SMBv1 non viene installato per impostazione predefinita Windows 10 versione 1709, Windows Server versione 1709 e versioni successive

Riepilogo

A partire da Windows 10 Fall Creators Update e Windows Server, versione 1709 (RS3), il protocollo di rete Server Message Block versione 1 (SMBv1) non è più installato per impostazione predefinita. È stato sostituito dai protocolli SMBv2 e versioni successive a partire dal 2007. Microsoft ha deprecato pubblicamente il protocollo SMBv1 nel 2014.

SMBv1 presenta il comportamento seguente in Windows 10 e Windows Server 2019 e versioni successive:

  • SMBv1 include ora funzionalità secondarie client e server che possono essere disinstallate separatamente.
  • Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations non contengono più il client o il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
  • Windows Server 2019 non contiene più il client o il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
  • Windows 10 Home e Windows 10 Pro non contengono più il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
  • Windows 10 Home e Windows 10 Pro contengono ancora il client SMBv1 per impostazione predefinita dopo un'installazione pulita. Se il client SMBv1 non viene usato per un totale di 15 giorni (escluso il computer spento), si disinstalla automaticamente.
  • Gli aggiornamenti sul posto e i voli Insider di Windows 10 Home e Windows 10 Pro non rimuovono automaticamente SMBv1 inizialmente. Windows valutare l'utilizzo del client e del server SMBv1 e, se uno di essi non viene usato per 15 giorni in totale (escluso il tempo di insodduttura del computer), Windows lo disinstalla automaticamente.
  • Gli aggiornamenti sul posto e i voli Insider delle edizioni Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations non rimuovono automaticamente SMBv1. Un amministratore deve decidere di disinstallare SMBv1 in questi ambienti gestiti.
  • La rimozione automatica di SMBv1 dopo 15 giorni è un'operazione una sola volta. Se un amministratore installa nuovamente SMBv1, non verranno esere effettuati altri tentativi di disinstallazione.
  • Le funzionalità SMB versione 2.02, 2.1, 3.0, 3.02 e 3.1.1 sono ancora completamente supportate e incluse per impostazione predefinita come parte dei file binari SMBv2.
  • Poiché il servizio Browser di computer si basa su SMBv1, il servizio viene disinstallato se il client o il server SMBv1 viene disinstallato. Ciò significa che Explorer Network non può più visualizzare Windows computer tramite il metodo di esplorazione dei datagrammi NetBIOS legacy.
  • SMBv1 può comunque essere reinstallato in tutte le edizioni di Windows 10 e Windows Server 2016.

A partire da Windows 10, versione 1809 (RS5), Windows 10 Pro non contiene più il client SMBv1 per impostazione predefinita dopo un'installazione pulita. Tutti gli altri comportamenti della versione 1709 sono ancora applicabili.

Nota

Windows 10 versione 1803 (RS4) Pro gestisce SMBv1 nello stesso modo di Windows 10, versione 1703 (RS2) e Windows 10, versione 1607 (RS1). Questo problema è stato risolto in Windows 10, versione 1809 (RS5). È comunque possibile disinstallare MANUALMENTE SMBv1. Tuttavia, Windows disinstallare automaticamente SMBv1 dopo 15 giorni negli scenari seguenti:

  • Eseguire un'installazione pulita di Windows 10, versione 1803.
  • Si aggiorna Windows 10, versione 1607 o Windows 10, versione 1703 a Windows 10, versione 1803 direttamente senza prima eseguire l'aggiornamento a Windows 10, versione 1709.

Se si tenta di connettersi a dispositivi che supportano solo SMBv1 o se questi dispositivi provano a connettersi all'utente, è possibile che venga visualizzato uno dei messaggi di errore seguenti:

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58

Quando un server remoto richiede una connessione SMBv1 da questo client e il client SMBv1 è installato, viene registrato l'evento seguente. Questo meccanismo controlla l'uso di SMBv1 e viene usato anche dal programma di disinstallazione automatica per impostare il timer di 15 giorni per la rimozione di SMBv1 a causa della mancanza di utilizzo.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

Quando un server remoto richiede una connessione SMBv1 da questo client e il client SMBv1 non è installato, viene registrato l'evento seguente. Questo evento illustra il motivo per cui la connessione non riesce.

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

Questi dispositivi probabilmente non eseguono Windows. È più probabile che esere versioni precedenti di Linux, Samba o altri tipi di software di terze parti per fornire servizi SMB. Spesso queste versioni di Linux e Samba non sono più supportate.

