Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Samenvatting
Sinds Windows 10 Fall Creators Update en Windows Server, versie 1709 (RS3), is het netwerkprotocol Server Message Block versie 1 (SMBv1) niet meer standaard geïnstalleerd. Het werd vervangen door SMBv2 en latere protocollen vanaf 2007. Microsoft heeft het SMBv1-protocol in 2014 openbaar afgeschaft.
SMBv1 heeft het volgende gedrag in Windows 10 en Windows Server 2019 en latere versies:
- SMBv1 heeft nu zowel client- als serversubfuncties die afzonderlijk kunnen worden verwijderd.
- Windows 10 Enterprise, Windows 10 Education en Windows 10 Pro voor werkstations bevatten standaard niet meer de SMBv1-client of -server na een schone installatie.
- Windows Server 2019 en hoger bevat de SMBv1-client of -server niet meer standaard na een schone installatie.
- Windows 10 Home en Windows 10 Pro bevatten de SMBv1-server niet meer standaard na een schone installatie.
- Windows 11 bevat niet standaard de SMBv1-server of -client na een schone installatie.
- Windows 10 Home en Windows 10 Pro bevatten standaard nog steeds de SMBv1-client na een schone installatie. Als de SMBv1-client in totaal niet gedurende 15 dagen wordt gebruikt (met uitzondering van de dagen dat de computer is uitgeschakeld), wordt deze automatisch verwijderd.
- In-place upgrades en Insider-vluchten van Windows 10 Home en Windows 10 Pro verwijderen SMBv1 in eerste instantie niet automatisch. Windows evalueert het gebruik van SMBv1-client en -server en als een van deze niet gedurende 15 dagen in totaal wordt gebruikt (met uitzondering van de tijd waarin de computer is uitgeschakeld), wordt deze automatisch verwijderd door Windows.
- In-place upgrades en Insider-vluchten van de edities Windows 10 Enterprise, Windows 10 Education en Windows 10 Pro voor Werkstations verwijderen SMBv1 niet automatisch. Een beheerder moet besluiten SMBv1 te verwijderen in deze beheerde omgevingen.
- Automatisch verwijderen van SMBv1 na 15 dagen is een eenmalige bewerking. Als een beheerder SMBv1 opnieuw installeert, worden er geen verdere pogingen gedaan om deze te verwijderen.
- De functies van SMB versie 2.02, 2.1, 3.0, 3.02 en 3.1.1 worden nog steeds volledig ondersteund en standaard opgenomen als onderdeel van de binaire SMBv2-bestanden.
- Omdat de computerbrowserservice afhankelijk is van SMBv1, wordt de service verwijderd als de SMBv1-client of -server wordt verwijderd. Dit betekent dat Explorer Network Windows-computers niet meer kan weergeven via de verouderde NetBIOS-gegevensgramnavigatiemethode.
- SMBv1 kan nog steeds opnieuw worden geïnstalleerd in alle edities van Windows 10 en Windows Server 2016.
- Virtuele Windows Server-machines die zijn gemaakt door Microsoft voor Azure Marketplace bevatten geen binaire SMB1-bestanden & u SMB1 niet kunt inschakelen. Azure Marketplace-VM's van derden kunnen SMB1 bevatten, neem contact op met de leverancier voor informatie.
Vanaf Windows 10 versie 1809 (RS5) bevat Windows 10 Pro de SMBv1-client niet meer standaard na een schone installatie. Alle andere gedragingen van versie 1709 zijn nog steeds van toepassing.
Notitie
Windows 10, versie 1803 (RS4) Pro verwerkt SMBv1 op dezelfde manier als Windows 10, versie 1703 (RS2) en Windows 10, versie 1607 (RS1). Dit probleem is opgelost in Windows 10, versie 1809 (RS5). U kunt SMBv1 nog steeds handmatig verwijderen. Windows verwijdert SMBv1 echter niet automatisch na 15 dagen in de volgende scenario's:
- U voert een schone installatie van Windows 10 versie 1803 uit.
- U voert een upgrade uit van Windows 10, versie 1607 of Windows 10, versie 1703 naar Windows 10, versie 1803, rechtstreeks zonder eerst een upgrade uit te voeren naar Windows 10, versie 1709.
Als u verbinding probeert te maken met apparaten die alleen SMBv1 ondersteunen of als deze apparaten verbinding met u proberen te maken, ontvangt u mogelijk een van de volgende foutberichten:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58
Wanneer een externe server een SMBv1-verbinding van deze client vereist en de SMBv1-client is geïnstalleerd, wordt de volgende gebeurtenis vastgelegd. Dit mechanisme controleert het gebruik van SMBv1 en wordt ook door de automatische verwijdering gebruikt om de timer van 15 dagen voor het verwijderen van SMBv1 in te stellen vanwege gebrek aan gebruik.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Wanneer een externe server een SMBv1-verbinding van deze client vereist en de SMBv1-client niet is geïnstalleerd, wordt de volgende gebeurtenis vastgelegd. Deze gebeurtenis is om te laten zien waarom de verbinding mislukt.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Op deze apparaten wordt windows waarschijnlijk niet uitgevoerd. Ze voeren waarschijnlijk oudere versies van Linux, Samba of andere soorten software van derden uit om SMB-services te leveren. Vaak worden deze versies van Linux en Samba zelf niet meer ondersteund.
