サーバー メッセージ ブロック バージョン 1 (SMBv1) プロトコルは非推奨となり、Windows および Windows Server の最新バージョンでは既定ではインストールされなくなりました。 この記事では、SMBv1 の削除の概要、さまざまな Windows エディションでの動作、および従来の互換性のための代替手段について説明します。 SMBv1 に関連する問題に対処する方法、ベスト プラクティスを調べる方法、ネットワーク環境に存在しないことの影響を理解する方法について説明します。
SMBv1 の既定の動作
Windows 10 バージョン 1709 および Windows Server バージョン 1709 以降、サーバー メッセージ ブロック バージョン 1 (SMBv1) ネットワーク プロトコルは既定ではインストールされなくなりました。 SMBv2 以降のプロトコルは、2007 年から SMBv1 よりも優先されます。 Microsoft は、2014 年に SMBv1 プロトコルを一般に非推奨にしました。
SMBv1 の Windows 10 および Windows Server 2019 以降のバージョンでは、次の動作があります。
SMBv1 には、個別にアンインストールできるクライアントとサーバーの両方のサブ機能が用意されています。
Windows 10 Enterprise、Windows 10 Education、Windows 10 Pro for Workstations には、クリーン インストール後に SMBv1 クライアントもサーバーも既定で含まれなくなりました。
Windows Server 2019 以降では、クリーン インストール後に SMBv1 クライアントまたはサーバーが既定では含まれていません。
Windows 10 Home と Windows 10 Pro には、クリーン インストール後は既定で SMBv1 サーバーが含まれなくなりました。
Windows 11 には、クリーン インストール後に SMBv1 サーバーまたはクライアントが既定で含まれません。
Windows 10 Home および Windows 10 Pro バージョン 1709 には、クリーン インストール後も SMBv1 クライアントが既定で含まれています。 SMBv1 クライアントが合計で 15 日間使用されていない場合 (オフになっているコンピューターを除く)、自動的にアンインストールされます。 Windows 10 バージョン 1809 以降、Windows 10 Pro には、クリーン インストール後に SMBv1 クライアントが既定で含まれなくなりました。
Windows 10 Home と Windows 10 Pro のインプレース アップグレードと Insider フライトでは、最初は SMBv1 は自動的に削除されません。 Windows は SMBv1 クライアントとサーバーの使用状況を評価し、そのうちの 1 つが合計で 15 日間使用されていない場合 (コンピューターがオフになっている時間を除く)、Windows によって自動的にアンインストールされます。
Windows 10 Enterprise、Windows 10 Education、Windows 10 Pro for Workstations エディションのインプレース アップグレードと Insider フライトでは、SMBv1 は自動的に削除されません。 管理者は、これらの管理対象環境で SMBv1 をアンインストールすることを決定する必要があります。
15 日後の SMBv1 の自動削除は、1 回限りの操作です。 管理者が SMBv1 を再インストールした場合、それ以上アンインストールは行われません。
SMB バージョン 2.02、2.1、3.0、3.02、および 3.1.1 の機能は引き続き完全にサポートされ、SMBv2 バイナリの一部として既定で含まれています。
Computer Browser サービスは SMBv1 に依存しているため、SMBv1 クライアントまたはサーバーがアンインストールされた場合、サービスはアンインストールされます。 SMBv1 がない場合、Explorer Network では、従来の NetBIOS データグラム参照方法を使用して Windows コンピューターを表示できなくなります。
SMBv1 は、Windows 10 および Windows Server 2016 のすべてのエディションで再インストールできます。
Microsoft for Azure Marketplace によって作成された Windows Server 仮想マシンには SMB1 バイナリが含まれていないため、SMB1 を有効にすることはできません。 サード パーティの Azure Marketplace VM には SMB1 が含まれている場合があります。詳細については、ベンダーにお問い合わせください。
注
Windows 10 バージョン 1803 Pro は、Windows 10 バージョン 1703 および Windows 10 バージョン 1607 と同じ方法で SMBv1 を処理します。 この問題は、Windows 10 バージョン 1809 で修正されました。 SMBv1 は引き続き手動でアンインストールできます。 ただし、次のシナリオでは、15 日後に Windows によって SMBv1 が自動的にアンインストールされることはありません。
