Bagikan melalui


SMBv1 tidak diinstal secara default di Windows 10 versi 1709, Windows Server versi 1709 dan versi yang lebih baru

Ringkasan

Karena Windows 10 Fall Creators Update dan Windows Server, versi 1709 (RS3), protokol jaringan Blok Pesan Server versi 1 (SMBv1) tidak lagi diinstal secara default. Ini digantikan oleh protokol SMBv2 dan yang lebih baru mulai tahun 2007. Microsoft secara publik menghentikan protokol SMBv1 pada tahun 2014.

SMBv1 memiliki perilaku berikut di Windows 10 dan Windows Server 2019 dan versi yang lebih baru:

  • SMBv1 sekarang memiliki sub-fitur klien dan server yang dapat dihapus instalannya secara terpisah.
  • Windows 10 Enterprise, Windows 10 Education, dan Windows 10 Pro for Workstations tidak lagi berisi klien atau server SMBv1 secara default setelah penginstalan bersih.
  • Windows Server 2019 dan yang lebih baru tidak lagi berisi klien atau server SMBv1 secara default setelah penginstalan bersih.
  • Windows 10 Home dan Windows 10 Pro tidak lagi berisi server SMBv1 secara default setelah penginstalan bersih.
  • Windows 11 tidak berisi server atau klien SMBv1 secara default setelah penginstalan bersih.
  • Windows 10 Home dan Windows 10 Pro masih berisi klien SMBv1 secara default setelah penginstalan bersih. Jika klien SMBv1 tidak digunakan selama total 15 hari (tidak termasuk komputer yang dimatikan), klien secara otomatis menghapus instalan itu sendiri.
  • Peningkatan di tempat dan penerbangan Insider Windows 10 Home dan Windows 10 Pro tidak secara otomatis menghapus SMBv1 pada awalnya. Windows mengevaluasi penggunaan klien dan server SMBv1, dan jika salah satu dari mereka tidak digunakan selama total 15 hari (tidak termasuk waktu di mana komputer mati), Windows akan secara otomatis menghapus instalasinya.
  • Peningkatan di tempat dan penerbangan Insider edisi Windows 10 Enterprise, Windows 10 Education, dan Windows 10 Pro for Workstations tidak secara otomatis menghapus SMBv1. Administrator harus memutuskan untuk menghapus instalan SMBv1 di lingkungan terkelola ini.
  • Penghapusan otomatis SMBv1 setelah 15 hari adalah operasi satu kali. Jika administrator menginstal ulang SMBv1, tidak ada upaya lebih lanjut yang akan dilakukan untuk menghapus instalasinya.
  • Fitur SMB versi 2.02, 2.1, 3.0, 3.02, dan 3.1.1 masih didukung penuh dan disertakan secara default sebagai bagian dari biner SMBv2.
  • Karena layanan Browser Komputer bergantung pada SMBv1, layanan dihapus instalannya jika klien atau server SMBv1 dihapus instalasinya. Ini berarti bahwa Explorer Network tidak dapat lagi menampilkan komputer Windows melalui metode penjelajahan datagram NetBIOS warisan.
  • SMBv1 masih dapat diinstal ulang di semua edisi Windows 10 dan Windows Server 2016.
  • Komputer virtual Windows Server yang dibuat oleh Microsoft untuk Marketplace Azure tidak berisi biner SMB1 & Anda tidak dapat mengaktifkan SMB1. VM Marketplace Azure pihak ketiga mungkin berisi SMB1, hubungi vendor mereka untuk informasi.

Mulai Windows 10, versi 1809 (RS5), Windows 10 Pro tidak lagi berisi klien SMBv1 secara default setelah penginstalan bersih. Semua perilaku lain dari versi 1709 masih berlaku.

Catatan

Windows 10, versi 1803 (RS4) Pro menangani SMBv1 dengan cara yang sama seperti Windows 10, versi 1703 (RS2) dan Windows 10, versi 1607 (RS1). Masalah ini diperbaiki di Windows 10, versi 1809 (RS5). Anda masih dapat menghapus instalan SMBv1 secara manual. Namun, Windows tidak akan secara otomatis menghapus instalan SMBv1 setelah 15 hari dalam skenario berikut:

  • Anda melakukan penginstalan Windows 10 yang bersih, versi 1803.
  • Anda memutakhirkan Windows 10, versi 1607 atau Windows 10, versi 1703 ke Windows 10, versi 1803 secara langsung tanpa terlebih dahulu memutakhirkan ke Windows 10, versi 1709.

Jika Anda mencoba menyambungkan ke perangkat yang hanya mendukung SMBv1, atau jika perangkat ini mencoba terhubung ke Anda, Anda mungkin menerima salah satu pesan kesalahan berikut:

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58

Ketika server jarak jauh memerlukan koneksi SMBv1 dari klien ini, dan klien SMBv1 diinstal, peristiwa berikut dicatat. Mekanisme ini mengaudit penggunaan SMBv1 dan juga digunakan oleh uninstaller otomatis untuk mengatur timer 15 hari menghapus SMBv1 karena kurangnya penggunaan.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

Ketika server jarak jauh memerlukan koneksi SMBv1 dari klien ini, dan klien SMBv1 tidak diinstal, peristiwa berikut dicatat. Kejadian ini untuk menunjukkan mengapa koneksi gagal.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Perangkat ini kemungkinan tidak menjalankan Windows. Mereka lebih mungkin menjalankan versi Linux, Samba, atau jenis perangkat lunak pihak ketiga lainnya untuk menyediakan layanan SMB. Seringkali, versi Linux dan Samba ini, sendiri, tidak lagi didukung.

