Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O protocolo SMBv1 (Server Message Block versão 1) foi preterido e não é mais instalado por padrão em versões modernas do Windows e do Windows Server. Este artigo fornece uma visão geral da remoção do SMBv1, seu comportamento em várias edições do Windows e alternativas para compatibilidade herdada. Saiba como abordar questões relacionadas com o SMBv1, explorar as melhores práticas e compreender as implicações da sua ausência em ambientes de rede.
Comportamento padrão para SMBv1
Desde o Windows 10, versão 1709 e o Windows Server, versão 1709, o protocolo de rede SMBv1 (Server Message Block versão 1) não é mais instalado por padrão. O SMBv2 e protocolos posteriores substituíram o SMBv1 a partir de 2007. A Microsoft declarou publicamente o protocolo SMBv1 como obsoleto em 2014.
O SMBv1 tem o seguinte comportamento no Windows 10 e no Windows Server 2019 e versões posteriores:
O SMBv1 agora tem sub-recursos de cliente e servidor que podem ser desinstalados separadamente.
O Windows 10 Enterprise, o Windows 10 Education e o Windows 10 Pro for Workstations não contêm mais o cliente ou servidor SMBv1 por padrão após uma instalação limpa.
O Windows Server 2019 e versões posteriores não contêm mais o cliente ou servidor SMBv1 por padrão após uma instalação limpa.
O Windows 10 Home e o Windows 10 Pro não contêm mais o servidor SMBv1 por padrão após uma instalação limpa.
O Windows 11 não contém o servidor ou cliente SMBv1 por padrão após uma instalação limpa.
O Windows 10 Home e o Windows 10 Pro, versão 1709, ainda contêm o cliente SMBv1 por padrão após uma instalação limpa. Se o cliente SMBv1 não for usado por 15 dias no total (excluindo o computador desligado), ele se desinstala automaticamente. A partir do Windows 10, versão 1809, o Windows 10 Pro não contém mais o cliente SMBv1 por padrão após uma instalação limpa.
As atualizações no local e as compilações Insider do Windows 10 Home e do Windows 10 Pro não removem automaticamente o SMBv1 de início. O Windows avalia o uso do cliente e servidor SMBv1 e, se um deles não for usado por 15 dias no total (excluindo o tempo durante o qual o computador está desligado), o Windows o desinstala automaticamente.
As atualizações no local e o programa Windows Insider das edições Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations não removem automaticamente o SMBv1. Um administrador deve decidir desinstalar o SMBv1 nesses ambientes gerenciados.
A remoção automática do SMBv1 após 15 dias é uma operação única. Se um administrador reinstalar o SMBv1, não serão feitas mais tentativas para desinstalá-lo.
Os recursos SMB versão 2.02, 2.1, 3.0, 3.02 e 3.1.1 ainda são totalmente suportados e incluídos por padrão como parte dos binários do SMBv2.
Como o serviço Navegador de Computadores depende do SMBv1, o serviço será desinstalado se o cliente ou servidor SMBv1 for desinstalado. Sem o SMBv1, a Rede Explorer não pode mais exibir computadores Windows através do método de navegação de datagrama NetBIOS herdado.
O SMBv1 ainda pode ser reinstalado em todas as edições do Windows 10 e do Windows Server 2016.
As máquinas virtuais do Windows Server criadas pela Microsoft para o Azure Marketplace não contêm os binários SMB1 e não é possível ativar o SMB1. VMs do Azure Marketplace de terceiros podem conter SMB1; Entre em contato com o fornecedor para obter informações.
Observação
O Windows 10, versão 1803 Pro processa o SMBv1 da mesma forma que o Windows 10, versão 1703 e o Windows 10, versão 1607. Esse problema foi corrigido no Windows 10, versão 1809. Você ainda pode desinstalar o SMBv1 manualmente. No entanto, o Windows não desinstalará automaticamente o SMBv1 após 15 dias nos seguintes cenários:
- Você faz uma instalação limpa do Windows 10, versão 1803.
- Você atualiza o Windows 10, versão 1607 ou Windows 10, versão 1703 para o Windows 10, versão 1803 diretamente sem primeiro atualizar para o Windows 10, versão 1709.
Mensagens de erro ao ligar a dispositivos SMBv1
Se tentar ligar a dispositivos que suportam apenas SMBv1 ou se estes dispositivos tentarem ligar-se a si, poderá receber uma das seguintes mensagens de erro:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747.The specified network name is no longer available.Unspecified error 0x80004005System Error 64The specified server cannot perform the requested operation.Error 58
Quando um servidor remoto requer uma conexão SMBv1 desse cliente e o cliente SMBv1 está instalado, o seguinte evento é registrado. Este mecanismo audita o uso do SMBv1 e também é usado pelo desinstalador automático para definir o temporizador de 15 dias de remoção do SMBv1 devido à falta de uso.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Quando um servidor remoto requer uma conexão SMBv1 desse cliente e o cliente SMBv1 não está instalado, o seguinte evento é registrado. Esse evento mostra por que a conexão falha.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Esses dispositivos provavelmente não estão executando o Windows. É mais provável que eles executem versões mais antigas do Linux, Samba ou outros tipos de software de terceiros para fornecer serviços SMB. Muitas vezes, essas versões do Linux e do Samba não são mais suportadas.
