SMBv1 non è installato per impostazione predefinita in Windows 10 versione 1709, Windows Server versione 1709 e versioni successive
Riepilogo
Poiché Windows 10 Fall Creators Update e Windows Server, la versione 1709 (RS3), il protocollo di rete SERVER Message Block versione 1 (SMBv1) non è più installato per impostazione predefinita. È stata sostituita da PROTOCOLLI SMBv2 e versioni successive a partire dal 2007. Microsoft ha deprecato pubblicamente il protocollo SMBv1 nel 2014.
SMBv1 ha il comportamento seguente in Windows 10 e Windows Server 2019 e versioni successive:
- SMBv1 include ora funzionalità secondarie client e server che possono essere disinstallate separatamente.
- Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations non contengono più il client o il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
- Windows Server 2019 e versioni successive non contiene più il client o il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
- Windows 10 Home e Windows 10 Pro non contengono più il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
- Windows 11 non contiene il server SMBv1 o il client per impostazione predefinita dopo un'installazione pulita.
- Windows 10 Home e Windows 10 Pro contengono comunque il client SMBv1 per impostazione predefinita dopo un'installazione pulita. Se il client SMBv1 non viene usato per 15 giorni in totale (escluso il computer disattivato), viene disinstallato automaticamente.
- Aggiornamenti sul posto e voli Insider di Windows 10 Home e Windows 10 Pro non rimuovere automaticamente SMBv1 inizialmente. Windows valuta l'utilizzo del client e del server SMBv1 e, se uno di essi non viene usato per 15 giorni in totale (escluso il tempo durante il quale il computer è disattivato), Windows lo disinstalla automaticamente.
- Aggiornamenti sul posto e voli Insider dei Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations edizioni non rimuove automaticamente SMBv1. Un amministratore deve decidere di disinstallare SMBv1 in questi ambienti gestiti.
- La rimozione automatica di SMBv1 dopo 15 giorni è un'operazione una sola volta. Se un amministratore esegue nuovamente l'installazione di SMBv1, non verranno effettuati altri tentativi per disinstallarlo.
- Le funzionalità SMB versione 2.02, 2.1, 3.0, 3.02 e 3.1.1 sono ancora completamente supportate e incluse per impostazione predefinita come parte dei file binari SMBv2.
- Poiché il servizio Computer Browser si basa su SMBv1, il servizio viene disinstallato se il client o il server SMBv1 viene disinstallato. Ciò significa che la rete di Esplora risorse non può più visualizzare i computer Windows tramite il metodo di esplorazione di Datagram NetBIOS legacy.
- SMBv1 può comunque essere reinstallato in tutte le edizioni di Windows 10 e Windows Server 2016.
- Le macchine virtuali di Windows Server create da Microsoft per il Azure Marketplace non contengono i file binari & SMB1 che non è possibile abilitare SMB1. Le macchine virtuali di terze parti Azure Marketplace possono contenere SMB1, contattare il fornitore per informazioni.
A partire da Windows 10, versione 1809 (RS5), Windows 10 Pro non contiene più il client SMBv1 per impostazione predefinita dopo un'installazione pulita. Tutti gli altri comportamenti della versione 1709 sono ancora applicabili.
Nota
Windows 10 versione 1803 (RS4) Pro gestisce SMBv1 nello stesso modo di Windows 10, versione 1703 (RS2) e Windows 10 versione 1607 (RS1). Questo problema è stato risolto in Windows 10, versione 1809 (RS5). È comunque possibile disinstallare SMBv1 manualmente. Tuttavia, Windows non disinstalla automaticamente SMBv1 dopo 15 giorni negli scenari seguenti:
- Si esegue un'installazione pulita di Windows 10 versione 1803.
- Si aggiorna Windows 10, versione 1607 o Windows 10, versione 1703 a Windows 10, versione 1803 direttamente senza prima eseguire l'aggiornamento a Windows 10, versione 1709.
Se si tenta di connettersi ai dispositivi che supportano solo SMBv1 o se questi dispositivi tentano di connettersi, è possibile che venga visualizzato uno dei messaggi di errore seguenti:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58
Quando un server remoto richiede una connessione SMBv1 da questo client e il client SMBv1 viene installato, viene registrato l'evento seguente. Questo meccanismo controlla l'uso di SMBv1 e viene usato anche dal disinstallatore automatico per impostare il timer di 15 giorni di rimozione di SMBv1 a causa della mancanza di utilizzo.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Quando un server remoto richiede una connessione SMBv1 da questo client e il client SMBv1 non è installato, viene registrato l'evento seguente. Questo evento consiste nel mostrare il motivo per cui la connessione ha esito negativo.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Questi dispositivi probabilmente non eseguono Windows. Sono più probabile che eseguano versioni precedenti di Linux, Samba o altri tipi di software di terze parti per fornire servizi SMB. Spesso, queste versioni di Linux e Samba sono, se stesse, non sono più supportate.
