Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Протокол блока сообщений сервера версии 1 (SMBv1) устарел и больше не устанавливается по умолчанию в современных версиях Windows и Windows Server. В этой статье представлен обзор удаления SMBv1, его поведения в различных выпусках Windows и альтернатив для устаревшей совместимости. Узнайте, как решать проблемы, связанные с SMBv1, а также изучите рекомендации и поймите последствия его отсутствия в сетевых средах.
Поведение по умолчанию для SMBv1
Так как Windows 10 версии 1709 и Windows Server версии 1709, сетевой протокол блока сообщений сервера версии 1 (SMBv1) больше не установлен по умолчанию. Протоколы SMBv2 и более поздних версий заменены SMBv1 начиная с 2007 года. Корпорация Майкрософт публично не рекомендует протокол SMBv1 в 2014 году.
SMBv1 имеет следующее поведение в Windows 10 и Windows Server 2019 и более поздних версиях:
ТЕПЕРЬ SMBv1 имеет как клиентские, так и серверные вложенные функции, которые можно удалить отдельно.
Windows 10 Корпоративная, Windows 10 для образовательных учреждений и Windows 10 Pro для рабочих станций больше не содержат клиент или сервер SMBv1 по умолчанию после чистой установки.
Windows Server 2019 и более поздних версий больше не содержит клиент ИЛИ сервер SMBv1 по умолчанию после чистой установки.
Windows 10 Home и Windows 10 Pro больше не содержат сервер SMBv1 по умолчанию после чистой установки.
Windows 11 по умолчанию не содержит ни сервера, ни клиента SMBv1 после чистой установки.
Windows 10 Home и Windows 10 Pro версии 1709 по-прежнему содержат клиент SMBv1 по умолчанию после чистой установки. Если клиент SMBv1 не используется в течение 15 дней (за исключением выключенного компьютера), он автоматически удаляется. Начиная с Windows 10 версии 1809, Windows 10 Pro больше не содержит клиент SMBv1 по умолчанию после чистой установки.
Родные обновления и предварительные версии Windows 10 Home и Windows 10 Pro изначально не удаляют автоматически протокол SMBv1. Windows оценивает использование клиента и сервера SMBv1, и если любой из них не используется в течение 15 дней (за исключением времени отключения компьютера), Windows автоматически удаляет его.
Обновления на месте и рейсы предварительной оценки выпусков Windows 10 Корпоративная, Windows 10 для образовательных учреждений и Windows 10 Pro для рабочих станций не автоматически удаляют SMBv1. Администратор должен решить удалить SMBv1 в этих управляемых средах.
Автоматическое удаление SMBv1 через 15 дней является однократной операцией. Если администратор переустановит SMBv1, никакие дальнейшие попытки удалить его не будут.
Функции SMB версии 2.02, 2.1, 3.0, 3.02 и 3.1.1 по-прежнему полностью поддерживаются и включены по умолчанию в двоичные файлы SMBv2.
Так как служба "Браузер компьютеров" зависит от SMBv1, служба удаляется, если клиент ИЛИ сервер SMBv1 удален. Без SMBv1 сеть обозревателя больше не может отображать компьютеры Windows с помощью устаревшего метода просмотра диаграммы данных NetBIOS.
SMBv1 по-прежнему можно переустановить во всех выпусках Windows 10 и Windows Server 2016.
Виртуальные машины Windows Server, созданные Корпорацией Майкрософт для Azure Marketplace, не содержат двоичные файлы SMB1 и нельзя включить SMB1. Сторонние виртуальные машины Azure Marketplace могут содержать SMB1; обратитесь к своему поставщику за информацией.
Note
Windows 10 версии 1803 Pro обрабатывает SMBv1 таким же образом, как и Windows 10 версии 1703 и Windows 10 версии 1607. Эта проблема устранена в Windows 10 версии 1809. Вы по-прежнему можете удалить SMBv1 вручную. Однако Windows не будет автоматически удалять SMBv1 через 15 дней в следующих сценариях:
- Вы выполняете чистую установку Windows 10 версии 1803.
- Обновление Windows 10 версии 1607 или Windows 10 версии 1703 до Windows 10 версии 1803 без первого обновления до Windows 10 версии 1709.
Сообщения об ошибках при подключении к устройствам SMBv1
Если вы пытаетесь подключиться к устройствам, поддерживающим только SMBv1, или если эти устройства пытаются подключиться к вам, может появиться одно из следующих сообщений об ошибках:
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747.The specified network name is no longer available.Unspecified error 0x80004005System Error 64The specified server cannot perform the requested operation.Error 58
Если удаленному серверу требуется подключение SMBv1 от этого клиента, а клиент SMBv1 установлен, регистрируется следующее событие. Этот механизм проверяет использование SMBv1 и также используется автоматическим средством удаления для установки 15-дневного таймера удаления SMBv1 из-за отсутствия использования.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
Если удаленному серверу требуется подключение SMBv1 от этого клиента, а клиент SMBv1 не установлен, регистрируется следующее событие. Это событие показывает, почему подключение завершается сбоем.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
Эти устройства, скорее всего, не работают под управлением Windows. Они, скорее всего, работают с более старыми версиями Linux, Samba или другими типами стороннего программного обеспечения для предоставления служб SMB. Часто эти версии Linux и Samba больше не поддерживаются.