Catatan

Windows 10, versi 1709 juga dikenal sebagai "Fall Creators Update."

Informasi Selengkapnya

Untuk mengatasi masalah ini, hubungi produsen produk yang hanya mendukung SMBv1, dan minta pembaruan perangkat lunak atau firmware yang mendukung SMBv2.02 atau versi yang lebih baru. Untuk daftar vendor yang diketahui saat ini dan persyaratan SMBv1 mereka, lihat artikel Blog Windows dan Windows Server Storage Engineering Team berikut ini:

SMBv1 Product Clearinghouse

Mode penyewaan

Jika SMBv1 diperlukan untuk memberikan kompatibilitas aplikasi untuk perilaku perangkat lunak warisan, seperti persyaratan untuk menonaktifkan oplock, Windows menyediakan bendera berbagi SMB baru yang dikenal sebagai mode Leasing. Bendera ini menentukan apakah berbagi menonaktifkan semantik SMB modern seperti sewa dan oplock.

Anda dapat menentukan berbagi tanpa menggunakan oplock atau penyewaan untuk memungkinkan aplikasi warisan bekerja dengan SMBv2 atau versi yang lebih baru. Untuk melakukan ini, gunakan cmdlet PowerShell New-SmbShare atau Set-SmbShare bersama dengan parameter -LeasingMode None .

Catatan

Anda harus menggunakan opsi ini hanya pada berbagi yang diperlukan oleh aplikasi pihak ketiga untuk dukungan warisan jika vendor menyatakan bahwa diperlukan. Jangan tentukan mode Penyewaan pada berbagi data pengguna atau berbagi CA yang digunakan oleh Server File Scale-Out. Ini karena penghapusan oplock dan sewa menyebabkan ketidakstabilan dan kerusakan data di sebagian besar aplikasi. Mode penyewaan hanya berfungsi dalam mode Berbagi. Ini dapat digunakan oleh sistem operasi klien apa pun.

Penjelajahan Jaringan Penjelajah

Layanan Browser Komputer bergantung pada protokol SMBv1 untuk mengisi simpul Jaringan Windows Explorer (juga dikenal sebagai "Lingkungan Jaringan"). Protokol warisan ini lama tidak digunakan lagi, tidak merutekan, dan memiliki keamanan terbatas. Karena layanan tidak dapat berfungsi tanpa SMBv1, layanan dihapus secara bersamaan.

Namun, jika Anda masih harus menggunakan Jaringan Penjelajah di lingkungan grup kerja bisnis rumah dan bisnis kecil untuk menemukan komputer berbasis Windows, Anda dapat mengikuti langkah-langkah ini di komputer berbasis Windows yang tidak lagi menggunakan SMBv1:

  1. Mulai layanan "Host Penyedia Penemuan Fungsi" dan "Publikasi Sumber Daya Penemuan Fungsi", lalu atur ke Otomatis (Mulai Tertunda).

  2. Saat Anda membuka Explorer Network, aktifkan penemuan jaringan saat Anda diminta.

Semua perangkat Windows dalam subnet yang memiliki pengaturan ini sekarang akan muncul di Jaringan untuk penjelajahan. Ini menggunakan protokol WS-DISCOVERY. Hubungi vendor dan produsen Anda yang lain jika perangkat mereka masih tidak muncul di daftar telusuri ini setelah perangkat Windows muncul. Ada kemungkinan protokol ini dinonaktifkan atau hanya mendukung SMBv1.

Catatan

 Kami menyarankan agar Anda memetakan drive dan printer alih-alih mengaktifkan fitur ini, yang masih memerlukan pencarian dan penjelajahan untuk perangkat mereka. Sumber daya yang dipetakan lebih mudah ditemukan, memerlukan lebih sedikit pelatihan, dan lebih aman digunakan. Ini terutama berlaku jika sumber daya ini disediakan secara otomatis melalui Kebijakan Grup. Administrator dapat mengonfigurasi printer untuk lokasi menurut metode selain layanan Browser Komputer warisan dengan menggunakan alamat IP, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP, dan sebagainya.

Jika Anda tidak dapat menggunakan salah satu solusi ini, atau jika produsen aplikasi tidak dapat menyediakan versi SMB yang didukung, Anda dapat mengaktifkan kembali SMBv1 secara manual dengan mengikuti langkah-langkah dalam Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Penting

Kami sangat menyarankan agar Anda tidak menginstal ulang SMBv1. Ini karena protokol lama ini memiliki masalah keamanan yang diketahui mengenai ransomware dan malware lainnya.

Olahpesan penganalisis praktik terbaik Windows Server

Sistem operasi server Windows Server 2012 dan yang lebih baru berisi penganalisis praktik terbaik (BPA) untuk server file. Jika Anda telah mengikuti panduan online yang benar untuk menghapus instalan SMB1, menjalankan BPA ini akan mengembalikan pesan peringatan yang bertentangan:

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

Penting

Anda harus mengabaikan panduan aturan BPA khusus ini, tidak digunakan lagi. Kesalahan palsu pertama kali dikoreksi di Windows Server 2022 dan Windows Server 2019 dalam Pembaruan Kumulatif April 2022. Kami ulangi: jangan aktifkan SMB 1.0.

Referensi tambahan