Notitie
Windows 10, versie 1709, wordt ook wel 'Fall Creators Update' genoemd.
Meer informatie
Als u dit probleem wilt omzeilen, neemt u contact op met de fabrikant van het product dat alleen SMBv1 ondersteunt en vraagt u een software- of firmware-update aan die ONDERSTEUNING biedt voor SMBv2.02 of een latere versie. Zie het volgende artikel over het Windows- en Windows Server Storage Engineering Team-blog voor een huidige lijst met bekende leveranciers en hun SMBv1-vereisten:
Leasemodus
Als SMBv1 is vereist om toepassingscompatibiliteit te bieden voor verouderd softwaregedrag, zoals een vereiste om oplocks uit te schakelen, biedt Windows een nieuwe SMB-sharevlag die de leasemodus wordt genoemd. Met deze vlag wordt aangegeven of een share moderne SMB-semantiek uitschakelt, zoals leases en oplocks.
U kunt een share opgeven zonder oplocks of lease te gebruiken, zodat een verouderde toepassing kan werken met SMBv2 of een latere versie. Gebruik hiervoor PowerShell-cmdlets New-SmbShare of Set-SmbShare samen met de parameter -LeasingMode None.
Notitie
Gebruik deze optie alleen voor shares die vereist zijn door een toepassing van derden voor ondersteuning van verouderde systemen, indien de aanbieder aangeeft dat dit nodig is. Geef de leasemodus niet op voor gebruikersgegevensshares of CA-shares die worden gebruikt door Scale-Out bestandsservers. Dit komt doordat het verwijderen van oplocks en leases instabiliteit en gegevensbeschadiging in de meeste toepassingen veroorzaakt. De leasemodus werkt alleen in de modus Delen. Het kan worden gebruikt door elk clientbesturingssysteem.
Browsen in netwerkverkenner
De computerbrowserservice is afhankelijk van het SMBv1-protocol om het Windows Verkenner-netwerkknooppunt te vullen (ook wel netwerkwijk genoemd). Dit verouderde protocol is al lang verouderd, biedt geen routering en heeft beperkte beveiliging. Omdat de service niet kan functioneren zonder SMBv1, wordt deze tegelijkertijd verwijderd.
Als u echter nog steeds het netwerk 'Verkenner' moet gebruiken in thuis- en een kleine zakelijke werkgroepomgeving om Windows-computers op te sporen, kunt u de volgende stappen uitvoeren op uw Windows-computers die geen gebruik meer maken van SMBv1:
Start de diensten "Functiedetectieproviderhost" en "Functiedetectiebronpublicatie" en stel deze vervolgens in op AUTOMATISCHE (VERTRAAGDE START).
Wanneer u Explorer Network opent, schakelt u netwerkdetectie in wanneer u hierom wordt gevraagd.
Alle Windows-apparaten binnen dat subnet met deze instellingen worden nu weergegeven in het netwerk om te bladeren. Hierbij wordt gebruikgemaakt van het WS-DISCOVERY-protocol. Neem contact op met uw andere leveranciers en fabrikanten als hun apparaten nog steeds niet worden weergegeven in deze bladerlijst nadat de Windows-apparaten zijn weergegeven. Het is mogelijk dat ze dit protocol hebben uitgeschakeld of dat ze alleen SMBv1 ondersteunen.
Notitie
We raden u aan om stations en printers toe te wijzen in plaats van deze functie in te schakelen, wat nog steeds vereist dat u naar hun apparaten zoekt en bladert. In kaart gebrachte resources zijn gemakkelijker te vinden, vereisen minder training en zijn veiliger in gebruik. Dit geldt met name als deze resources automatisch worden verstrekt via Groepsbeleid. Een beheerder kan printers configureren voor locatie op andere methoden dan de verouderde computerbrowserservice met behulp van IP-adressen, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP, enzovoort.
Als u geen van deze tijdelijke oplossingen kunt gebruiken of als de fabrikant van de toepassing geen ondersteunde versies van SMB kan bieden, kunt u SMBv1 handmatig opnieuw inschakelen door de stappen in SMBv1, SMBv2 en SMBv3 in Windowsdetecteren, in- en uitschakelen.
Belangrijk
We raden u ten zeerste aan SMBv1 niet opnieuw te installeren. Dit komt doordat dit oudere protocol bekende beveiligingsproblemen heeft met betrekking tot ransomware en andere malware.
Best practices analyzer-berichten in Windows Server
Windows Server 2012 en hoger server-besturingssystemen bevatten een best practices analyzer (BPA) voor bestandsservers. Als u de juiste online richtlijnen voor het verwijderen van SMB1 hebt gevolgd, retourneert het uitvoeren van deze BPA een tegenstrijdig waarschuwingsbericht:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Belangrijk
U moet de richtlijnen van deze specifieke BPA-regel negeren, omdat deze verouderd is. De fout is voor het eerst gecorrigeerd in Windows Server 2022 en Windows Server 2019 in de cumulatieve update van 2022 april. We herhalen: schakel SMB 1.0 niet in.
Aanvullende verwijzingen
- SMB1- niet meer gebruiken