- Windows 10 バージョン 1803 のクリーン インストールを行います。
- Windows 10 バージョン 1607 または Windows 10 バージョン 1703 を Windows 10 バージョン 1803 に直接アップグレードする場合は、最初に Windows 10 バージョン 1709 にアップグレードする必要はありません。
SMBv1 デバイスに接続するときのエラー メッセージ
SMBv1 のみをサポートするデバイスに接続しようとすると、またはこれらのデバイスがユーザーに接続しようとすると、次のいずれかのエラー メッセージが表示されることがあります。
You can't connect to the file share because it's not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher. For more info on resolving this issue, see: https://go.microsoft.com/fwlink/?linkid=852747.The specified network name is no longer available.Unspecified error 0x80004005System Error 64The specified server cannot perform the requested operation.Error 58
リモート サーバーがこのクライアントからの SMBv1 接続を必要とし、SMBv1 クライアントがインストールされている場合、次のイベントがログに記録されます。 このメカニズムは、SMBv1 の使用を監査し、使用不足のため SMBv1 を削除する 15 日間のタイマーを設定する自動アンインストーラーによっても使用されます。
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32002
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
The local computer received an SMB1 negotiate response.
Dialect:
SecurityMode
Server name:
Guidance:
SMB1 is deprecated and should not be installed nor enabled. For more information, see https://go.microsoft.com/fwlink/?linkid=852747.
リモート サーバーがこのクライアントから SMBv1 接続を必要とし、SMBv1 クライアントがインストールされていない場合、次のイベントがログに記録されます。 このイベントは、接続が失敗する理由を示します。
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 32000
Task Category: None
Level: Info
Keywords: (128)
User: NETWORK SERVICE
Computer: computer1.contoso.com
Description:
SMB1 negotiate response received from remote device when SMB1 cannot be negotiated by the local computer.
Dialect:
Server name:
Guidance:
The client has SMB1 disabled or uninstalled. For more information: https://go.microsoft.com/fwlink/?linkid=852747.
これらのデバイスでは、Windows が実行されていない可能性があります。 古いバージョンの Linux、Samba、またはその他の種類のサードパーティ製ソフトウェアを実行して SMB サービスを提供している可能性が高くなります。 多くの場合、これらのバージョンの Linux と Samba 自体はサポートされなくなりました。
SMBv1 の回避策
SMBv1 のみをサポートする製品の製造元に連絡し、SMBv2.02 以降のバージョンをサポートするソフトウェアまたはファームウェアの更新プログラムを要求する必要があります。 既知のベンダーとその SMBv1 要件の現在の一覧については、次の Windows および Windows Server ストレージ エンジニアリング チームのブログ記事を参照してください。
更新プログラムが利用できない場合は、次の回避策を使用して、レガシ アプリケーションが SMBv2 以降のバージョンで動作できるようにします。 ただし、これらの回避策は、ベンダーが必須と述べている場合にのみ、最後の手段としてのみ使用する必要があります。
これらの回避策を使用できない場合、またはアプリケーションの製造元がサポートされているバージョンの SMB を提供できない場合は、「 Windows で SMBv1、SMBv2、SMBv3 を検出、有効化、無効化する方法」の手順に従って、SMBv1 を手動で再度有効にすることができます。
Warnung
