伺服器消息塊第 1 版 (SMBv1) 通訊協定已被取代,且預設不會在新式 Windows 和 Windows Server 版本中安裝。 本文概述 SMBv1 的移除、其在各種 Windows 版本中的行為,以及舊版相容性的替代方案。 瞭解如何解決與SMBv1相關的問題、探索最佳做法,以及瞭解其在網路環境中不存在的影響。
SMBv1 的預設行為
由於 Windows 10 版本 1709 和 Windows Server 版本 1709,因此預設不會再安裝伺服器消息塊第 1 版 (SMBv1) 網路通訊協定。 SMBv2 和更新版本的通訊協定從 2007 年開始取代 SMBv1。 Microsoft 在 2014 年公開棄用 SMBv1 通訊協定。
SMBv1 在 Windows 10 和 Windows Server 2019 和更新版本中具有下列行為:
SMBv1 現在同時具有可個別卸載的用戶端和伺服器子功能。
在全新安裝之後,Windows 10 企業版、Windows 10 教育版和 Windows 10 工作站專業版不再包含 SMBv1 用戶端或伺服器。
Windows Server 2019 和更新版本在全新安裝之後預設不再包含 SMBv1 用戶端或伺服器。
在全新安裝之後,Windows 10 家用版和 Windows 10 專業版預設不再包含 SMBv1 伺服器。
Windows 11 預設不會在全新安裝之後包含 SMBv1 伺服器或用戶端。
Windows 10 家用版和 Windows 10 專業版 1709 在全新安裝之後,預設仍包含 SMBv1 用戶端。 如果 SMBv1 客戶端總共 15 天未使用(不包括電腦關閉的時間),它會自動卸載。 從 Windows 10 版本 1809 開始,Windows 10 專業版在全新安裝之後預設不再包含 SMBv1 用戶端。
Windows 10 家用版和 Windows 10 專業版的就地升級和 Insider 測試版本起初不會自動移除 SMBv1。 Windows 會評估 SMBv1 用戶端和伺服器的使用量,如果其中一項未總共使用 15 天(不包括電腦關閉的時間),Windows 會自動將它卸載。
Windows 10 企業版、Windows 10 教育版和 Windows 10 工作站專業版的原地升級和 Insider 測試版不會自動移除 SMBv1。 系統管理員必須決定在這些受控環境中卸載 SMBv1。
在 15 天后自動移除 SMBv1 是一次性作業。 如果系統管理員重新安裝SMBv1,則不會再嘗試卸載它。
SMB 2.02、2.1、3.0、3.02 和 3.1.1 版功能仍受到完整支援,並預設包含在 SMBv2 二進位檔中。
因為計算機瀏覽器服務依賴SMBv1,因此如果卸載SMBv1用戶端或伺服器,就會卸載服務。 如果沒有SMBv1,Explorer網路就無法再透過舊版 NetBIOS 數據報流覽方法顯示 Windows 電腦。
SMBv1 仍可在所有 Windows 10 和 Windows Server 2016 版本中重新安裝。
azure Marketplace Microsoft所建立的 Windows Server 虛擬機不包含 SMB1 二進位檔,而且您無法啟用 SMB1。 第三方 Azure Marketplace VM 可能包含 SMB1;請連絡其廠商以取得資訊。
Note
Windows 10 版本 1803 專業版會以與 Windows 10 版本 1703 和 Windows 10 版本 1607 相同的方式處理 SMBv1。 此問題已在 Windows 10 版本 1809 中修正。 您仍然可以手動卸載 SMBv1。 不過,在下列案例中,Windows 不會在 15 天后自動卸載 SMBv1:
- 您執行 Windows 10 版本 1803 的全新安裝。
- 您可以直接將 Windows 10 版本 1607 或 Windows 10 版本 1703 升級至 Windows 10 版本 1803,而不需要先升級至 Windows 10 版本 1709。
連接到 SMBv1 裝置時的錯誤訊息
如果您嘗試連線到僅支援 SMBv1 的裝置,或如果這些裝置嘗試連線到您,您可能會收到下列其中一則錯誤訊息:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747.The specified network name is no longer available.Unspecified error 0x80004005System Error 64The specified server cannot perform the requested operation.Error 58
