Keine standardmäßige Installation von SMBv1 in Windows 10, Version 1709, Windows Server, Version 1709 und höheren Versionen

Zusammenfassung

In Windows 10 Fall Creators Update und Windows Server, Version 1709 (RS3) und höher wird das Netzwerkprotokoll SMBv1 (Server Message Block, Version 1) nicht mehr standardmäßig installiert. Es wurde ab 2007 durch SMBv2 und nachfolgende Protokolle ersetzt. Microsoft hat das SMBv1-Protokoll im Jahr 2014 offiziell als veraltet eingestuft.

Für SMBv1 gilt in Windows 10 und Windows Server ab Version 1709 (RS3) das folgende Verhalten:

  • SMBv1 umfasst jetzt untergeordnete Client- und Serverfeatures, die separat deinstalliert werden können.
  • Windows 10 Enterprise, Windows 10 Education und Windows 10 Pro for Workstations umfassen nach einer Neuinstallation standardmäßig nicht mehr den SMBv1-Client oder -Server.
  • Windows Server 2019 enthält nach einer Neuinstallation standardmäßig nicht mehr den SMBv1-Client oder -Server.
  • Windows 10 Home und Windows 10 Pro enthalten nach einer Neuinstallation standardmäßig nicht mehr den SMBv1-Server.
  • Windows 10 Home und Windows 10 Pro enthalten nach einer Neuinstallation standardmäßig weiterhin den SMBv1-Client. Wird der SMBv1-Client insgesamt 15 Tage lang nicht verwendet (ohne Einrechnung von Zeiten, in denen der Computer ausgeschaltet ist), wird er automatisch deinstalliert.
  • Bei direkten Upgrades und Insider-Flights von Windows 10 Home und Windows 10 Pro wird SMBv1 anfänglich nicht automatisch entfernt. Wird der SMBv1-Client oder -Server insgesamt 15 Tage lang nicht verwendet (ohne Einrechnung von Zeiten, in denen der Computer ausgeschaltet ist), wird er automatisch deinstalliert.
  • Bei direkten Upgrades und Insider-Flights von Windows 10 Enterprise, Windows 10 Education und Windows 10 Pro for Workstations-Editionen wird SMBv1 nicht automatisch entfernt. Ein Administrator muss über die Deinstallation von SMBv1 in diesen verwalteten Umgebungen entscheiden.
  • Die automatische Entfernung von SMBv1 nach 15 Tagen ist ein einmaliger Vorgang. Wenn ein Administrator SMBv1 erneut installiert, werden keine weiteren Versuche zur Deinstallation unternommen.
  • Die Features der SMB-Versionen 2.02, 2.1, 3.0, 3.02 und 3.1.1 werden weiterhin vollständig unterstützt und sind standardmäßig in den SMBv2-Binärdateien enthalten.
  • Da der Computersuchdienst auf SMBv1 basiert, wird der Dienst deinstalliert, falls der SMBv1-Client oder -Server deinstalliert wird. Dies bedeutet, dass Windows-Computer im Explorer-Netzwerk nicht länger über die ältere NetBIOS-Datagramm-Suchmethode angezeigt werden können.
  • SMBv1 kann weiterhin in allen Editionen von Windows 10 und Windows Server 2016 neu installiert werden.

SMBv1 zeigt in Windows 10 ab Version 1809 (RS5) darüber hinaus das folgende Verhalten. Das Verhalten aus Version 1709 gilt weiterhin:

  • Windows 10 Pro enthält nach einer Neuinstallation standardmäßig nicht mehr den SMBv1-Client.

  • In Windows 10 Enterprise, Windows 10 Education und Windows 10 Pro for Workstations kann ein Administrator die automatische Entfernung von SMBv1 aktivieren, indem er das Feature „Automatisches Entfernen von SMB 1.0/CIFS“ aktiviert.

