O SMBv1 não está instalado por padrão no Windows 10 versão 1709, no Windows Server versão 1709 e em versões posteriores
Resumo
Como o Windows 10 Fall Creators Update e o Windows Server, versão 1709 (RS3), o protocolo de rede SMBv1 (Protocolo SMB versão 1) não está mais instalado por padrão. Ele foi substituído por SMBv2 e protocolos posteriores a partir de 2007. A Microsoft preteriu publicamente o protocolo SMBv1 em 2014.
O SMBv1 tem o seguinte comportamento no Windows 10 e no Windows Server 2019 e em versões posteriores:
- Agora, o SMBv1 tem sub-recursos de cliente e servidor que podem ser desinstalados separadamente.
- O Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations não contêm mais o cliente ou servidor SMBv1 por padrão após uma instalação nova.
- O Windows Server 2019 e posterior não contém mais o cliente ou servidor SMBv1 por padrão após uma instalação nova.
- O Windows 10 Home e Windows 10 Pro não contêm mais o servidor SMBv1 por padrão após uma instalação nova.
- O Windows 11 não contém o servidor ou cliente SMBv1 por padrão após uma instalação nova.
- O Windows 10 Home e Windows 10 Pro ainda contêm o cliente SMBv1 por padrão após uma instalação nova. Se o cliente SMBv1 não for usado por 15 dias no total (excluindo o computador que está sendo desativado), ele se desinstala automaticamente.
- As atualizações locais e os pacotes de pré-lançamento do Insider do Windows 10 Home e Windows 10 Pro inicialmente não removem automaticamente o SMBv1. O Windows avalia o uso do cliente e do servidor SMBv1 e, se um deles não for usado por 15 dias no total (excluindo o tempo durante o qual o computador está desativado), o Windows o desinstalará automaticamente.
- As atualizações locais e os pacotes de pré-lançamento do Insider das edições do Windows 10 Enterprise, Windows 10 Education e Windows 10 Pro for Workstations não removem o SMBv1 automaticamente. Um administrador deve decidir desinstalar o SMBv1 nesses ambientes gerenciados.
- A remoção automática do SMBv1 após 15 dias é uma operação única. Se um administrador reinstalar o SMBv1, não haverá outra tentativa para desinstalá-lo.
- Os recursos SMB versão 2.02, 2.1, 3.0, 3.02 e 3.1.1 ainda são totalmente compatíveis e incluídos por padrão como parte dos binários SMBv2.
- Como o serviço Navegador do Computador depende do SMBv1, o serviço será desinstalado se o cliente ou servidor SMBv1 estiver desinstalado. Isso significa que o Explorer Network não pode mais exibir computadores Windows por meio do método de navegação de datagrama NetBIOS herdado.
- O SMBv1 ainda pode ser reinstalado em todas as edições do Windows 10 e Windows Server 2016.
- As máquinas virtuais do Windows Server criadas pela Microsoft para o Azure Marketplace não contêm os binários SMB1 e você não pode habilitar o SMB1. As VMs do Azure Marketplace de terceiros podem conter SMB1, entre em contato com o fornecedor para obter informações.
A partir do Windows 10, versão 1809 (RS5), o Windows 10 Pro não contém mais o cliente SMBv1 por padrão após uma instalação nova. Todos os outros comportamentos da versão 1709 ainda se aplicam.
Observação
O Windows 10, versão 1803 (RS4) Pro trata o SMBv1 da mesma maneira que o Windows 10, versão 1703 (RS2) e Windows 10, versão 1607 (RS1). Esse problema foi corrigido no Windows 10, versão 1809 (RS5). Você ainda pode desinstalar o SMBv1 manualmente. No entanto, o Windows não desinstalará automaticamente o SMBv1 após 15 dias nos seguintes cenários:
- Você fez uma instalação nova do Windows 10, versão 1803.
- Você atualizou o Windows 10, versão 1607 ou Windows 10, versão 1703 direto para o Windows 10, versão 1803 sem atualizar para o Windows 10, versão 1709.
Se você tentar se conectar a dispositivos que dão suporte apenas ao SMBv1 ou se esses dispositivos tentarem se conectar a você, você poderá receber uma das seguintes mensagens de erro:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack.
Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747
The specified network name is no longer available.
Unspecified error 0x80004005
System Error 64
The specified server cannot perform the requested operation.
Error 58
Quando um servidor remoto exigir uma conexão SMBv1 desse cliente e o cliente SMBv1 estiver instalado, o evento a seguir será registrado. Esse mecanismo audita o uso do SMBv1 e também é usado pelo desinstalador automático para definir o temporizador de 15 dias de remoção do SMBv1 devido à falta de uso.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Quando um servidor remoto exigir uma conexão SMBv1 desse cliente e o cliente SMBv1 não estiver instalado, o evento a seguir será registrado. Esse evento serve para mostrar por que a conexão falha.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: junkle.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Esses dispositivos provavelmente não estão executando o Windows. Eles provavelmente estão executando versões mais antigas do Linux, Samba ou outros tipos de software de terceiros para fornecer serviços de SMB. Muitas vezes, essas versões do Linux e do Samba não têm mais suporte.
