SMBv1 n'est pas installé par défaut dans Windows 10 version 1709, Windows Server version 1709 et versions ultérieures.
Résumé
Depuis Windows 10 Fall Creators Update et Windows Server, version 1709 (RS3), le protocole réseau Server Message Block version 1 (SMBv1) n'est plus installé par défaut. Il a été remplacé par les protocoles SMBv2 et ultérieurs à partir de 2007. Microsoft a déconseillé publiquement le protocole SMBv1 en 2014.
SMBv1 a le comportement suivant dans Windows 10 et Windows Server 2019 et versions ultérieures :
- SMBv1 dispose désormais des sous-fonctionnalités client et serveur qui peuvent être désinstallées séparément.
- Windows 10 Entreprise, Windows 10 Éducation et Windows 10 Professionnel pour les Stations de travail ne contiennent plus le client ou le serveur SMBv1 par défaut après une nouvelle installation.
- Windows Server 2019 et ultérieur ne contient plus le client ou le serveur SMBv1 par défaut après une nouvelle installation.
- Windows 10 Famille et Windows 10 Professionnel ne contiennent plus le serveur SMBv1 par défaut après une nouvelle installation.
- Windows 11 ne contient pas le serveur ou le client SMBv1 par défaut après une nouvelle installation.
- Windows 10 Famille et Windows 10 Professionnel contiennent toujours le client SMBv1 par défaut après une nouvelle installation. Si le client SMBv1 n'est pas utilisé pendant 15 jours au total (sans compter la mise hors tension de l'ordinateur), il se désinstalle automatiquement.
- Les mises à niveau sur place et les vols Insider de Windows 10 Famille et de Windows 10 Professionnel ne suppriment pas automatiquement SMBv1 initialement. Windows évalue l’utilisation du client et du serveur SMBv1, et si l’un d’eux n’est pas utilisé pendant 15 jours au total (sans compter le temps pendant lequel l'ordinateur est éteint), Windows le désinstalle automatiquement.
- Les mises à niveau sur place et les vols Insider des éditions Windows 10 Entreprise, Windows 10 Éducation et Windows 10 Professionnel pour les Stations de travail ne suppriment pas automatiquement SMBv1. Un administrateur doit décider de désinstaller SMBv1 dans ces environnements managés.
- La suppression automatique de SMBv1 après 15 jours est une opération ponctuelle. Si un administrateur réinstalle SMBv1, aucune autre tentative de désinstallation ne sera effectuée.
- Les fonctionnalités SMB version 2.02, 2.1, 3.0, 3.02 et 3.1.1 sont toujours entièrement prises en charge et incluses par défaut dans le cadre des fichiers binaires SMBv2.
- Étant donné que le service Explorateur d'ordinateurs s’appuie sur SMBv1, le service est désinstallé si le client ou le serveur SMBv1 est désinstallé. Cela signifie que l’Explorateur Réseau ne peut plus afficher les ordinateurs Windows via la méthode de navigation de datagramme NetBIOS héritée.
- SMBv1 peut toujours être réinstallé dans toutes les éditions de Windows 10 et de Windows Server 2016.
- Les machines virtuelles Windows Server créées par Microsoft pour Azure Marketplace ne contiennent pas les fichiers binaires SMB1 et vous ne pouvez pas activer SMB1. Les machines virtuelles Azure Marketplace de tiers peuvent contenir SMB1, contactez leur fournisseur pour plus d'informations.
À compter de Windows 10, version 1809 (RS5), Windows 10 Professionnel ne contient plus le client SMBv1 par défaut après une nouvelle installation. Tous les autres comportements de la version 1709 s’appliquent toujours.
Notes
Windows 10, version 1803 (RS4) Pro gère SMBv1 de la même manière que Windows 10, version 1703 (RS2) et Windows 10, version 1607 (RS1). Ce problème a été résolu dans Windows 10, version 1809 (RS5). Vous pouvez toujours désinstaller SMBv1 manuellement. Toutefois, Windows ne désinstalle pas automatiquement SMBv1 après 15 jours dans les scénarios suivants :
- Vous effectuez une nouvelle installation de Windows 10, version 1803.
- Vous mettez à niveau Windows 10, version 1607 ou Windows 10, version 1703 vers Windows 10, version 1803 directement sans effectuer la première mise à niveau vers Windows 10 version 1709.
Si vous essayez de vous connecter à des appareils qui prennent uniquement en charge SMBv1 ou si ces appareils essaient de vous connecter, vous pouvez recevoir l’un des messages d’erreur suivants :
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58
Lorsqu'un serveur distant a demandé une connexion SMBv1 à ce client et que le client SMBv1 est installé, l'événement suivant est enregistré. Ce mécanisme vérifie l'utilisation de SMBv1 et est également utilisé par le programme de désinstallation automatique pour fixer le délai de 15 jours avant la suppression de SMBv1 en raison de l'absence d'utilisation.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Lorsqu'un serveur distant a demandé une connexion SMBv1 à ce client et que le client SMBv1 n’est pas installé, l'événement suivant est enregistré. Cet événement indique pourquoi la connexion échoue.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Il est peu probable que ces appareils fonctionnent sous Windows. Il est plus probable qu'ils utilisent des versions plus anciennes de Linux, Samba ou d'autres types de logiciels tiers pour fournir des services SMB. Souvent, ces versions de Linux et de Samba ne sont plus prises en charge.
