SMBv1 n’est pas installé par défaut dans Windows 10 version 1709, Windows Server version 1709 et versions ultérieures

Résumé

Étant donné que Windows 10 Fall Creators Update et Windows Server, version 1709 (RS3), le protocole réseau Server Message Block version 1 (SMBv1) n’est plus installé par défaut. Il a été remplacé par les protocoles SMBv2 et ultérieurs à partir de 2007. Microsoft a déconseillé publiquement le protocole SMBv1 en 2014.

SMBv1 a le comportement suivant dans Windows 10 et Windows Server 2019 et versions ultérieures :

  • SMBv1 dispose désormais des sous-fonctionnalités client et serveur qui peuvent être désinstallées séparément.
  • Windows 10 Entreprise, Windows 10 Éducation et Windows 10 Professionnel pour les Stations de travail ne contiennent plus le client ou le serveur SMBv1 par défaut après une nouvelle installation.
  • Windows Server 2019 ne contient plus le client ou le serveur SMBv1 par défaut après une nouvelle installation.
  • Windows 10 Famille et Windows 10 Professionnel ne contiennent plus le serveur SMBv1 par défaut après une nouvelle installation.
  • Windows 10 Famille et Windows 10 Professionnel contiennent toujours le client SMBv1 par défaut après une installation propre. Si le client SMBv1 n’est pas utilisé pendant 15 jours au total (à l’exclusion de l’ordinateur désactivé), il se désinstalle automatiquement.
  • Les mises à niveau sur place et les vols Insider de Windows 10 Famille et de Windows 10 Professionnel ne suppriment pas automatiquement SMBv1 initialement. Windows évalue l’utilisation du client et du serveur SMBv1, et si l’un d’eux n’est pas utilisé pendant 15 jours au total (à l’exclusion de la durée pendant laquelle l’ordinateur est désactivé), Windows le désinstalle automatiquement.
  • Les mises à niveau sur place et les vols Insider des Windows 10 Entreprise, Windows 10 Éducation et Windows 10 Professionnel pour les Stations de travail éditions ne suppriment pas automatiquement SMBv1. Un administrateur doit décider de désinstaller SMBv1 dans ces environnements managés.
  • La suppression automatique de SMBv1 après 15 jours est une opération ponctuelle. Si un administrateur réinstalle SMBv1, aucune autre tentative n’est effectuée pour la désinstaller.
  • Les fonctionnalités SMB version 2.02, 2.1, 3.0, 3.02 et 3.1.1 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des fichiers binaires SMBv2.
  • Étant donné que le service Computer Browser s’appuie sur SMBv1, le service est désinstallé si le client ou le serveur SMBv1 est désinstallé. Cela signifie que l’Explorateur Réseau ne peut plus afficher les ordinateurs Windows via la méthode de navigation de datagramme NetBIOS héritée.
  • SMBv1 peut toujours être réinstallé dans toutes les éditions de Windows 10 et de Windows Server 2016.
  • Les machines virtuelles Windows Server créées par Microsoft pour le Place de marché Azure ne contiennent pas les fichiers binaires & SMB1 que vous ne pouvez pas activer SMB1. Les machines virtuelles Place de marché Azure tierces peuvent contenir SMB1, contacter leur fournisseur pour plus d’informations.

À compter de Windows 10, version 1809 (RS5), Windows 10 Professionnel ne contient plus le client SMBv1 par défaut après une nouvelle installation. Tous les autres comportements de la version 1709 s’appliquent toujours.

Notes

Windows 10, version 1803 (RS4) Pro gère SMBv1 de la même manière que Windows 10, version 1703 (RS2) et Windows 10, version 1607 (RS1). Ce problème a été résolu dans Windows 10, version 1809 (RS5). Vous pouvez toujours désinstaller SMBv1 manuellement. Toutefois, Windows ne désinstalle pas automatiquement SMBv1 après 15 jours dans les scénarios suivants :

  • Vous effectuez une nouvelle installation de Windows 10, version 1803.
  • Vous mettez à niveau Windows 10, version 1607 ou Windows 10, version 1703 vers Windows 10, version 1803 directement sans effectuer la première mise à niveau vers Windows 10 version 1709.

Si vous essayez de vous connecter à des appareils qui prennent uniquement en charge SMBv1 ou si ces appareils essaient de vous connecter, vous pouvez recevoir l’un des messages d’erreur suivants :

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58

Lorsqu’un serveur distant a requis une connexion SMBv1 à partir de ce client et que le client SMBv1 est installé, l’événement suivant est journalisé. Ce mécanisme audite l’utilisation de SMBv1 et est également utilisé par le désinstalleur automatique pour définir le minuteur de 15 jours de suppression de SMBv1 en raison d’un manque d’utilisation.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

Lorsqu’un serveur distant a requis une connexion SMBv1 à partir de ce client et que le client SMBv1 n’est pas installé, l’événement suivant est journalisé. Cet événement indique pourquoi la connexion échoue.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Ces appareils ne sont probablement pas en cours d’exécution de Windows. Ils sont plus susceptibles d’exécuter des versions antérieures de Linux, Samba ou d’autres types de logiciels tiers pour fournir des services SMB. Souvent, ces versions de Linux et de Samba ne sont plus prises en charge.