Обходные пути для SMBv1
Вы должны обратиться к производителю продукта, который поддерживает только SMBv1, и запросить обновление программного обеспечения или встроенного ПО, которое поддерживает SMBv2.02 или более позднюю версию. Текущий список известных поставщиков и их требования SMBv1 см. в следующей статье блога группы разработчиков службы хранилища Windows и Windows Server:
Если обновление недоступно, можно использовать следующие обходные пути, чтобы разрешить устаревшим приложениям работать с SMBv2 или более поздней версией. Однако эти обходные пути следует использовать только в качестве последнего способа, и только если поставщик утверждает, что они необходимы.
Если вы не можете использовать какие-либо из этих обходных решений или если производитель приложений не может предоставлять поддерживаемые версии SMB, вы можете повторно включить SMBv1 вручную, выполнив действия, описанные в разделе "Как обнаружить, включить и отключить SMBv1, SMBv2 и SMBv3 в Windows".
Warning
Настоятельно рекомендуется не переустановить SMBv1. Этот старый протокол имеет известные уязвимости в безопасности в отношении вымогательских программ и других вредоносных программ.
Leasing mode
If SMBv1 is required to provide application compatibility for legacy software behavior, such as a requirement to disable oplocks, Windows provides an SMB share flag known as leasing mode. Этот флаг указывает, отключает ли общий ресурс такие современные элементы семантики SMB, как арендные договора и блокировки.
Вы можете указать общую папку без использования оплоков или аренды, чтобы разрешить устаревшему приложению работать с SMBv2 или более поздней версией. Чтобы задать режим аренды, используйте New-SmbShare или Set-SmbShare командлеты PowerShell вместе с параметром -LeasingMode None. For more information, see the New-SmbShare and Set-SmbShare cmdlet documentation.
Caution
Этот параметр следует использовать только для общих папок, необходимых стороннему приложению для поддержки устаревших версий, если поставщик утверждает, что он требуется. Не указывайте режим аренды для общих папок пользователей или общих папок ЦС, используемых Scale-Out файловых серверах. Удаление блокировок и аренды приводит к нестабильности и повреждению данных в большинстве приложений. Режим аренды работает только в режиме общего доступа.
Просмотр сетевых ресурсов в Проводнике
The Computer Browser service relies on the SMBv1 protocol to populate the Windows Explorer Network node (also known as Network Neighborhood). Этот устаревший протокол долго не рекомендуется использовать, не маршрутизирует и имеет ограниченную безопасность. Так как служба не может работать без SMBv1, она удаляется одновременно.
Однако если вам по-прежнему нужно использовать сеть проводника в домашних и рабочих группах малого бизнеса, чтобы найти компьютеры под управлением Windows, которые больше не используют SMBv1, запустите службы хост-поставщика обнаружения функций и публикации ресурсов обнаружения функций, а затем установите их в режим автоматический (отложенный запуск). При открытии сети обозревателя включите обнаружение сети при появлении запроса.
Все устройства Windows в этой подсети, имеющие эти параметры, отображаются в сети для просмотра. This method uses the WS-DISCOVERY protocol. Обратитесь к другим поставщикам и производителям, если их устройства по-прежнему не отображаются в этом списке обзора после появления устройств Windows. Возможно, у них этот протокол отключен или поддерживается только SMBv1.
Мы рекомендуем сопоставить диски и принтеры вместо включения этой функции, поскольку она всё равно требует поиска и просмотра их устройств. Сопоставленные ресурсы проще находить, требовать меньше обучения и безопаснее использовать. Это особенно верно, если эти ресурсы предоставляются автоматически с помощью групповой политики. Администратор может настроить принтеры для расположения с помощью методов, отличных от устаревшей службы браузера компьютеров, с помощью IP-адресов, доменных служб Active Directory (AD DS), Bonjour, mDNS, uPnP и т. д.
Анализатор обмена сообщениями по лучшим практикам Windows Server
Windows Server 2012 и более поздние версии содержат анализатор рекомендаций (BPA) для файловых серверов. Если вы следовали правильному онлайн руководству по удалению SMB1, выполнение этого инструмента BPA выдаст противоречивое предупреждение:
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
Руководство по этому конкретному правилу BPA следует игнорировать, так как оно устарело. Ложная ошибка была исправлена в Windows Server 2022 и Windows Server 2019 в накопительном обновлении от апреля 2022 года. Не включите SMB 1.0.