O SMBv1 não é instalado por padrão no Windows 10 versão 1709, no Windows Server versão 1709 e nas versões posteriores

Resumo

Como Windows 10 Fall Creators Update e o Windows Server, versão 1709 (RS3), o protocolo de rede SMBv1 (Bloco de Mensagens do Servidor) não está mais instalado por padrão. Foi substituído pelo SMBv2 e protocolos posteriores a partir de 2007. A Microsoft preteriu publicamente o protocolo SMBv1 em 2014.

O SMBv1 tem o seguinte comportamento no Windows 10 e no Windows Server 2019 e versões posteriores:

  • O SMBv1 agora tem sub-recursos de cliente e servidor que podem ser desinstalados separadamente.
  • Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations não contêm mais o cliente ou servidor SMBv1 por padrão após uma instalação limpa.
  • O Windows Server 2019 não contém mais o cliente ou servidor SMBv1 por padrão após uma instalação limpa.
  • Windows 10 Home e Windows 10 Pro não contêm mais o servidor SMBv1 por padrão após uma instalação limpa.
  • Windows 10 Home e Windows 10 Pro ainda contêm o cliente SMBv1 por padrão após uma instalação limpa. Se o cliente SMBv1 não for usado por 15 dias no total (excluindo o computador que está sendo desativado), ele se desinstala automaticamente.
  • As atualizações in-loco e os voos insider de Windows 10 Home e Windows 10 Pro não removem automaticamente o SMBv1 inicialmente. O Windows avalia o uso do cliente e do servidor SMBv1 e, se um deles não for usado por 15 dias no total (excluindo o tempo durante o qual o computador está desativado), o Windows o desinstalará automaticamente.
  • As atualizações in-loco e os voos insider das edições Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations não removem automaticamente o SMBv1. Um administrador deve decidir desinstalar o SMBv1 nesses ambientes gerenciados.
  • A remoção automática do SMBv1 após 15 dias é uma operação única. Se um administrador reinstalar o SMBv1, nenhuma outra tentativa será feita para desinstalá-lo.
  • Os recursos SMB versão 2.02, 2.1, 3.0, 3.02 e 3.1.1 ainda são totalmente compatíveis e incluídos por padrão como parte dos binários SMBv2.
  • Como o serviço Navegador do Computador depende do SMBv1, o serviço será desinstalado se o cliente ou servidor SMBv1 estiver desinstalado. Isso significa que a Explorer Network não pode mais exibir computadores Windows por meio do método de navegação de datagrama NetBIOS herdado.
  • O SMBv1 ainda pode ser reinstalado em todas as edições de Windows 10 e Windows Server 2016.
  • As máquinas virtuais do Windows Server criadas pela Microsoft para o Azure Marketplace não contêm os binários & SMB1 que você não pode habilitar o SMB1. As VMs Azure Marketplace de terceiros podem conter SMB1, entre em contato com o fornecedor para obter informações.

Começando em Windows 10, versão 1809 (RS5), Windows 10 Pro não contém mais o cliente SMBv1 por padrão após uma instalação limpa. Todos os outros comportamentos da versão 1709 ainda se aplicam.

Observação

Windows 10, a versão 1803 (RS4) Pro manipula o SMBv1 da mesma maneira que Windows 10, versão 1703 (RS2) e Windows 10, versão 1607 (RS1). Esse problema foi corrigido em Windows 10, versão 1809 (RS5). Você ainda pode desinstalar o SMBv1 manualmente. No entanto, o Windows não desinstalará automaticamente o SMBv1 após 15 dias nos seguintes cenários:

  • Você faz uma instalação limpa do Windows 10, versão 1803.
  • Você atualiza Windows 10, versão 1607 ou Windows 10, versão 1703 para Windows 10, versão 1803 diretamente sem atualizar para Windows 10, versão 1709.

Se você tentar se conectar a dispositivos que dão suporte apenas ao SMBv1 ou se esses dispositivos tentarem se conectar a você, você poderá receber uma das seguintes mensagens de erro:

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58

Quando um servidor remoto requer uma conexão SMBv1 desse cliente e o cliente SMBv1 é instalado, o evento a seguir é registrado. Esse mecanismo audita o uso do SMBv1 e também é usado pelo desinstalador automático para definir o temporizador de 15 dias de remoção do SMBv1 devido à falta de uso.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

Quando um servidor remoto requer uma conexão SMBv1 desse cliente e o cliente SMBv1 não é instalado, o evento a seguir é registrado. Esse evento é para mostrar por que a conexão falha.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Esses dispositivos provavelmente não estão executando o Windows. Eles provavelmente executam versões mais antigas do Linux, Samba ou outros tipos de software de terceiros para fornecer serviços SMB. Muitas vezes, essas versões do Linux e do Samba não têm mais suporte.