Observação
O Windows 10, versão 1709 também é conhecido como "Fall Creators Update".
Mais informações
Para obter uma solução alternativa para esse problema, entre em contato com o fabricante do produto que dá suporte apenas ao SMBv1 e solicite uma atualização de software ou firmware que dê suporte ao SMBv2.02 ou a uma versão posterior. Para obter uma lista atual de fornecedores conhecidos e seus requisitos do SMBv1, consulte o seguinte artigo do blog da equipe de engenharia de Armazenamento do Windows e do Windows Server:
Modo de concessão
Se o SMBv1 for necessário para fornecer compatibilidade de aplicativos para o comportamento de software herdado, como um requisito para desabilitar oplocks, o Windows fornecerá um novo sinalizador de compartilhamento SMB conhecido como modo de concessão. Esse sinalizador especifica se um compartilhamento desabilita a semântica SMB moderna, como concessões e oplocks.
Você pode especificar um compartilhamento sem usar oplocks ou concessão para permitir que um aplicativo herdado funcione com o SMBv2 ou uma versão posterior. Para fazer isso, use os cmdlets New-SmbShare ou Set-SmbShare do PowerShell junto ao parâmetro -LeasingMode None.
Observação
Você deve usar essa opção somente em compartilhamentos exigidos por um aplicativo de terceiros para suporte herdado se o fornecedor indicar que ele é necessário. Não especifique o modo de concessão em compartilhamentos de dados de usuário ou compartilhamentos de CA usados por Servidores de Arquivos de Escalabilidade Horizontal. Isso ocorre porque a remoção de oplocks e concessões causa instabilidade e corrupção de dados na maioria dos aplicativos. O modo de concessão funciona apenas no modo de compartilhamento. Ele pode ser usado por qualquer sistema operacional cliente.
Navegação de rede do Explorer
O serviço de Navegador do computador depende do protocolo SMBv1 para preencher o nó de rede do Windows Explorer (também conhecido como "Vizinhança de Rede"). Esse protocolo herdado foi preterido há muito tempo, não roteia e tem segurança limitada. Como o serviço não pode funcionar sem o SMBv1, ele é removido ao mesmo tempo.
No entanto, se você ainda precisar usar a rede do Explorer em ambientes de grupo de trabalho doméstico e de pequenas empresas para localizar computadores baseados no Windows, siga estas etapas em seus computadores baseados em Windows que não usam mais o SMBv1:
Inicie os serviços "Host de Provedor da Descoberta de Função" e "Host de Provedor da Descoberta de Função" e defina-os como Automático (Início atrasado).
Ao abrir a rede do Explorer, habilite a descoberta de rede quando for solicitado.
Agora, todos os dispositivos Windows dentro dessa sub-rede e que têm essas configurações aparecerão em rede para navegação. Isso usa o protocolo WS-DISCOVERY. Entre em contato com outros fornecedores e fabricantes se mesmo assim os dispositivos não aparecerem nesta lista de navegação após a exibição dos dispositivos do Windows. É possível que eles tenham esse protocolo desabilitado ou que ofereçam suporte somente ao SMBv1.
Observação
É recomendável que você mapeie unidades e impressoras em vez de habilitar esse recurso, o que ainda necessita de pesquisa e navegação para seus dispositivos. Os recursos mapeados são mais fáceis de localizar, exigem menos treinamento e são mais seguros de usar. Isso é um fato, especialmente se esses recursos são fornecidos automaticamente por meio da Política de Grupo. Um administrador pode configurar impressoras para localização por métodos diferentes do serviço navegador de computador herdado usando endereços IP, Active Directory Domain Services (AD DS), Bonjour, mDNS, uPnP e assim por diante.
Se você não puder usar nenhuma dessas alternativas ou se o fabricante do aplicativo não puder fornecer versões com suporte do SMB, você poderá reabilitar o SMBv1 manualmente seguindo as etapas em Como detectar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows.
Importante
É altamente recomendável que você não reinstale o SMBv1. Isso ocorre porque esse protocolo mais antigo tem problemas de segurança conhecidos relacionados a ransomware e outros malwares.
Mensagens do analisador de melhores práticas do Windows Server
O Windows Server 2012 e os sistemas de operação de servidor posteriores contêm um BPA (Analisador de Práticas Recomendadas) para servidores de arquivos. Se você seguiu as diretrizes online corretas para desinstalar o SMB1, a execução deste BPA retornará uma mensagem de aviso contraditória:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Importante
Você deve ignorar as diretrizes dessa regra específica do BPA, pois ela foi preterida. O erro falso foi corrigido pela primeira vez no Windows Server 2022 e no Windows Server 2019 na atualização cumulativa de abril de 2022. Reforçando: não habilite o SMB 1.0.