SMBv1 を再インストールしないことを強くお勧めします。 この古いプロトコルには、ランサムウェアやその他のマルウェアに関する既知のセキュリティの問題があります。
リース モード
SMBv1 が従来のソフトウェア動作 (oplock を無効にする要件など) のアプリケーション互換性を提供する必要がある場合、Windows には リース モードと呼ばれる SMB 共有フラグが用意されています。 このフラグは、共有がリースや操作ロックなどの最新の SMB セマンティクスを無効にするかどうかを指定します。
従来のアプリケーションが SMBv2 以降のバージョンで動作できるように、oplocks またはリースを使用せずに共有を指定できます。 リース モードを設定するには、New-SmbShare パラメーターと共に Set-SmbShare または -LeasingMode None PowerShell コマンドレットを使用します。 詳細については、 New-SmbShare コマンドレットと Set-SmbShare コマンドレット の ドキュメントを参照してください。
注意事項
このオプションは、ベンダーが必要と示している場合に、レガシ サポートのためにサード パーティ製アプリケーションで必要な共有でのみ使用する必要があります。 Scale-Out ファイル サーバーで使用されるユーザー データ共有または CA 共有にリース モードを指定しないでください。 oplock とリースを削除すると、ほとんどのアプリケーションで不安定になり、データが破損します。 リース モードは共有モードでのみ機能します。
エクスプローラー ネットワークの参照
Computer Browser サービスは、SMBv1 プロトコルに依存して、Windows Explorer ネットワーク ノード ( ネットワーク 近隣とも呼ばれます) を設定します。 このレガシ プロトコルは、長い間非推奨であり、ルーティングされず、セキュリティが制限されています。 サービスは SMBv1 なしでは機能できないため、同時に削除されます。
ただし、ホームおよび小規模ビジネス ワークグループ環境でエクスプローラー ネットワークを使用して、SMBv1 を使用しなくなった Windows ベースのコンピューターを検索する必要がある場合は、 Function Discovery Provider Host サービスと Function Discovery Resource Publication サービスを起動し、自動 (遅延開始) に設定します。 Explorer Network を開くときに、メッセージが表示されたらネットワーク検出を有効にします。
これらの設定を持つそのサブネット内のすべての Windows デバイスは、参照のためにネットワークに表示されます。 このメソッドでは、 WS-DISCOVERY プロトコルを使用します。 Windows デバイスが表示された後も、そのデバイスがこの参照リストに表示されない場合は、他のベンダーや製造元に問い合わせてください。 このプロトコルが無効になっているか、SMBv1 のみをサポートしている可能性があります。
この機能を有効にするのではなく、ドライブとプリンターをマップすることをお勧めします。この機能では、デバイスの検索と参照が必要です。 マップされたリソースは見つけやすく、必要なトレーニングも少なく、使用する方が安全です。 これは、これらのリソースがグループ ポリシーを通じて自動的に提供される場合に特に当てはまります。 管理者は、IP アドレス、Active Directory Domain Services (AD DS)、Bonjour、mDNS、uPnP などを使用して、従来の Computer Browser サービス以外の方法で場所のプリンターを構成できます。
Windows Server のベスト プラクティス アナライザー メッセージング
Windows Server 2012 以降には、ファイル サーバー用のベスト プラクティス アナライザー (BPA) が含まれています。 SMB1 をアンインストールするための正しいオンライン ガイダンスに従った場合、この BPA を実行すると、矛盾した警告メッセージが返されます。
Title: The SMB 1.0 file sharing protocol should be enabled
Severity: Warning
Date: 3/25/2020 12:38:47 PM
Category: Configuration
Problem: The Server Message Block 1.0 (SMB 1.0) file sharing protocol is disabled on this file server.
Impact: SMB not in a default configuration, which could lead to less than optimal behavior.
Resolution: Use Registry Editor to enable the SMB 1.0 protocol.
この特定の BPA 規則のガイダンスは非推奨であるため、無視する必要があります。 誤ったエラーは、2022 年 4 月の累積的な更新プログラムの Windows Server 2022 および Windows Server 2019 で最初に修正されました。 SMB 1.0 を有効にしないでください。