SMBv1 non è installato per impostazione predefinita in Windows 10 versione 1709, Windows Server versione 1709 e versioni successive
Riepilogo
Poiché Windows 10 Fall Creators Update e Windows Server, versione 1709 (RS3), il protocollo di rete Server Message Block versione 1 (SMBv1) non è più installato per impostazione predefinita. È stata sostituita da SMBv2 e dai protocolli successivi a partire dal 2007. Microsoft ha deprecato pubblicamente il protocollo SMBv1 nel 2014.
SMBv1 ha il comportamento seguente in Windows 10 e Windows Server 2019 e versioni successive:
- SMBv1 include ora funzionalità secondarie client e server che possono essere disinstallate separatamente.
- Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro per workstation non contengono più il client o il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
- Windows Server 2019 e versioni successive non contiene più il client o il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
- Windows 10 Home e Windows 10 Pro non contengono più il server SMBv1 per impostazione predefinita dopo un'installazione pulita.
- Windows 11 non contiene il server o il client SMBv1 per impostazione predefinita dopo un'installazione pulita.
- Windows 10 Home e Windows 10 Pro contengono ancora il client SMBv1 per impostazione predefinita dopo un'installazione pulita. Se il client SMBv1 non viene usato per 15 giorni in totale (escluso il computer disattivato), viene disinstallato automaticamente.
- Gli aggiornamenti sul posto e i voli Insider di Windows 10 Home e Windows 10 Pro non rimuovono automaticamente SMBv1 inizialmente. Windows valuta l'utilizzo del client e del server SMBv1 e se uno di essi non viene usato per 15 giorni in totale (escluso il tempo durante il quale il computer è spento), Windows lo disinstalla automaticamente.
- Gli aggiornamenti sul posto e i voli Insider delle edizioni Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro per workstation non rimuovono automaticamente SMBv1. Un amministratore deve decidere di disinstallare SMBv1 in questi ambienti gestiti.
- La rimozione automatica di SMBv1 dopo 15 giorni è un'operazione una tantum. Se un amministratore reinstalla SMBv1, non verranno eseguiti ulteriori tentativi per disinstallarlo.
- Le funzionalità SMB versione 2.02, 2.1, 3.0, 3.02 e 3.1.1 sono ancora completamente supportate e incluse per impostazione predefinita come parte dei file binari SMBv2.
- Poiché il servizio Browser computer si basa su SMBv1, il servizio viene disinstallato se il client o il server SMBv1 viene disinstallato. Ciò significa che la rete di Esplora risorse non può più visualizzare i computer Windows tramite il metodo di esplorazione dei datagrammi NetBIOS legacy.
- SMBv1 può comunque essere reinstallato in tutte le edizioni di Windows 10 e Windows Server 2016.
- Le macchine virtuali Windows Server create da Microsoft per Azure Marketplace non contengono i file binari SMB1 e non è possibile abilitare SMB1. Le macchine virtuali di Azure Marketplace di terze parti possono contenere SMB1, contattare il fornitore per ottenere informazioni.
A partire da Windows 10 versione 1809 (RS5), Windows 10 Pro non contiene più il client SMBv1 per impostazione predefinita dopo un'installazione pulita. Tutti gli altri comportamenti della versione 1709 sono ancora applicabili.
Nota
Windows 10, versione 1803 (RS4) Pro gestisce SMBv1 nello stesso modo di Windows 10, versione 1703 (RS2) e Windows 10 versione 1607 (RS1). Questo problema è stato risolto in Windows 10 versione 1809 (RS5). È comunque possibile disinstallare SMBv1 manualmente. Tuttavia, Windows non disinstalla automaticamente SMBv1 dopo 15 giorni negli scenari seguenti:
- Si esegue un'installazione pulita di Windows 10, versione 1803.
- Aggiorna Windows 10, versione 1607 o Windows 10, versione 1703 a Windows 10, versione 1803 direttamente senza prima eseguire l'aggiornamento a Windows 10, versione 1709.
Se si tenta di connettersi ai dispositivi che supportano solo SMBv1 o se questi dispositivi tentano di connettersi all'utente, è possibile che venga visualizzato uno dei messaggi di errore seguenti:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58
Quando un server remoto richiede una connessione SMBv1 da questo client e viene installato il client SMBv1, viene registrato l'evento seguente. Questo meccanismo controlla l'uso di SMBv1 e viene usato anche dal programma di disinstallazione automatico per impostare il timer di 15 giorni di rimozione di SMBv1 a causa della mancanza di utilizzo.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Quando un server remoto richiede una connessione SMBv1 da questo client e il client SMBv1 non è installato, viene registrato l'evento seguente. Questo evento indica il motivo per cui la connessione non riesce.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Questi dispositivi probabilmente non eseguono Windows. È più probabile che eseguano versioni precedenti di Linux, Samba o altri tipi di software di terze parti per fornire servizi SMB. Spesso, queste versioni di Linux e Samba non sono più supportate.
