Partager via


SMBv1 non installé par défaut dans Windows Server et Windows

Le protocole SMBv1 (Server Message Block version 1) est déconseillé et n’est plus installé par défaut dans les versions modernes de Windows et Windows Server. Cet article fournit une vue d’ensemble de la suppression de SMBv1, de son comportement dans différentes éditions de Windows et des alternatives pour la compatibilité héritée. Découvrez comment résoudre les problèmes liés à SMBv1, explorer les meilleures pratiques et comprendre les implications de son absence dans les environnements réseau.

Comportement par défaut pour SMBv1

Depuis Windows 10, version 1709 et Windows Server, version 1709, le protocole réseau Server Message Block version 1 (SMBv1) n’est plus installé par défaut. Les protocoles SMBv2 et ultérieur ont remplacé SMBv1 à partir de 2007. Microsoft a déprécié publiquement le protocole SMBv1 en 2014.

SMBv1 a le comportement suivant dans Windows 10 et Windows Server 2019 et versions ultérieures :

  • SMBv1 dispose désormais de sous-fonctionnalités client et serveur qui peuvent être désinstallées séparément.

  • Windows 10 Entreprise, Windows 10 Éducation et Windows 10 Professionnel pour stations de travail ne contiennent plus le client ou le serveur SMBv1 par défaut après une installation propre.

  • Windows Server 2019 et versions ultérieures ne contient plus le client ou le serveur SMBv1 par défaut après une installation propre.

  • Windows 10 Famille et Windows 10 Professionnel ne contiennent plus le serveur SMBv1 par défaut après une installation propre.

  • Windows 11 ne contient pas le serveur ou le client SMBv1 par défaut après une installation propre.

  • Windows 10 Famille et Windows 10 Professionnel, version 1709 contiennent toujours le client SMBv1 par défaut après une installation propre. Si le client SMBv1 n’est pas utilisé pendant 15 jours au total (à l’exclusion de l’ordinateur désactivé), il se désinstalle automatiquement. À compter de Windows 10, version 1809, Windows 10 Professionnel ne contient plus le client SMBv1 par défaut après une installation propre.

  • Les mises à niveau sur place et les vols Insider de Windows 10 Famille et Windows 10 Professionnel ne suppriment pas automatiquement SMBv1 initialement. Windows évalue l’utilisation du client et du serveur SMBv1, et si l’un d’eux n’est pas utilisé pendant 15 jours au total (à l’exclusion de la durée pendant laquelle l’ordinateur est désactivé), Windows le désinstalle automatiquement.

  • Les mises à niveau sur place et les vols Insider des éditions Windows 10 Entreprise, Windows 10 Éducation et Windows 10 Professionnel pour stations de travail ne suppriment pas automatiquement SMBv1. Un administrateur doit décider de désinstaller SMBv1 dans ces environnements managés.

  • La suppression automatique de SMBv1 après 15 jours est une opération ponctuelle. Si un administrateur réinstalle SMBv1, aucune autre tentative n’est effectuée pour la désinstaller.

  • Les fonctionnalités SMB version 2.02, 2.1, 3.0, 3.02 et 3.1.1 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des fichiers binaires SMBv2.

  • Étant donné que le service Computer Browser s’appuie sur SMBv1, le service est désinstallé si le client ou le serveur SMBv1 est désinstallé. Sans SMBv1, Explorer Network ne peut plus afficher les ordinateurs Windows via la méthode de navigation de datagramme NetBIOS héritée.

  • SMBv1 peut toujours être réinstallé dans toutes les éditions de Windows 10 et Windows Server 2016.

  • Les machines virtuelles Windows Server créées par Microsoft pour la Place de marché Azure ne contiennent pas les fichiers binaires SMB1 et vous ne pouvez pas activer SMB1. Les machines virtuelles de la Place de marché Azure tierces peuvent contenir SMB1 ; contactez leur fournisseur pour plus d’informations.

Remarque

Windows 10, version 1803 Pro gère SMBv1 de la même façon que Windows 10, version 1703 et Windows 10, version 1607. Ce problème a été résolu dans Windows 10 version 1809. Vous pouvez toujours désinstaller SMBv1 manuellement. Toutefois, Windows ne désinstalle pas automatiquement SMBv1 après 15 jours dans les scénarios suivants :

  • Vous effectuez une nouvelle installation de Windows 10, version 1803.
  • Vous mettez à niveau Windows 10, version 1607 ou Windows 10, version 1703 vers Windows 10, version 1803 directement sans mettre à niveau vers Windows 10, version 1709.

Messages d’erreur lors de la connexion à des appareils SMBv1

Si vous essayez de vous connecter à des appareils qui prennent uniquement en charge SMBv1 ou si ces appareils essaient de vous connecter, vous pouvez recevoir l’un des messages d’erreur suivants :

  • You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747.

  • The specified network name is no longer available.

  • Unspecified error 0x80004005

  • System Error 64

  • The specified server cannot perform the requested operation.

  • Error 58

Lorsqu’un serveur distant nécessite une connexion SMBv1 à partir de ce client et que le client SMBv1 est installé, l’événement suivant est journalisé. Ce mécanisme audite l’utilisation de SMBv1 et est également utilisé par le désinstalleur automatique pour définir le minuteur de 15 jours de suppression de SMBv1 en raison d’un manque d’utilisation.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      computer1.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

Lorsqu’un serveur distant a requis une connexion SMBv1 à partir de ce client et que le client SMBv1 n’est pas installé, l’événement suivant est journalisé. Cet événement montre pourquoi la connexion échoue.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      computer1.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Ces appareils ne sont pas susceptibles d’exécuter Windows. Ils exécutent probablement des versions antérieures de Linux, Samba ou d’autres types de logiciels tiers pour fournir des services SMB. Souvent, ces versions de Linux et de Samba ne sont plus prises en charge.