Soluções alternativas para o SMBv1
Deve contactar o fabricante do produto que suporta apenas SMBv1 e solicitar uma atualização de software ou firmware que suporte SMBv2.02 ou uma versão posterior. Para obter uma lista atual de fornecedores conhecidos e seus requisitos SMBv1, consulte o seguinte artigo do Blog da Equipe de Engenharia de Armazenamento do Windows e do Windows Server:
Se uma atualização não estiver disponível, você poderá usar as seguintes soluções alternativas para permitir que aplicativos herdados funcionem com o SMBv2 ou uma versão posterior. No entanto, essas soluções alternativas devem ser usadas apenas como último recurso e somente se o fornecedor declarar que elas são necessárias.
Se não conseguir utilizar qualquer uma destas soluções alternativas ou se o fabricante da aplicação não puder fornecer versões suportadas do SMB, pode reativar o SMBv1 manualmente seguindo os passos indicados em Como detetar, ativar e desativar o SMBv1, SMBv2 e SMBv3 no Windows.
Advertência
É altamente recomendável que você não reinstale o SMBv1. Este protocolo mais antigo tem problemas de segurança conhecidos em relação a ransomware e outros malwares.
Modo de leasing
Se o SMBv1 for necessário para garantir compatibilidade de aplicações com comportamentos de software legados, como a necessidade de desativar oplocks, o Windows fornece um sinalizador de partilha SMB conhecido como modo de leasing. Esse sinalizador especifica se um compartilhamento desabilita a semântica SMB moderna, como concessões e oplocks.
Você pode especificar um compartilhamento sem usar oplocks ou leasing para permitir que um aplicativo herdado funcione com o SMBv2 ou uma versão posterior. Para definir o modo de leasing, use os New-SmbShare e Set-SmbShare cmdlets PowerShell juntamente com o parâmetro -LeasingMode None. Para obter mais informações, consulte a documentação dos cmdlets New-SmbShare e Set-SmbShare .
Atenção
Você deve usar esta opção apenas nas partilhas exigidas por uma aplicação de terceiros para suporte a funcionalidades legadas, caso o fornecedor declare que elas são necessárias. Não especifique o modo de locação em partilhas de dados de utilizador ou partilhas de CA usadas por Scale-Out Servidores de Arquivos. A remoção de oplocks e leases causa instabilidade e corrupção de dados na maioria das aplicações. O modo de leasing funciona apenas no modo Partilhar.
Navegação em rede do Explorer
O serviço Navegador de Computadores depende do protocolo SMBv1 para preencher o nó de Rede do Windows Explorer (também conhecido como Ambiente de Rede). Este protocolo legado está há muito tempo obsoleto, não encaminha e tem segurança limitada. Como o serviço não pode funcionar sem o SMBv1, ele é removido ao mesmo tempo.
No entanto, se você ainda tiver que usar a Rede Explorer em ambientes de grupo de trabalho domésticos e de pequenas empresas para localizar computadores baseados no Windows que não usam mais o SMBv1, inicie os serviços Host do Provedor de Descoberta de Função e Publicação de Recursos de Descoberta de Função e defina-os como Automático (Início Atrasado). Ao abrir a Rede do Explorer, habilite a descoberta de rede quando solicitado.
Todos os dispositivos Windows dentro dessa sub-rede que têm essas configurações aparecem em Rede para navegação. Esse método usa o protocolo WS-DISCOVERY . Entre em contato com seus outros fornecedores e fabricantes se seus dispositivos ainda não aparecerem nesta lista de navegação depois que os dispositivos Windows forem exibidos. É possível que tenham este protocolo desativado ou que suportem apenas SMBv1.
Recomendamos que você mapeie unidades e impressoras em vez de ativar esse recurso, que ainda requer pesquisa e navegação por seus dispositivos. Os recursos mapeados são mais fáceis de localizar, exigem menos treinamento e são mais seguros de usar. Isso é especialmente verdadeiro se esses recursos forem fornecidos automaticamente por meio da Diretiva de Grupo. Um administrador pode configurar impressoras para localização por métodos diferentes do serviço Navegador de Computador herdado usando endereços IP, Serviços de Domínio Ative Directory (AD DS), Bonjour, mDNS, uPnP e assim por diante.
Mensagens do analisador de práticas recomendadas do Windows Server
O Windows Server 2012 e versões posteriores contêm um analisador de práticas recomendadas (BPA) para servidores de arquivos. Se você seguiu a orientação on-line correta para desinstalar o SMB1, executar este BPA retorna uma mensagem de aviso contraditória:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Você deve ignorar a orientação dessa regra BPA específica porque ela foi obsoleta. O erro falso foi corrigido pela primeira vez no Windows Server 2022 e no Windows Server 2019 na Atualização Cumulativa de abril de 2022. Não habilite o SMB 1.0.