    Hinweis

    Windows 10, Version 1803 (RS4) Pro verarbeitet SMBv1 auf die gleiche Weise wie Windows 10, Version 1703 (RS2) und Windows 10, Version 1607 (RS1). Dieses Problem wurde in Windows 10, Version 1809 (RS5) behoben. Sie können SMBv1 weiterhin manuell deinstallieren. Windows deinstalliert SMBv1 in den folgenden Szenarien jedoch nicht automatisch nach 15 Tagen:

  • Sie führen eine Neuinstallation von Windows 10, Version 1803 durch.

  • Sie führen ein direktes Upgrade von Windows 10, Version 1607 oder Windows 10, Version 1703 auf Windows 10, Version 1803 durch, ohne zunächst ein Upgrade auf Windows 10, Version 1709 durchzuführen.

Wenn Sie versuchen, eine Verbindung mit Geräten herzustellen, die nur SMBv1 unterstützen, oder wenn diese Geräte versuchen, eine Verbindung mit Ihnen herzustellen, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58

Die folgenden Ereignisse treten auf, wenn ein Remoteserver eine SMBv1-Verbindung von diesem Client anfordert, SMBv1 jedoch auf dem Client deinstalliert oder deaktiviert wurde.

Log Name:      Microsoft-Windows-SmbClient/Security
 Source:        Microsoft-Windows-SMBClient
 Date:          Date/Time
 Event ID:      32002
 Task Category: None
 Level:         Info
 Keywords:      (128)
 User:          NETWORK SERVICE
 Computer:      junkle.contoso.com
 Description:
 The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Log Name:      Microsoft-Windows-SmbClient/Security
 Source:        Microsoft-Windows-SMBClient
 Date:          Date/Time
 Event ID:      32000
 Task Category: None
 Level:         Info
 Keywords:      (128)
 User:          NETWORK SERVICE
 Computer:      junkle.contoso.com
 Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Auf diesen Geräten wird wahrscheinlich nicht Windows ausgeführt. Stattdessen werden wahrscheinlich ältere Versionen von Linux, Samba oder andere Arten von Drittanbietersoftware ausgeführt, um SMB-Dienste bereitzustellen. Häufig werden diese Versionen von Linux und Samba selbst nicht mehr unterstützt.

Hinweis

Windows 10, Version 1709 wird auch als „Fall Creators Update“ bezeichnet.

Weitere Informationen

Um dieses Problem zu umgehen, wenden Sie sich an den Hersteller des Produkts, das ausschließlich SMBv1 unterstützt. Fordern Sie ein Software- oder Firmwareupdate an, das SMBv2.02 oder eine neuere Version unterstützt. Eine aktuelle Liste bekannter Anbieter und deren SMBv1-Anforderungen finden Sie im folgenden Blogbeitrag des Windows- und Windows Server Storage Engineering-Teams:

SMBv1 Product Clearinghouse

Leasemodus

Wenn SMBv1 benötigt wird, um Anwendungskompatibilität für Legacysoftwareverhalten zu gewährleisten – etwa die Anforderung zum Deaktivieren opportunistischer Sperren –, bietet Windows ein neues SMB-Freigabeflag, das als Leasemodus bezeichnet wird. Dieses Flag gibt an, ob eine Freigabe moderne SMB-Semantik wie beispielsweise Leases und opportunistische Sperren deaktiviert.

Sie können eine Freigabe ohne Verwendung von opportunistischen Sperren oder Leases angeben, damit eine Legacyanwendung mit SMBv2 oder einer neueren Version funktioniert. Verwenden Sie hierzu die PowerShell-Cmdlets New-SmbShare oder Set-SmbShare gemeinsam mit dem Parameter -LeasingMode None.