Nota
Windows 10, versione 1709 è noto anche come "Fall Creators Update".
Ulteriori informazioni
Per risolvere questo problema, contattare il produttore del prodotto che supporta solo SMBv1 e richiedere un aggiornamento software o firmware che supporti SMBv2.02 o versione successiva. Per un elenco aggiornato dei fornitori noti e dei relativi requisiti SMBv1, vedere l'articolo seguente del team di progettazione di Windows e Windows Server Archiviazione Engineering:
Modalità leasing
Se SMBv1 è necessario per garantire la compatibilità delle applicazioni per il comportamento software legacy, ad esempio un requisito per disabilitare gli oplock, Windows fornisce un nuovo flag di condivisione SMB noto come modalità leasing. Questo flag specifica se una condivisione disabilita la semantica SMB moderna, ad esempio lease e oplock.
È possibile specificare una condivisione senza usare oplock o leasing per consentire a un'applicazione legacy di lavorare con SMBv2 o versione successiva. A tale scopo, usare i cmdlet di PowerShell New-SmbShare o Set-SmbShare insieme al parametro -LeasingMode None.
Nota
È consigliabile usare questa opzione solo nelle condivisioni richieste da un'applicazione di terze parti per il supporto legacy se il fornitore dichiara che è necessario. Non specificare la modalità leasing nelle condivisioni dati utente o nelle condivisioni CA usate dai file server di scalabilità orizzontale. Ciò è dovuto al fatto che la rimozione di oplock e lease causa instabilità e danneggiamento dei dati nella maggior parte delle applicazioni. La modalità di leasing funziona solo in modalità Condivisione. Può essere usato da qualsiasi sistema operativo client.
Esplorazione di rete di Explorer
Il servizio Browser computer si basa sul protocollo SMBv1 per popolare il nodo Rete di Esplora risorse (noto anche come "Quartiere di rete"). Questo protocollo legacy è deprecato a lungo, non instrada e ha una sicurezza limitata. Poiché il servizio non può funzionare senza SMBv1, viene rimosso contemporaneamente.
Tuttavia, se è ancora necessario usare la rete di Explorer in ambienti home e piccoli gruppi di lavoro aziendali per individuare i computer basati su Windows, è possibile seguire questa procedura nei computer basati su Windows che non usano più SMBv1:
Avviare i servizi "Function Discovery Provider Host" e "Function Discovery Resource Publication" e quindi impostarli su Automatico (Avvio ritardato).
Quando si apre La rete di Explorer, abilitare l'individuazione di rete quando viene richiesto.
Tutti i dispositivi Windows all'interno di tale subnet con queste impostazioni verranno ora visualizzati in Rete per l'esplorazione. In questo modo viene usato il protocollo WS-DISCOVERY. Contattare gli altri fornitori e produttori se i dispositivi non vengono ancora visualizzati in questo elenco di esplorazione dopo la visualizzazione dei dispositivi Windows. È possibile che questo protocollo sia disabilitato o che supporti solo SMBv1.
Nota
È consigliabile eseguire il mapping di unità e stampanti invece di abilitare questa funzionalità, che richiede comunque la ricerca e l'esplorazione dei dispositivi. Le risorse mappate sono più facili da individuare, richiedono meno training e sono più sicure da usare. Ciò vale soprattutto se queste risorse vengono fornite automaticamente tramite Criteri di gruppo. Un amministratore può configurare le stampanti per la posizione in base a metodi diversi dal servizio Browser computer legacy usando indirizzi IP, Dominio di Active Directory Services (AD DS), Bonjour, mDNS, uPnP e così via.
Se non è possibile usare una di queste soluzioni alternative o se il produttore dell'applicazione non può fornire versioni supportate di SMB, è possibile riabilitare SMBv1 manualmente seguendo la procedura descritta in Come rilevare, abilitare e disabilitare SMBv1, SMBv2 e SMBv3 in Windows.
Importante
È consigliabile non reinstallare SMBv1. Ciò è dovuto al fatto che questo protocollo meno recente presenta problemi di sicurezza noti relativi al ransomware e ad altri malware.
Messaggistica dell'analizzatore delle procedure consigliate di Windows Server
I sistemi operativi server Windows Server 2012 e versioni successive contengono un analizzatore delle procedure consigliate (BPA) per i file server. Se sono state seguite le indicazioni online corrette per disinstallare SMB1, l'esecuzione di questo BPA restituirà un messaggio di avviso contraddittorio:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Importante
È consigliabile ignorare questo materiale sussidiario specifico per la regola BPA, che è deprecato. L'errore false è stato corretto per la prima volta in Windows Server 2022 e Windows Server 2019 nell'aggiornamento cumulativo di aprile 2022. Ripetiamo: non abilitare SMB 1.0.