Observação

Windows 10, a versão 1709 também é conhecida como "Fall Creators Update".

Mais informações

Para contornar esse problema, entre em contato com o fabricante do produto que dá suporte apenas ao SMBv1 e solicite uma atualização de software ou firmware que dê suporte ao SMBv2.02 ou a uma versão posterior. Para obter uma lista atual de fornecedores conhecidos e seus requisitos do SMBv1, consulte o seguinte artigo do Blog da Equipe de Engenharia de Armazenamento do Windows e do Windows Server:

SMBv1 Product Clearinghouse

Modo de locação

Se o SMBv1 for necessário para fornecer compatibilidade do aplicativo para o comportamento de software herdado, como um requisito para desabilitar oplocks, o Windows fornecerá um novo sinalizador de compartilhamento SMB conhecido como modo de locação. Esse sinalizador especifica se um compartilhamento desabilita a semântica SMB moderna, como concessões e oplocks.

Você pode especificar um compartilhamento sem usar oplocks ou locação para permitir que um aplicativo herdado funcione com o SMBv2 ou uma versão posterior. Para fazer isso, use os cmdlets New-SmbShare ou Set-SmbShare PowerShell junto com o parâmetro -LeasingMode None .

Observação

Você deve usar essa opção somente em compartilhamentos que são exigidos por um aplicativo de terceiros para suporte herdado se o fornecedor indicar que ele é necessário. Não especifique o modo de locação em compartilhamentos de dados do usuário ou compartilhamentos de AC usados por servidores de arquivos Scale-Out. Isso ocorre porque a remoção de oplocks e concessões causa instabilidade e corrupção de dados na maioria dos aplicativos. O modo de locação funciona apenas no modo Compartilhar. Ele pode ser usado por qualquer sistema operacional cliente.

Navegação na rede do Explorer

O serviço Navegador de Computador depende do protocolo SMBv1 para popular o nó de Rede do Windows Explorer (também conhecido como "Bairro de Rede"). Esse protocolo herdado é preterido há muito tempo, não roteia e tem segurança limitada. Como o serviço não pode funcionar sem o SMBv1, ele é removido ao mesmo tempo.

No entanto, se você ainda precisar usar a Rede Explorer em ambientes de grupo de trabalho doméstico e de pequenas empresas para localizar computadores baseados no Windows, siga estas etapas em seus computadores baseados no Windows que não usam mais o SMBv1:

  1. Inicie os serviços "Host do Provedor de Descoberta de Funções" e "Publicação de Recurso de Descoberta de Funções" e defina-os como Automático (Início Atrasado).

  2. Ao abrir a Rede do Explorer, habilite a descoberta de rede quando for solicitado.

Todos os dispositivos Windows dentro dessa sub-rede que têm essas configurações agora aparecerão na Rede para navegação. Isso usa o protocolo WS-DISCOVERY. Entre em contato com outros fornecedores e fabricantes se seus dispositivos ainda não aparecerem nesta lista de navegação depois que os dispositivos Windows aparecerem. É possível que eles tenham esse protocolo desabilitado ou que ofereçam suporte apenas ao SMBv1.

Observação

 Recomendamos que você mapeie unidades e impressoras em vez de habilitar esse recurso, o que ainda requer pesquisa e navegação por seus dispositivos. Os recursos mapeados são mais fáceis de localizar, exigem menos treinamento e são mais seguros de usar. Isso será especialmente verdadeiro se esses recursos forem fornecidos automaticamente por meio de Política de Grupo. Um administrador pode configurar impressoras para localização por métodos diferentes do serviço de Navegador de Computador herdado usando endereços IP, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP e assim por diante.

Se você não puder usar nenhuma dessas soluções alternativas ou se o fabricante do aplicativo não puder fornecer versões com suporte do SMB, você poderá reabilitar o SMBv1 manualmente seguindo as etapas em Como detectar, habilitar e desabilitar O SMBv1, SMBv2 e SMBv3 no Windows.

Importante

É altamente recomendável que você não reinstale o SMBv1. Isso ocorre porque esse protocolo mais antigo tem problemas de segurança conhecidos em relação ao ransomware e a outros malwares.

Mensagens do analisador de práticas recomendadas do Windows Server

Windows Server 2012 e posteriores sistemas de operação de servidor contêm um BPA (analisador de práticas recomendadas) para servidores de arquivos. Se você seguiu as diretrizes online corretas para desinstalar o SMB1, a execução deste BPA retornará uma mensagem de aviso contraditória:

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

Importante

Você deve ignorar as diretrizes dessa regra específica do BPA, ela foi preterida. O erro falso foi corrigido pela primeira vez no Windows Server 2022 e no Windows Server 2019 na Atualização Cumulativa de Abril de 2022. Repetimos: não habilite o SMB 1.0.

Referências adicionais