Solutions de contournement pour SMBv1

Vous devez contacter le fabricant du produit qui prend uniquement en charge SMBv1 et demander une mise à jour logicielle ou microprogramme qui prend en charge SMBv2.02 ou une version ultérieure. Pour obtenir la liste actuelle des fournisseurs connus et de leurs exigences SMBv1, consultez l’article suivant de l’équipe d’ingénierie du stockage Windows et Windows Server :

SMBv1 Product Clearinghouse

Si une mise à jour n’est pas disponible, vous pouvez utiliser les solutions de contournement suivantes pour permettre aux applications héritées d’utiliser SMBv2 ou une version ultérieure. Toutefois, ces solutions de contournement doivent être utilisées uniquement en dernier recours, et uniquement si le fournisseur indique qu’ils sont requis.

Si vous ne pouvez pas utiliser ces solutions de contournement ou si le fabricant de l’application ne peut pas fournir de versions prises en charge de SMB, vous pouvez réactiver SMBv1 manuellement en suivant les étapes décrites dans Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.

Avertissement

Nous vous recommandons vivement de ne pas réinstaller SMBv1. Ce protocole plus ancien présente des problèmes de sécurité connus concernant les ransomwares et d’autres programmes malveillants.

Mode de location

Si SMBv1 est nécessaire pour assurer la compatibilité des applications pour le comportement logiciel hérité, par exemple pour désactiver les oplocks, Windows fournit un indicateur de partage SMB appelé mode de location. Cet indicateur spécifie si un partage désactive la sémantique SMB moderne, comme les baux et les verrous.

Vous pouvez spécifier un partage sans utiliser d’oplocks ou de location pour permettre à une application héritée de fonctionner avec SMBv2 ou une version ultérieure. Pour définir le mode de location, utilisez les New-SmbShare applets de commande PowerShell ou Set-SmbShare les applets de commande PowerShell avec le -LeasingMode None paramètre. Pour plus d’informations, consultez la documentation sur les applets de commande New-SmbShare et Set-SmbShare .

Avertissement

Vous devez utiliser cette option uniquement sur les partages requis par une application tierce pour la prise en charge héritée si le fournisseur indique qu’il en a besoin. Ne spécifiez pas le mode de location sur les partages de données utilisateur ou les partages d’autorité de certification utilisés par Scale-Out serveurs de fichiers. La suppression d’oplocks et de baux provoque l’instabilité et la corruption des données dans la plupart des applications. Le mode de bail fonctionne uniquement en mode Partage.

Navigation réseau de l’Explorateur

Le service Computer Browser s’appuie sur le protocole SMBv1 pour remplir le nœud réseau de l’Explorateur Windows (également appelé Quartier réseau). Ce protocole hérité est déconseillé depuis longtemps, n’est pas routé et a une sécurité limitée. Étant donné que le service ne peut pas fonctionner sans SMBv1, il est supprimé en même temps.

Toutefois, si vous devez toujours utiliser le réseau d’explorateur dans les environnements de groupe de travail home et petite entreprise pour localiser les ordinateurs Windows qui n’utilisent plus SMBv1, démarrez l’hôte du fournisseur de découverte de fonctions et les services de publication des ressources de découverte de fonctions, puis définissez-les sur Automatique (Démarrage différé). Lorsque vous ouvrez Explorer Network, activez la découverte du réseau lorsque vous y êtes invité.

Tous les appareils Windows au sein de ce sous-réseau qui ont ces paramètres s’affichent dans Réseau pour la navigation. Cette méthode utilise le protocole WS-DISCOVERY . Contactez vos autres fournisseurs et fabricants si leurs appareils n’apparaissent toujours pas dans cette liste de navigation une fois les appareils Windows affichés. Il est possible qu’ils aient ce protocole désactivé ou qu’ils prennent uniquement en charge SMBv1.

Nous vous recommandons de mapper des lecteurs et des imprimantes au lieu d’activer cette fonctionnalité, ce qui nécessite toujours une recherche et une navigation sur leurs appareils. Les ressources mappées sont plus faciles à localiser, nécessitent moins d’entraînement et sont plus sûres à utiliser. Cela est particulièrement vrai si ces ressources sont fournies automatiquement via la stratégie de groupe. Un administrateur peut configurer des imprimantes pour la localisation par des méthodes autres que le service Explorateur d’ordinateurs hérité à l’aide d’adresses IP, d’Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP, et autres.

Messages de l'analyseur des meilleures pratiques de Windows Server

Windows Server 2012 et versions ultérieures contiennent un analyseur de bonnes pratiques (BPA) pour les serveurs de fichiers. Si vous avez suivi les instructions en ligne correctes pour désinstaller SMB1, l’exécution de ce BPA retourne un message d’avertissement contradictoire :

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

Vous devez ignorer les instructions de cette règle BPA spécifique, car elle est déconseillée. La fausse erreur a d’abord été corrigée dans Windows Server 2022 et Windows Server 2019 dans la mise à jour cumulative d’avril 2022. N’activez pas SMB 1.0.