Hinweis

Sie sollten diese Option nur für Freigaben verwenden, die von einer Drittanbieteranwendung für die Legacyunterstützung benötigt werden, wenn der Anbieter dies als erforderlich angibt. Geben Sie den Leasemodus nicht für Benutzerdatenfreigaben oder CA-Freigaben (Continuous Availability) an, die von Dateiservern mit horizontaler Skalierung verwendet werden. Dies sollte deshalb unterlassen werden, weil das Entfernen von opportunistischen Sperren und Leases in den meisten Anwendungen zu Instabilitäten und Datenbeschädigungen führt. Der Leasemodus funktioniert nur im Freigabemodus. Sie kann von einem beliebigen Clientbetriebssystem verwendet werden.

Explorer- Netzwerksuche

Der Computersuchdienst nutzt das SMBv1-Protokoll, um den Windows Explorer-Knoten „Netzwerk“ (auch als „Netzwerkumgebung“ bezeichnet) aufzufüllen. Dieses Legacyprotokoll ist seit langem veraltet, unterstützt kein Routing und bietet nur eingeschränkte Sicherheit. Da der Dienst ohne SMBv1 nicht funktionieren kann, wird er ebenfalls entfernt.

Möglicherweise müssen Sie jedoch in Arbeitsgruppenumgebungen von Heimsystemen und in Kleinunternehmen weiterhin das Explorer-Netzwerk verwenden, um nach Windows-basierten Computern zu suchen. Sie können auf Ihren Windows-basierten Computern, die nicht länger SMBv1 verwenden, folgende Schritte ausführen:

  1. Starten Sie die Dienste „Funktionssuchanbieter-Host“ und „Funktionssuche-Ressourcenveröffentlichung“, und legen Sie sie auf Automatisch (verzögerter Start) fest.

  2. Wenn Sie das Explorer-Network öffnen, aktivieren Sie bei Aufforderung die Netzwerkermittlung.

Alle Windows-Geräte in diesem Subnetz, die diese Einstellungen aufweisen, stehen jetzt in „Netzwerk“ für die Suche zur Verfügung. Hierbei wird das WS-DISCOVERY-Protokoll verwendet. Wenden Sie sich an die jeweiligen Anbieter/Hersteller, wenn Geräte nach der Anzeige von Windows-Geräten weiterhin nicht in dieser Suchliste angezeigt werden. Es ist möglich, dass dieses Protokoll für die Geräte deaktiviert wurde oder die Geräte ausschließlich SMBv1 unterstützen.

Hinweis

Es wird empfohlen, Laufwerke und Drucker zuzuordnen, anstatt dieses Feature zu aktivieren, bei dem weiterhin nach den Geräten gesucht werden muss. Zugeordnete Ressourcen sind einfacher zu finden, erfordern weniger Schulung und sind sicherer zu verwenden. Dies gilt insbesondere, wenn diese Ressourcen automatisch über „Gruppenrichtlinie“ bereitgestellt werden. Ein Administrator kann mithilfe anderer Methoden als dem Legacy-Computersuchdienst Drucker für den Standort konfigurieren, beispielsweise über IP-Adressen, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP usw.

Wenn Sie keine dieser Problemumgehungen nutzen können oder der Anwendungshersteller keine unterstützten Versionen von SMB bereitstellen kann, können Sie SMBv1 manuell reaktivieren. Befolgen Sie hierzu die unter Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 unter Windows beschriebenen Schritte.

Wichtig

Es wird dringend empfohlen, SMBv1 nicht neu zu installieren. Von einer erneuten Installation wird abgeraten, weil dieses Legacyprotokoll bekannte Sicherheitsprobleme in Bezug auf Ransomware und andere Malware aufweist.

Best Practices Analyzer-Meldung (BPA) für Windows Server

Windows Server 2012 und höhere Serverbetriebssysteme umfassen den Best Practices Analyzer (BPA) für Dateiserver. Nachdem Sie die Onlineanweisungen zum Deinstallieren von SMB1 befolgt haben, gibt der Best Practices Analyzer bei Ausführung eine widersprüchliche Warnmeldung aus:

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

Sie sollten diese BPA-Meldung ignorieren, weil sie veraltet ist. Zur Erinnerung: Aktivieren Sie SMB 1.0 nicht.

Weitere Verweise