默认情况下,SMBv1 未安装在 Windows 10 1709 Windows Server 版本 1709 及更高版本中

摘要

自 Windows 10 Fall Creators Update Windows Server 版本 1709 (RS3) 起,默认情况下不再安装服务器消息块版本 1 (SMBv1) 网络协议。 从 2007 开始,它被 SMBv2 及更高版本的协议取代。 Microsoft 于 2014 年公开弃用 SMBv1 协议。

SMBv1 在 Windows 10 和 Windows Server 2019 及更高版本中具有以下行为:

  • SMBv1 现在具有可单独卸载的客户端和服务器子功能。
  • Windows 10 企业版Windows 10 教育版,Windows 10 专业工作站版安装后,默认不再包含 SMBv1 客户端或服务器。
  • Windows安装后,默认情况下,Server 2019 不再包含 SMBv1 客户端或服务器。
  • Windows 10 家庭版Windows 10 专业版安装后,默认不再包含 SMBv1 服务器。
  • Windows 10 家庭版Windows 10 专业版安装后,默认仍包含 SMBv1 客户端。 如果 SMBv1 客户端在总共 15 天内未使用 (计算机被关闭,) 自动卸载自身。
  • 就地升级和预览体验计划Windows 10 家庭版预览体验Windows 10 专业版最初不会自动删除 SMBv1。 Windows SMBv1 客户端和服务器的使用情况,如果其中一个在 (内总共 15 天内未使用,但计算机关闭) 的时间除外,Windows 将自动卸载它。
  • WINDOWS 10 企业版、Windows 10 教育版 和 Windows 10 专业工作站版 版本的就地升级和预览体验成员航班不会自动删除 SMBv1。 管理员必须决定在这些托管环境中卸载 SMBv1。
  • 在 15 天后自动删除 SMBv1 是一次操作。 如果管理员重新安装 SMBv1,则不再尝试卸载它。
  • SMB 版本 2.02、2.1、3.0、3.02 和 3.1.1 功能仍受到完全支持,默认包含在 SMBv2 二进制文件中。
  • 由于计算机浏览器服务依赖于 SMBv1,因此如果卸载 SMBv1 客户端或服务器,则卸载该服务。 这意味着,资源管理器网络无法再通过Windows NetBIOS 数据报浏览方法显示计算机。
  • SMBv1 仍可在所有版本的 Windows 10 和 Windows Server 2016 中重新安装。

从 Windows 10 版本 1809 (RS5) 开始,Windows 10 专业版安装后,默认情况下不再包含 SMBv1 客户端。 版本 1709 中的所有其他行为仍适用。

注意

Windows 10版本 1803 (RS4) Pro 处理 SMBv1 的方式与 Windows 10 版本 1703 (RS2) 和 Windows 10 版本 1607 (RS1) 相同。 此问题在 RS5 Windows 10 版本 1809 (中) 。 仍可以手动卸载 SMBv1。 但是,Windows以下情况,在 15 天后,系统不会自动卸载 SMBv1:

  • 请对版本 1803 Windows 10进行干净安装。
  • 可以直接Windows 10版本 1607 或 Windows 10 版本 1703 升级到 Windows 10 版本 1803,而无需先升级到 Windows 10 版本 1709。

如果尝试连接到仅支持 SMBv1 的设备,或者这些设备尝试连接到你,可能会收到以下错误消息之一:

You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58

当远程服务器需要来自此客户端的 SMBv1 连接并且安装了 SMBv1 客户端时,将记录以下事件。 此机制审核 SMBv1 的使用,并且自动卸载程序也使用它来设置由于缺少使用而删除 SMBv1 的 15 天计时器。

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32002
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.

Dialect:
SecurityMode
Server name:

Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.

如果远程服务器需要来自此客户端的 SMBv1 连接,并且未安装 SMBv1 客户端,则记录以下事件。 此事件用于显示连接失败的原因。

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      32000
Task Category: None
Level:         Info
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:

Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.