Notes

Windows 10, version 1709 est également appelée « Fall Creators Update ».

Informations complémentaires

Pour contourner ce problème, contactez le fabricant du produit qui prend en charge uniquement SMBv1 et demandez une mise à jour logicielle ou microprogramme qui prend en charge SMBv2.02 ou une version ultérieure. Pour obtenir la liste actuelle des fournisseurs connus et de leurs exigences SMBv1, consultez l’article suivant de l’équipe d’ingénierie de stockage Windows et Windows Server :

SMBv1 Product Clearinghouse

Mode de location

Si SMBv1 est nécessaire pour assurer la compatibilité des applications pour le comportement logiciel hérité, par exemple pour désactiver les verrous d’oplocks, Windows fournit un nouvel indicateur de partage SMB appelé mode de location. Cet indicateur spécifie si un partage désactive la sémantique SMB moderne, comme les baux et les verrous d’opération.

Vous pouvez spécifier un partage sans utiliser d’oplocks ou de location pour permettre à une application héritée de fonctionner avec SMBv2 ou une version ultérieure. Pour ce faire, utilisez les applets de commande PowerShell New-SmbShare ou Set-SmbShare avec le paramètre -LeasingMode None .

Notes

Vous devez utiliser cette option uniquement sur les partages requis par une application tierce pour la prise en charge héritée si le fournisseur indique qu’il est requis. Ne spécifiez pas le mode de location sur les partages de données utilisateur ou les partages d’autorité de certification utilisés par Scale-Out serveurs de fichiers. Cela est dû au fait que la suppression des verrous et des baux provoque l’instabilité et la corruption des données dans la plupart des applications. Le mode de location fonctionne uniquement en mode Partage. Il peut être utilisé par n’importe quel système d’exploitation client.

Navigation réseau de l’Explorateur

Le service Computer Browser s’appuie sur le protocole SMBv1 pour remplir le nœud réseau de l’Explorateur Windows (également appelé « Voisinage réseau »). Ce protocole hérité est longtemps déconseillé, n’est pas routé et a une sécurité limitée. Étant donné que le service ne peut pas fonctionner sans SMBv1, il est supprimé en même temps.

Toutefois, si vous devez toujours utiliser le réseau Explorateur dans les environnements de groupe de travail domestiques et de petite entreprise pour localiser des ordinateurs Windows, vous pouvez suivre ces étapes sur vos ordinateurs Windows qui n’utilisent plus SMBv1 :

  1. Démarrez les services « Hôte du fournisseur de découverte de fonctions » et « Publication des ressources de découverte de fonctions », puis définissez-les sur Automatique (Démarrage différé).

  2. Lorsque vous ouvrez l’Explorateur Network, activez la découverte du réseau lorsque vous y êtes invité.

Tous les appareils Windows de ce sous-réseau qui ont ces paramètres s’affichent désormais dans Réseau pour la navigation. Cela utilise le protocole WS-DISCOVERY. Contactez vos autres fournisseurs et fabricants si leurs appareils n’apparaissent toujours pas dans cette liste de navigation une fois les appareils Windows affichés. Il est possible qu’ils aient ce protocole désactivé ou qu’ils prennent uniquement en charge SMBv1.

Notes

 Nous vous recommandons de mapper des lecteurs et des imprimantes au lieu d’activer cette fonctionnalité, ce qui nécessite toujours une recherche et une navigation pour leurs appareils. Les ressources mappées sont plus faciles à localiser, nécessitent moins d’entraînement et sont plus sûres à utiliser. Cela est particulièrement vrai si ces ressources sont fournies automatiquement via stratégie de groupe. Un administrateur peut configurer des imprimantes pour l’emplacement par des méthodes autres que le service Computer Browser hérité à l’aide d’adresses IP, de services de domaine Active Directory (AD DS), Bonjour, mDNS, uPnP, et ainsi de suite.

Si vous ne pouvez pas utiliser ces solutions de contournement ou si le fabricant de l’application ne peut pas fournir de versions prises en charge de SMB, vous pouvez réactiver SMBv1 manuellement en suivant les étapes décrites dans Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.

Important

Nous vous recommandons vivement de ne pas réinstaller SMBv1. Cela est dû au fait que cet ancien protocole a des problèmes de sécurité connus concernant les ransomware et d’autres programmes malveillants.

Messagerie de l’analyseur des meilleures pratiques Windows Server

Windows Server 2012 et les systèmes d’exploitation de serveur ultérieurs contiennent un analyseur de bonnes pratiques (BPA) pour les serveurs de fichiers. Si vous avez suivi les instructions en ligne correctes pour désinstaller SMB1, l’exécution de ce BPA renverra un message d’avertissement contradictoire :

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

Important

Vous devez ignorer les instructions de cette règle BPA spécifique, elle est déconseillée. La fausse erreur a été corrigée pour la première fois dans Windows Server 2022 et Windows Server 2019 dans la mise à jour cumulative d’avril 2022. Nous répétons : n’activez pas SMB 1.0.

Références supplémentaires