Notes
Windows 10, la version 1709 est également appelée « Fall Creators Update ».
Informations complémentaires
Pour résoudre ce problème, contactez le fabricant du produit qui ne prend en charge que SMBv1 et demandez une mise à jour du logiciel ou du micrologiciel qui prend en charge SMBv2.02 ou une version ultérieure. Pour une liste actualisée des fournisseurs connus et de leurs exigences en matière de SMBv1, voir l'article suivant du blog de l'équipe d'ingénierie de stockage de Windows et de Windows Server :
Mode de location
Si SMBv1 est nécessaire pour assurer la compatibilité des applications avec le comportement des logiciels existants, par exemple pour désactiver les verrous, Windows fournit un nouvel indicateur de partage SMB connu sous le nom de mode de location. Cet indicateur spécifie si un partage désactive la sémantique SMB moderne, comme les baux et les verrous.
Vous pouvez spécifier un partage sans utiliser de verrous ou de location pour permettre à une application héritée de fonctionner avec SMBv2 ou une version ultérieure. Pour ce faire, utilisez les applets de commande PowerShell New-SmbShare ou Set-SmbShare avec le paramètre -LeasingMode None.
Notes
Vous ne devez utiliser cette option que pour les partages requis par une application tierce pour la prise en charge héritée, si le fournisseur l'indique. Ne spécifiez pas le mode de location sur les partages de données utilisateur ou les partages d’autorité de certification utilisés par les Serveurs de fichiers avec montée en puissance parallèle. Cela est dû au fait que la suppression des verrous et des baux provoque l’instabilité et la corruption des données dans la plupart des applications. Le mode de location fonctionne uniquement en mode Partage. Il peut être utilisé par n’importe quel système d’exploitation client.
Navigation réseau de l’Explorateur
Le service Explorateur d'ordinateurs s’appuie sur le protocole SMBv1 pour remplir le nœud Réseau de l’Explorateur Windows (également appelé « Voisinage réseau »). Ce protocole hérité est obsolète depuis longtemps, ne permet pas d'acheminer les données et présente une sécurité limitée. Étant donné que le service ne peut pas fonctionner sans SMBv1, il est supprimé en même temps.
Toutefois, si vous devez toujours utiliser l’Explorateur Réseau dans les environnements de groupe de travail domestiques et de petite entreprise pour localiser des ordinateurs Windows, vous pouvez suivre ces étapes sur vos ordinateurs Windows qui n’utilisent plus SMBv1 :
Démarrez les services « Hôte du fournisseur de découverte de fonction » et « Publication de ressources de découverte de fonction », puis définissez-les sur Automatique (Démarrage différé).
Lorsque vous ouvrez l’Explorateur Réseau, activez la découverte du réseau lorsque vous y êtes invité.
Tous les appareils Windows de ce sous-réseau qui ont ces paramètres s’affichent désormais dans Réseau pour la navigation. Cela utilise le protocole WS-DISCOVERY. Contactez vos autres fournisseurs et fabricants si leurs appareils n’apparaissent toujours pas dans cette liste de navigation une fois les appareils Windows affichés. Il est possible qu’ils aient ce protocole désactivé ou qu’ils prennent uniquement en charge SMBv1.
Notes
Nous vous recommandons de mapper des lecteurs et des imprimantes au lieu d’activer cette fonctionnalité, ce qui nécessite toujours une recherche et une navigation pour leurs appareils. Les ressources mappées sont plus faciles à localiser, nécessitent moins de formation et sont plus sûres à utiliser. Cela est particulièrement vrai si ces ressources sont fournies automatiquement via stratégie de groupe. Un administrateur peut configurer des imprimantes pour l’emplacement par des méthodes autres que le service Explorateur d'ordinateurs hérité à l’aide d’adresses IP, de services de domaine Active Directory (AD DS), Bonjour, mDNS, uPnP, et ainsi de suite.
Si vous ne pouvez utiliser aucune de ces solutions de contournement, ou si le fabricant de l’application ne peut pas fournir les versions prises en charge de SMB, vous pouvez réactiver SMBv1 manuellement en suivant les étapes décrites dans Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.
Important
Nous vous recommandons vivement de ne pas réinstaller SMBv1. Cela est dû au fait que cet ancien protocole a des problèmes de sécurité connus concernant les ransomware et d’autres programmes malveillants.
Meilleures pratiques de l’analyseur de messagerie Windows Server
Windows Server 2012 et les systèmes d’exploitation de serveur ultérieurs contiennent un analyseur de bonnes pratiques (BPA) pour les serveurs de fichiers. Si vous avez suivi les instructions correctes en ligne pour désinstaller SMB1, l'exécution de ce BPA renverra un message d'avertissement contradictoire :
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Important
Vous ne devez pas tenir compte de cette règle spécifique du BPA, elle est obsolète. La fausse erreur a été corrigée pour la première fois dans Windows Server 2022 et Windows Server 2019 dans la mise à jour cumulative d’avril 2022. Nous le répétons : n'activez pas SMB 1.0.