这些设备不太可能运行Windows。 它们更有可能运行较旧版本的 Linux、Samba 或其他类型的第三方软件来提供 SMB 服务。 通常,这些版本的 Linux 和 Samba 本身不再受支持。

注意

Windows 10,版本 1709 也称为"Fall Creators Update"。

更多信息

若要解决此问题,请联系仅支持 SMBv1 的产品制造商,并请求支持 SMBv2.02 或更高版本的软件或固件更新。 有关已知供应商及其 SMBv1 要求的当前列表,请参阅以下 Windows Windows Server 存储 团队博客文章:

SMBv1 产品清除中心

租用模式

如果要求 SMBv1 为旧软件行为提供应用程序兼容性(例如禁用 oplock 的要求Windows,则 Windows 会提供一个新的 SMB 共享标志,称为租用模式。 此标志指定共享是否禁用新式 SMB 语义,如租约和 oplock。

无需使用 oplock 或租用即可指定共享,以允许旧版应用程序使用 SMBv2 或更高版本。 为此,请同时使用 New-SmbShareSet-SmbShare PowerShell cmdlet 和 -LeasingMode None 参数。

注意

如果供应商指出需要此选项,则只应在第三方应用程序需要旧支持时对共享使用此选项。 请勿在文件服务器中使用的用户数据共享或 CA 共享上指定Scale-Out模式。 这是因为删除 oplock 和租约会导致大多数应用程序中不稳定和数据损坏。 租用模式仅适用于共享模式。 它可用于任何客户端操作系统。

资源管理器网络浏览

计算机浏览器服务依赖 SMBv1 协议填充 Windows Explorer 网络节点 (也称为"网络邻居") 。 此旧协议已被弃用,不会路由,并且安全性有限。 由于服务无法在没有 SMBv1 的情况下运行,因此会同时将其删除。

但是,如果仍必须使用资源管理器 网络流入量 家庭和小型企业工作组环境来查找基于 Windows 的计算机,可以在不再使用 SMBv1 的基于 Windows 的计算机上执行以下步骤:

  1. 启动"函数发现提供程序主机"和"函数发现资源发布"服务,然后将它们设置为"自动 (延迟启动) " 。

  2. 打开"资源管理器网络"时,在系统提示时启用网络发现。

该Windows中具有这些设置的所有设备现在将显示在"网络"中供浏览。 这会使用 WS-DISCOVERY 协议。 如果其他供应商和制造商的设备在设备显示后仍未显示在此浏览列表中,请与Windows联系。 它们可能会禁用此协议,或者仅支持 SMBv1。

注意

 建议映射驱动器和打印机,而不是启用此功能,这仍然需要搜索和浏览其设备。 映射的资源更易于查找,需要较少的训练,并且使用起来更安全。 如果这些资源是通过资源管理自动提供的,则组策略。 管理员可以使用 IP 地址、Active Directory 域 Services (AD DS) 、Bonjour、mDNS、uPnP 等,通过旧计算机浏览器服务外的方法为位置配置打印机。

如果无法使用上述任何解决方法,或者应用程序制造商无法提供受支持的 SMB 版本,可以按照如何检测、启用和禁用 Windows 中的 SMBv1、SMBv2 和 SMBv3 中的步骤手动重新启用 SMBv1。

重要

强烈建议不要重新安装 SMBv1。 这是因为此较旧的协议具有有关勒索软件和其他恶意软件的已知安全问题。

Windows Server 最佳做法分析器消息传送

Windows Server 2012及更高版本的服务器操作系统包含适用于文件服务器 (BPA) 最佳做法分析器。 如果已按照正确的联机指南卸载 SMB1,则运行此 BPA 将返回一条错误警告消息:

Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.

应忽略此特定的 BPA 规则指南,该指南已弃用。 我们重复:不要启用 SMB 1.0。

其他参考