Nota

Windows 10, la versione 1709 è nota anche come "Fall Creators Update".

Altre informazioni

Per risolvere questo problema, contattare il produttore del prodotto che supporta solo SMBv1 e richiedere un aggiornamento software o firmware che supporti SMBv2.02 o versione successiva. Per un elenco corrente dei fornitori noti e dei relativi requisiti SMBv1, vedere l'articolo del blog del team di Windows e Windows Server Archiviazione Engineering Team:

SMBv1 Product Clearinghouse

Modalità di leasing

Se SMBv1 è necessario per garantire la compatibilità delle applicazioni per il comportamento software legacy, ad esempio un requisito per disabilitare gli oplock, Windows fornisce un nuovo flag di condivisione SMB noto come modalità di leasing. Questo flag specifica se una condivisione disabilita la semantica SMB moderna, ad esempio lease e oplock.

È possibile specificare una condivisione senza usare oplock o il leasing per consentire a un'applicazione legacy di funzionare con SMBv2 o versione successiva. A tale scopo, usare i cmdlet Di PowerShell New-SmbShare o Set-SmbShare insieme al parametro -LeasingMode None .

Nota

È consigliabile usare questa opzione solo per le condivisioni richieste da un'applicazione di terze parti per il supporto legacy se il fornitore ne dichiara la necessità. Non specificare la modalità Leasing per le condivisioni dati utente o le condivisioni CA usate Scale-Out file server. Ciò è dovuto al fatto che la rimozione di oplock e lease causa instabilità e danneggiamento dei dati nella maggior parte delle applicazioni. La modalità di leasing funziona solo in modalità di condivisione. Può essere usato da qualsiasi sistema operativo client.

Esplorazione della rete di Esplora risorse

Il servizio Browser di computer si basa sul protocollo SMBv1 per popolare il nodo di rete Windows Explorer (noto anche come "Network Neighborhood"). Questo protocollo legacy è a lungo deprecato, non viene instradato e ha una sicurezza limitata. Poiché il servizio non può funzionare senza SMBv1, viene rimosso contemporaneamente.

Tuttavia, se è ancora necessario usare gli ambienti del gruppo di lavoro di Rete in ingresso home e small business di Explorer per individuare i computer basati su Windows, è possibile seguire questa procedura nei computer basati su Windows che non usano più SMBv1:

  1. Avviare i servizi "Host provider di individuazione funzioni" e "Pubblicazione risorse per individuazione" e quindi impostarli su Automatico (avvio ritardato).)

  2. Quando si apre Esplora risorse di rete, abilitare l'individuazione di rete quando richiesto.

Tutti Windows dispositivi all'interno di tale subnet con queste impostazioni verranno ora visualizzati in Rete per l'esplorazione. Viene utilizzato il protocollo WS-DISCOVERY. Contattare gli altri fornitori e produttori se i dispositivi non vengono ancora visualizzati in questo elenco di ricerca dopo Windows i dispositivi. È possibile che questo protocollo sia disabilitato o che supportino solo SMBv1.

Nota

 È consigliabile eseguire il mapping di unità e stampanti invece di abilitare questa funzionalità, che richiede comunque la ricerca e l'esplorazione dei dispositivi. Le risorse mappate sono più facili da individuare, richiedono meno training e sono più sicure da usare. Ciò vale soprattutto se queste risorse vengono fornite automaticamente tramite Criteri di gruppo. Un amministratore può configurare le stampanti per la posizione con metodi diversi dal servizio Browser computer legacy usando indirizzi IP, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP e così via.

Se non è possibile usare una di queste soluzioni alternative o se il produttore dell'applicazione non è in grado di fornire versioni supportate di SMB, è possibile riattivare SMBv1 manualmente seguendo la procedura descritta in Come rilevare, abilitare e disabilitare SMBv1, SMBv2 e SMBv3 in Windows.

Importante

È consigliabile non reinstallare SMBv1. Questo perché questo protocollo precedente presenta problemi di sicurezza noti relativi a ransomware e altri malware.

Windows server best practices analyzer messaging

Windows Server 2012 sistemi operativi server e versioni successive contengono un analizzatore di procedure consigliate (BPA) per i file server. Se sono state seguite le indicazioni online corrette per disinstallare SMB1, l'esecuzione di questo BPA restituirà un messaggio di avviso contraddittorio:

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

È consigliabile ignorare le indicazioni di questa regola BPA specifica, che è deprecata. Ripetere: non abilitare SMB 1.0.

Altri riferimenti