Nota
Windows 10, la versione 1709 è nota anche come "Fall Creators Update".
Altre informazioni
Per risolvere questo problema, contattare il produttore del prodotto che supporta solo SMBv1 e richiedere un aggiornamento software o firmware che supporta SMBv2.02 o una versione successiva. Per un elenco corrente dei fornitori noti e dei relativi requisiti SMBv1, vedere l'articolo di blog del team di progettazione di Windows e Windows Server Storage:
Modalità di leasing
Se SMBv1 è necessario per fornire la compatibilità dell'applicazione per il comportamento software legacy, ad esempio un requisito per disabilitare gli oplock, Windows fornisce un nuovo flag di condivisione SMB noto come modalità di leasing. Questo flag specifica se una condivisione disabilita la semantica SMB moderna, ad esempio lease e oplock.
È possibile specificare una condivisione senza usare oplock o leasing per consentire a un'applicazione legacy di funzionare con SMBv2 o una versione successiva. A tale scopo, usare i cmdlet New-SmbShare o Set-SmbShare PowerShell insieme al parametro -LeasingMode None .
Nota
È consigliabile usare questa opzione solo nelle condivisioni richieste da un'applicazione di terze parti per il supporto legacy se il fornitore indica che è necessario. Non specificare la modalità di leasing nelle condivisioni dati utente o nelle condivisioni CA usate da Scale-Out File Server. Ciò è dovuto al fatto che la rimozione di oplock e lease causa la instabilità e il danneggiamento dei dati nella maggior parte delle applicazioni. La modalità di leasing funziona solo in modalità Condivisione. Può essere usato da qualsiasi sistema operativo client.
Esplorazione di rete di Esplora risorse
Il servizio Computer Browser si basa sul protocollo SMBv1 per popolare il nodo di rete di Windows Explorer (noto anche come "Quartiere di rete"). Questo protocollo legacy è deprecato a lungo, non instrada e ha una sicurezza limitata. Poiché il servizio non può funzionare senza SMBv1, viene rimosso contemporaneamente.
Tuttavia, se è ancora necessario usare la rete explorer in ambienti di gruppo di lavoro home e small business per individuare i computer basati su Windows, è possibile seguire questa procedura nei computer basati su Windows che non usano più SMBv1:
Avviare i servizi "Host provider di individuazione funzioni" e "Pubblicazione risorse individuazione funzioni" e quindi impostarli su Automatico (Inizio ritardato).
Quando si apre La rete di Esplora risorse, abilitare l'individuazione di rete quando viene richiesto.
Tutti i dispositivi Windows all'interno della subnet con queste impostazioni verranno ora visualizzati in Rete per l'esplorazione. In questo modo viene usato il protocollo WS-DISCOVERY. Contattare altri fornitori e produttori se i dispositivi non vengono ancora visualizzati in questo elenco di esplorazione dopo la visualizzazione dei dispositivi Windows. È possibile che abbiano disabilitato questo protocollo o che supportino solo SMBv1.
Nota
È consigliabile eseguire il mapping delle unità e delle stampanti anziché abilitare questa funzionalità, che richiede ancora ricerche e esplorazione per i dispositivi. Le risorse mappate sono più facili da individuare, richiedono meno formazione e sono più sicure da usare. Ciò è particolarmente vero se queste risorse vengono fornite automaticamente tramite Criteri di gruppo. Un amministratore può configurare le stampanti per la posizione in base ai metodi diversi dal servizio Computer Browser legacy usando indirizzi IP, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP e così via.
Se non è possibile usare alcuna di queste soluzioni alternative o se il produttore dell'applicazione non può fornire versioni supportate di SMB, è possibile riabilitare SMBv1 seguendo la procedura descritta in Come rilevare, abilitare e disabilitare SMBv1, SMBv2 e SMBv3 in Windows.
Importante
È consigliabile non reinstallare SMBv1. Questo perché questo protocollo meno recente ha problemi di sicurezza noti relativi a ransomware e altri malware.
Messaggistica dell'analizzatore delle procedure consigliate di Windows Server
Windows Server 2012 e versioni successive dei sistemi operativi server contengono un analizzatore delle procedure consigliate (BPA) per i file server. Se sono state seguite le indicazioni online corrette per disinstallare SMB1, l'esecuzione di questo BPA restituirà un messaggio di avviso contraddittorio:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Importante
È consigliabile ignorare le indicazioni di questa regola BPA specifica, è deprecata. L'errore false è stato corretto prima in Windows Server 2022 e Windows Server 2019 nell'aggiornamento cumulativo di aprile 2022. Si ripete: non abilitare SMB 1.0.