Server.
  • Windows 10 Home und Windows 10 Pro enthalten nach einer Neuinstallation standardmäßig weiterhin den SMBv1-Client. Wenn der SMBv1-Client insgesamt 15 Tage lang nicht verwendet wird (ohne dass der Computer deaktiviert wird), wird er automatisch selbst deinstalliert.
  • Direkte Upgrades und Insider-Flüge von Windows 10 Home und Windows 10 Pro entfernen SMBv1 nicht automatisch. Windows wertet die Verwendung von SMBv1-Client und -Server aus, und wenn eine der beiden für 15 Tage insgesamt nicht verwendet wird (ausgenommen die Zeit, zu der der Computer deaktiviert ist), wird windows sie automatisch deinstallieren.
  • Direkte Upgrades und Insider-Flüge der Windows 10 Enterprise, Windows 10 Education und Windows 10 Pro for Workstations Editionen entfernen SMBv1 nicht automatisch. Ein Administrator muss über die Deinstallation von SMBv1 in diesen verwalteten Umgebungen entscheiden.
  • Die automatische Entfernung von SMBv1 nach 15 Tagen ist ein einmaliger Vorgang. Wenn ein Administrator SMBv1 erneut installiert, werden keine weiteren Versuche zur Deinstallation unternommen.
  • Die Features der SMB-Versionen 2.02, 2.1, 3.0, 3.02 und 3.1.1 werden weiterhin vollständig unterstützt und sind standardmäßig in den SMBv2-Binärdateien enthalten.
  • Da der Computersuchdienst auf SMBv1 basiert, wird der Dienst deinstalliert, falls der SMBv1-Client oder -Server deinstalliert wird. Dies bedeutet, dass Windows-Computer im Explorer-Netzwerk nicht länger über die ältere NetBIOS-Datagramm-Suchmethode angezeigt werden können.
  • SMBv1 kann weiterhin in allen Editionen von Windows 10 und Windows Server 2016 neu installiert werden.
  • Virtuelle Windows Server-Computer, die von Microsoft für die Azure Marketplace erstellt wurden, enthalten keine SMB1-Binärdateien&, die Sie nicht aktivieren können. Drittanbieter-Azure Marketplace-VMs können SMB1 enthalten, wenden Sie sich an ihren Anbieter, um Informationen zu finden.

Ab Windows 10, Version 1809 (RS5) enthält Windows 10 Pro den SMBv1-Client standardmäßig nach einer Neuinstallation nicht mehr. Alle anderen Verhaltensweisen von Version 1709 gelten weiterhin.

Hinweis

Windows 10, Version 1803 (RS4) Pro verarbeitet SMBv1 auf die gleiche Weise wie Windows 10, Version 1703 (RS2) und Windows 10, Version 1607 (RS1). Dieses Problem wurde in Windows 10, Version 1809 (RS5) behoben. Sie können SMBv1 weiterhin manuell deinstallieren. Windows deinstalliert SMBv1 in den folgenden Szenarien jedoch nicht automatisch nach 15 Tagen:

  • Sie führen eine Neuinstallation von Windows 10, Version 1803 durch.
  • Sie führen ein direktes Upgrade von Windows 10, Version 1607 oder Windows 10, Version 1703 auf Windows 10, Version 1803 durch, ohne zunächst ein Upgrade auf Windows 10, Version 1709 durchzuführen.

Wenn Sie versuchen, eine Verbindung mit Geräten herzustellen, die nur SMBv1 unterstützen, oder wenn diese Geräte versuchen, eine Verbindung mit Ihnen herzustellen, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58

Wenn ein Remoteserver eine SMBv1-Verbindung von diesem Client benötigt hat und der SMBv1-Client installiert ist, wird das folgende Ereignis protokolliert. Dieser Mechanismus überprüft die Verwendung von SMBv1 und wird auch von der automatischen Deinstallation verwendet, um den 15-tägigen Timer für das Entfernen von SMBv1 aufgrund des Mangels an Verwendung festzulegen.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

Wenn ein Remoteserver eine SMBv1-Verbindung von diesem Client benötigt hat und der SMBv1-Client nicht installiert ist, wird das folgende Ereignis protokolliert. Dieses Ereignis zeigt, warum die Verbindung fehlschlägt.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Diese Geräte werden wahrscheinlich nicht unter Windows ausgeführt. Stattdessen werden wahrscheinlich ältere Versionen von Linux, Samba oder andere Arten von Drittanbietersoftware ausgeführt, um SMB-Dienste bereitzustellen. Häufig werden diese Versionen von Linux und Samba selbst nicht mehr unterstützt.

Hinweis

Windows 10, Version 1709 wird auch als „Fall Creators Update“ bezeichnet.

Weitere Informationen

Um dieses Problem zu umgehen, wenden Sie sich an den Hersteller des Produkts, das ausschließlich SMBv1 unterstützt. Fordern Sie ein Software- oder Firmwareupdate an, das SMBv2.02 oder eine neuere Version unterstützt. Eine aktuelle Liste bekannter Anbieter und deren SMBv1-Anforderungen finden Sie im folgenden Blogbeitrag des Windows- und Windows Server Storage Engineering-Teams:

SMBv1 Product Clearinghouse

Leasemodus

Wenn SMBv1 benötigt wird, um Anwendungskompatibilität für Legacysoftwareverhalten zu gewährleisten – etwa die Anforderung zum Deaktivieren opportunistischer Sperren –, bietet Windows ein neues SMB-Freigabeflag, das als Leasemodus bezeichnet wird. Dieses Flag gibt an, ob eine Freigabe moderne SMB-Semantik wie beispielsweise Leases und opportunistische Sperren deaktiviert.

