預設不會在 Windows 10 版本 1709、Windows Server 版本 1709 和更新版本中安裝 SMBv1
摘要
由於 Windows 10 Fall Creators Update 和 Windows Server 版本 1709 (RS3),因此預設不會再安裝伺服器消息塊第 1 版 (SMBv1) 網路通訊協定。 它從2007年開始被SMBv2和更新版本的通訊協定所取代。 Microsoft 在 2014 年公開取代 SMBv1 通訊協定。
SMBv1 在 Windows 10 和 Windows Server 2019 和更新版本中具有下列行為:
- SMBv1 現在同時具有可個別卸載的用戶端和伺服器子功能。
- 工作站的 Windows 10 企業版、Windows 10 教育版 和 Windows 10 專業版 預設不會在全新安裝之後再包含 SMBv1 用戶端或伺服器。
- Windows Server 2019 和更新版本在全新安裝之後預設不再包含 SMBv1 用戶端或伺服器。
- Windows 10 家用版 和 Windows 10 專業版 在全新安裝之後預設不再包含SMBv1伺服器。
- Windows 11 預設不會在全新安裝之後包含 SMBv1 伺服器或用戶端。
- Windows 10 家用版 和 Windows 10 專業版 在全新安裝之後,預設仍包含SMBv1用戶端。 如果SMBv1用戶端總共未使用15天(不包括關閉的電腦),它會自動卸載本身。
- 就地升級和 Windows 10 家用版 和 Windows 10 專業版 測試人員正式發行前小眾測試版一開始不會自動移除 SMBv1。 Windows 會評估 SMBv1 用戶端和伺服器的使用方式,如果其中一項未總共使用 15 天(不包括電腦關閉的時間),Windows 將會自動卸載它。
- 工作站版本的就地升級和測試 Windows 10 企業版 人員正式發行前小眾測試版 Windows 10 教育版 和 Windows 10 專業版 不會自動移除 SMBv1。 系統管理員必須決定在這些受控環境中卸載 SMBv1。
- 在 15 天后自動移除 SMBv1 是一次性作業。 如果系統管理員重新安裝SMBv1,則不會再嘗試卸載SMBv1。
- SMB 2.02、2.1、3.0、3.02 和 3.1.1 版功能仍受到完整支援,並預設包含在 SMBv2 二進位檔中。
- 因為計算機瀏覽器服務依賴SMBv1,因此如果卸載SMBv1用戶端或伺服器,就會卸載服務。 這表示 Explorer 網路無法再透過舊版 NetBIOS 數據報流覽方法顯示 Windows 電腦。
- SMBv1 仍可在所有 Windows 10 和 Windows Server 2016 版本中重新安裝。
- Microsoft 為 Azure Marketplace 建立的 Windows Server 虛擬機不包含 SMB1 二進位檔, 您無法啟用 SMB1。 第三方 Azure Marketplace VM 可能包含 SMB1,請連絡其廠商以取得資訊。
從 Windows 10 版本 1809 (RS5) 開始,Windows 10 專業版 在全新安裝之後預設不再包含 SMBv1 用戶端。 1709 版的所有其他行為仍適用。
注意
Windows 10 版本 1803 (RS4) 專業版會以與 Windows 10 版本 1703(RS2) 和 Windows 10 版本 1607 (RS1) 相同的方式處理 SMBv1。 此問題已在 Windows 10 版本 1809 (RS5) 中修正。 您仍然可以手動卸載 SMBv1。 不過,在下列案例中,Windows 不會在 15 天后自動卸載 SMBv1:
- 您執行 Windows 10 版本 1803 的全新安裝。
- 您可以直接將 Windows 10 版本 1607 或 Windows 10 版本 1703 升級至 Windows 10 版本 1803,而不需要先升級至 Windows 10 版本 1709。
如果您嘗試連線到僅支援 SMBv1 的裝置,或如果這些裝置嘗試連線到您,您可能會收到下列其中一則錯誤訊息:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58
當遠端伺服器需要來自此用戶端的SMBv1連線,並安裝SMBv1用戶端時,會記錄下列事件。 此機制會稽核 SMBv1 的使用方式,而且由自動卸載程式用來設定因使用不足而移除 SMBv1 的 15 天定時器。