當遠端伺服器需要來自此用戶端的SMBv1連線,並安裝SMBv1用戶端時,會記錄下列事件。 此機制會稽核 SMBv1 的使用方式,而且由自動卸載程式用來設定因使用不足而移除 SMBv1 的 15 天定時器。
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
當遠端伺服器需要來自此用戶端的SMBv1連線,且未安裝SMBv1用戶端時,會記錄下列事件。 此事件顯示連線失敗的原因。
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
這些裝置不太可能執行 Windows。 他們更可能執行舊版的Linux、Samba或其他類型的第三方軟體,以提供SMB服務。 通常,這些版本的Linux和Samba本身已不再受到支援。
SMBv1 的因應措施
您應該連絡僅支援SMBv1的產品製造商,並要求支援SMBv2.02或更新版本的軟體或韌體更新。 如需已知廠商及其SMBv1需求的目前清單,請參閱下列 Windows 和 Windows Server 記憶體工程小組部落格文章:
如果更新無法使用,您可以使用下列因應措施,允許舊版應用程式使用SMBv2或更新版本。 不過,這些因應措施應該只作為最後手段使用,而且只有在廠商指出需要時才使用。
如果您無法使用上述任何因應措施,或應用程式製造商無法提供支援的SMB版本,您可以遵循 如何在 Windows 中偵測、啟用和停用 SMBv1、SMBv2 和 SMBv3 中的步驟,手動重新啟用 SMBv1。
Warning
強烈建議您不要重新安裝SMBv1。 此較舊的通訊協定有關於勒索軟體和其他惡意代碼的已知安全性問題。
租賃模式
如果需要 SMBv1 提供對舊版軟體行為的應用程式相容性,例如需要停用 oplocks,Windows 會提供稱為 租賃模式 的 SMB 共用旗標。 此參數指定共用是否停用現代SMB語義,例如租約和oplocks。
您可以在不使用 oplocks 或租約的情況下,指定共用資源,以允許舊版應用程式使用 SMBv2 或更新版本。 若要設定租用模式,請使用 New-SmbShare 或 Set-SmbShare PowerShell Cmdlet 搭配 -LeasingMode None 參數。 如需詳細資訊,請參閱 New-SmbShare 和 Set-SmbShare Cmdlet 檔。
Caution
如果廠商指出需要舊版支援,您應該只在第三方應用程式所需的共用上使用此選項。 請勿在 Scale-Out 檔案伺服器所使用的用戶數據共用或 CA 共用上指定租用模式。 移除 oplock 和租約會導致大多數應用程式的不穩定和數據損毀。 租用模式僅適用於共用模式。
Explorer 網路瀏覽
電腦瀏覽器服務依賴 SMBv1 通訊協定來填充 Windows 檔案總管的網路節點(也稱為 網路鄰居)。 此舊版通訊協定已過時,不會路由傳送,且安全性有限。 因為服務無法在沒有SMBv1的情況下運作,所以會同時移除它。
不過,如果您仍然必須在家庭和小型企業工作組環境中使用 Explorer 網路,以找到不再使用 SMBv1 的 Windows 電腦,請啟動函數探索提供者主機和函數探索資源發佈服務,然後將它們設定為自動(延遲啟動)。 當您開啟 [總管網络] 時,會在系統提示您時啟用網路探索。
該子網內具有這些設定的所有 Windows 裝置都會出現在 [網络] 中以供流覽。 此方法使用 WS-DISCOVERY 通訊協定。 如果其他廠商和製造商的裝置在 Windows 裝置出現之後仍未出現在此瀏覽清單中,請連絡其他廠商和製造商。 他們可能會停用此通訊協定,或只支援SMBv1。
我們建議您連接磁碟驅動器和印表機,而不是啟用此功能,這仍然需要搜尋和瀏覽其裝置。 映射的資源更容易找到,所需的訓練較少,且使用更安全。 如果這些資源是透過組策略自動提供,則特別如此。 系統管理員可以使用 IP 位址、Active Directory 網域服務 (AD DS)、Bonjour、mDNS、uPnP 等等,以舊版計算機瀏覽器服務以外的方法設定根據位置的印表機。
Windows Server 最佳做法分析器訊息
Windows Server 2012 和更新版本包含檔案伺服器的最佳做法分析器 (BPA)。 如果您遵循正確的在線指引來卸載 SMB1,則執行此 BPA 會傳回相互矛盾的警告訊息:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
您應該忽略此特定 BPA 規則的指引,因為它已不再被建議使用。 在 2022 年 4 月累積更新中,Windows Server 2022 和 Windows Server 2019 中首次更正了錯誤的錯誤。 請勿啟用SMB 1.0。