Sie können eine Freigabe ohne Verwendung von opportunistischen Sperren oder Leases angeben, damit eine Legacyanwendung mit SMBv2 oder einer neueren Version funktioniert. Verwenden Sie hierzu die PowerShell-Cmdlets New-SmbShare oder Set-SmbShare gemeinsam mit dem Parameter -LeasingMode None.

Hinweis

Sie sollten diese Option nur für Freigaben verwenden, die von einer Drittanbieteranwendung für die Legacyunterstützung benötigt werden, wenn der Anbieter dies als erforderlich angibt. Geben Sie den Leasemodus nicht für Benutzerdatenfreigaben oder CA-Freigaben (Continuous Availability) an, die von Dateiservern mit horizontaler Skalierung verwendet werden. Dies sollte deshalb unterlassen werden, weil das Entfernen von opportunistischen Sperren und Leases in den meisten Anwendungen zu Instabilitäten und Datenbeschädigungen führt. Der Leasemodus funktioniert nur im Freigabemodus. Sie kann von einem beliebigen Clientbetriebssystem verwendet werden.

Explorer- Netzwerksuche

Der Computersuchdienst nutzt das SMBv1-Protokoll, um den Windows Explorer-Knoten „Netzwerk“ (auch als „Netzwerkumgebung“ bezeichnet) aufzufüllen. Dieses Legacyprotokoll ist seit langem veraltet, unterstützt kein Routing und bietet nur eingeschränkte Sicherheit. Da der Dienst ohne SMBv1 nicht funktionieren kann, wird er gleichzeitig entfernt.

Möglicherweise müssen Sie jedoch in Arbeitsgruppenumgebungen von Heimsystemen und in Kleinunternehmen weiterhin das Explorer-Netzwerk verwenden, um nach Windows-basierten Computern zu suchen. Sie können auf Ihren Windows-basierten Computern, die nicht länger SMBv1 verwenden, folgende Schritte ausführen:

  1. Starten Sie die Dienste „Funktionssuchanbieter-Host“ und „Funktionssuche-Ressourcenveröffentlichung“, und legen Sie sie auf Automatisch (verzögerter Start) fest.

  2. Aktivieren Sie beim Öffnen des Explorer-Netzwerks die Netzwerkermittlung, wenn Sie dazu aufgefordert werden.

Alle Windows-Geräte in diesem Subnetz, die diese Einstellungen aufweisen, stehen jetzt in „Netzwerk“ für die Suche zur Verfügung. Hierbei wird das WS-DISCOVERY-Protokoll verwendet. Wenden Sie sich an die jeweiligen Anbieter/Hersteller, wenn Geräte nach der Anzeige von Windows-Geräten weiterhin nicht in dieser Suchliste angezeigt werden. Es ist möglich, dass dieses Protokoll deaktiviert ist oder nur SMBv1 unterstützt wird.

Hinweis

 Es wird empfohlen, Laufwerke und Drucker zuzuordnen, anstatt dieses Feature zu aktivieren, bei dem weiterhin nach den Geräten gesucht werden muss. Zugeordnete Ressourcen sind einfacher zu finden, erfordern weniger Schulung und sind sicherer zu verwenden. Dies gilt insbesondere, wenn diese Ressourcen automatisch über „Gruppenrichtlinie“ bereitgestellt werden. Ein Administrator kann mithilfe anderer Methoden als dem Legacy-Computersuchdienst Drucker für den Standort konfigurieren, beispielsweise über IP-Adressen, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP usw.

Wenn Sie keine dieser Problemumgehungen verwenden können oder wenn der Anwendungshersteller keine unterstützten Versionen von SMB bereitstellen kann, können Sie SMBv1 manuell aktivieren, indem Sie die Schritte zum Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows ausführen.

Wichtig

Es wird dringend empfohlen, SMBv1 nicht neu zu installieren. Von einer erneuten Installation wird abgeraten, weil dieses Legacyprotokoll bekannte Sicherheitsprobleme in Bezug auf Ransomware und andere Malware aufweist.

Best Practices Analyzer-Meldung (BPA) für Windows Server

Windows Server 2012 und höhere Serverbetriebssysteme umfassen den Best Practices Analyzer (BPA) für Dateiserver. Wenn Sie den richtigen Onlineleitfaden zum Deinstallieren von SMB1 befolgt haben, gibt diese BPA eine widersprüchliche Warnmeldung zurück:

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

Wichtig

Sie sollten diese BPA-Meldung ignorieren, weil sie veraltet ist. Der falsche Fehler wurde zuerst in Windows Server 2022 und Windows Server 2019 im 2022 April kumulatives Update korrigiert. Zur Erinnerung: Aktivieren Sie SMB 1.0 nicht.

Weitere Verweise