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
當遠端伺服器需要來自此用戶端的SMBv1連線,且未安裝SMBv1用戶端時,會記錄下列事件。 此事件是顯示連線失敗的原因。
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
這些裝置不太可能執行 Windows。 它們更有可能執行舊版的Linux、Samba或其他類型的第三方軟體,以提供SMB服務。 通常,這些版本的Linux和Samba本身已不再受到支援。
注意
Windows 10 版本 1709 也稱為「Fall Creators Update」。
相關資訊
若要解決此問題,請連絡僅支援SMBv1的產品製造商,並要求支援SMBv2.02或更新版本的軟體或韌體更新。 如需已知廠商及其SMBv1需求的目前清單,請參閱下列 Windows 和 Windows Server 儲存體 工程小組部落格文章:
租用模式
如果需要SMBv1才能為舊版軟體行為提供應用程式相容性,例如停用oplock的需求,Windows 會提供稱為租用模式的新SMB共用旗標。 此旗標會指定共用是否停用新式SMB語意,例如租用和oplocks。
您可以指定共用而不使用 oplocks 或租用,以允許舊版應用程式使用 SMBv2 或更新版本。 若要這樣做,請使用 New-SmbShare 或 Set-SmbShare PowerShell Cmdlet 搭配 -LeasingMode None 參數。
注意
如果廠商指出需要此選項,您應該只在第三方應用程式為舊版支援所需的共用上使用此選項。 請勿在向外延展檔伺服器所使用的用戶數據共用或 CA 共用上指定租用模式。 這是因為移除 oplocks 和租用會導致大部分應用程式中不穩定和數據損毀。 租用模式僅適用於共用模式。 它可供任何用戶端操作系統使用。
總管網路流覽
計算機瀏覽器服務依賴SMBv1通訊協定來填入 Windows Explorer 網路節點(也稱為「網路鄰里」)。 此舊版通訊協定已過時,不會路由傳送,且安全性有限。 因為服務無法在沒有SMBv1的情況下運作,所以會同時移除它。
不過,如果您仍然必須使用家用和小型企業工作組環境中的 Explorer 網路來尋找 Windows 計算機,您可以在不再使用 SMBv1 的 Windows 計算機上遵循下列步驟:
啟動「函式探索提供者主機」和「函式探索資源發行集」服務,然後將它們設定為 [自動] (延遲啟動)。
當您開啟 [總管網络] 時,會在系統提示您時啟用網路探索。
該子網內具有這些設定的所有 Windows 裝置現在會出現在 [網络] 中以供流覽。 這會使用 WS-DISCOVERY 通訊協定。 如果其他廠商和製造商的裝置在 Windows 裝置出現之後仍未出現在此瀏覽清單中,請連絡其他廠商和製造商。 他們可能會停用此通訊協定,或只支援SMBv1。
注意
我們建議您對應磁碟驅動器和印表機,而不是啟用此功能,這仍然需要搜尋和瀏覽其裝置。 對應的資源更容易找到、需要較少的定型,而且更安全地使用。 如果這些資源是透過組策略自動提供,則特別如此。 系統管理員可以使用IP位址、Active Directory 網域服務、Bonjour、mDNS、uPnP等等,透過舊版電腦瀏覽器服務以外的方法來設定位置的印表機。
如果您無法使用上述任何因應措施,或應用程式製造商無法提供支援的SMB版本,您可以遵循如何在 Windows 中偵測、啟用和停用 SMBv1、SMBv2 和 SMBv3 中的步驟,手動重新啟用 SMBv1。
重要
強烈建議您不要重新安裝SMBv1。 這是因為這個較舊的通訊協定有關於勒索軟體和其他惡意代碼的已知安全性問題。
Windows Server 最佳做法分析器傳訊
Windows Server 2012 和更新版本的伺服器作業系統包含檔伺服器的最佳做法分析器(BPA)。 如果您已遵循正確的在線指引來卸載 SMB1,執行此 BPA 將會傳回相互矛盾的警告訊息:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
重要
您應該忽略此特定 BPA 規則的指引,它已被取代。 在 2022 年 4 月累積更新中,Windows Server 2022 和 Windows Server 2019 中首次更正了錯誤的錯誤。 我們重複:不要啟用SMB 1.0。