Windows 11 Home: SMB1 wird deaktiviert und künftig entfernt

Windows[English]Microsoft hat gerade bekannt gegeben, dass man die Unterstützung für das SMB1-Protokoll in den Windows 11 Home Insider Builds standardmäßig deaktiviert. Damit wird die finale Phase eingeleitet, um die SMB1-Unterstützung in Windows endgültig aufs Altenteil zu schieben und auslaufen zu lassen. Hintergrund sind Sicherheitsüberlegungen, und es stehen ja SMB2 sowie SMB3 zur Verfügung. Problem wird allerdings sein, dass bestimmte Netzwerkverbindungen auf SMB1 angewiesen sind.


Anzeige

Unendliches Thema SMB1

Die Unterstützung für SMB1 (Server Message Block 1) unter Windows ist ein Thema, welches bereits seit Jahren auf der Agenda steht. Das Kürzel SMB steht für Server Message Block (frühere Bezeichnungen lauten als LAN-Manager- oder NetBIOS-Protokoll), ein Netzwerkprotokoll für Datei-, Druck- und andere Serverdienste in Rechnernetzen. Die Version 1 (SMBv1) des vor über 30 Jahren entworfenen Netzwerkprotokolls und speziell die Microsoft-Implementierung, gilt als sehr fehleranfällig und sicherheitskritisch. Zwischenzeitlich gibt es SMBv2 und SMBv3, so dass die Verwendung von SMBv1 in Windows-Netzwerken nicht mehr unbedingt erforderlich ist.

Zum Hintergrund: Im Mai 2017 infizierte der Erpressungstrojaner WannaCry weltweit tausende Computer (siehe Ransomware WannaCry befällt tausende Computer weltweit). Grund für die Verbreitung war auch eine Sicherheitslücke in der SMBv1-Implementierung von Windows (siehe SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server). Diese Sicherheitslücke war aber vor dem WannaCry-Befall durch Sicherheitsupdates von Microsoft geschlossen worden. Eigentlich hätte WannaCry nicht mehr die Sicherheitslücke ausnutzen können – aber die betroffenen Rechner waren ungepatcht. Die Pflege des SMBv1-Codes ist mit einem gewissen Aufwand verbunden und es lässt sich nicht ausschließen, dass in der Implementierung weitere Schwachstellen enthalten sind. Daher möchte Microsoft vorbeugen und forciert, dass die Leute auf SMBv2 oder SMBv3 umsteigen sollen. Microsoft hat daher bereits im September 2017 den Beitrag Stop using SMB1 veröffentlicht, in dem von der Verwendung von SMBv1 abgeraten wird. Es sei unsicher und den modernen Anforderungen nicht mehr gewachsen, hieß es.

Microsoft macht Ernst in Windows 11 Home

Ich bin über nachfolgenden Tweet sowie diesen Artikel der Kollegen von Bleeping Computer (Dr. Windows und Deskmodder haben ebenfalls Beiträge) auf den Techcommunity-Beitrag SMB1 now disabled by default for Windows 11 Home Insiders builds aufmerksam geworden.

Windows 11: SMB1 disabled

Im Beitrag bereitet Microsoft-Mitarbeiter Ned Pyle die Nutzer von Windows 11 Home darauf vor, dass SMB1 langsam aus dem Support verschwindet. Bereits seit 2017 (Windows 10 Fall Creators Update) werden Windows 10 und die korrespondierenden Windows Server-Versionen ohne standardmäßig installiertes SMB1 ausgeliefert.

Die Home- und Pro-Editionen verfügten aber weiterhin über den Client, damit Benutzer bei Bedarf eine SMB1-Unterstützung nachinstallieren konnten. Wurde auf dem Client nach insgesamt 15 Tagen Betriebszeit keine ausgehende Verwendung von SMB1 festgestellt, deinstallierte Windows 10 automatisch diese Funktion. Ab Windows 10 Version 1809 wurde die Installation des SMB1-Clients in den Pro-Editionen ebenfalls eingestellt.

Nun setzt sich diese Entwicklung bei Windows 11 fort. Nutzer, die eine Windows Insider Dev-Channel-Build in einer beliebigen Variante der Home Edition installieren, stellen fest, dass der SMB1-Client fehlt und nicht mit installiert wurde. Dies ist von Microsoft für die im Sommer erwartete nächste Hauptversion von Windows 11 als Standardverhalten geplant. Wird auf einem bestehenden Rechner mit Windows 11 aber SMB1 verwendet, bleibt der betreffende Client bei einem Funktionsupgrade erhalten. Zudem kann ein Administrator SMB1 bei Bedarf nachträglich als Feature installieren.

In Zukunft irgendwann ohne SMB1

In einer der künftigen Versionen von Windows 11 plant Microsoft dann die Unterstützung durch einen SMB1-Client komplett zu entfernen. Windows und Windows Server werden dann keine Treiber und DLLs für eine SMB1-Unterstützung mehr enthalten. Microsoft will in einigen Monaten mehr Details dazu bekannt geben.


Anzeige

Lediglich für Organisationen und Benutzer, die unbedingt noch auf SMB1 angewiesen sind, wird Microsoft dann ein (nicht unterstütztes) Out-of-Band-Installationspaket bereitstellen. Dies soll dann sicherstellen, dass noch Verbindungen zu alten Fertigungsmaschinen, medizinischen Geräten, NAS für Verbraucher usw., die ausschließlich über SMB1 kommunizieren, hergestellt werden können. Das wird vor allem Multifunktionsgeräte mit Scan-Funktion betreffen, die die Scans per SMB1 auf Netzwerkfreigaben speichern können.

Microsoft-Mitarbeiter Ned Pyle schwurbelt da im Techcommunity-Beitrag herum, dass "dieses Verhalten der Home-Edition den Verbrauchern, die noch sehr alte Geräte verwenden, Schmerzen bereiten" werde. Es sei eine Gruppe, die wahrscheinlich am wenigsten verstehen werde, warum ihr neuer Windows 11-Laptop keine Verbindung zu ihrer alten Netzwerkfestplatte herstellen kann. Ich denke, da wird noch einiges an Zoff aufkommen – aber die Information ist zumindest hier im Blog vorhanden. Und zur Not kann man ja die (unsichere) "Out-of-Band-Installationspaket-Lösung" nachinstallieren, um die alten Schätzchen weiter verwenden zu können.

Ähnliche Artikel:
SMBv1-FAQ und Windows-Netzwerke
Windows 10: SMBv1-Klippen in Version 1803
Samba 4.11 deaktiviert SMBv1 und unterstützt SMBv2
Microsoft empfiehlt SMBv1 bei Exchange zu deaktivieren
Windows 10 20H2/21H1: Explorer zeigt nicht alle Server der Domänenumgebung


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Windows abgelegt und mit Windows 11 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Windows 11 Home: SMB1 wird deaktiviert und künftig entfernt

  1. mvo sagt:

    Dass man das zuerst in der Home Version umsetzt, ist nun wirklich nicht nachvollziehbar. Die Home Version wird doch "by Design" nur in kleinen Netzen eingesetzt, bei denen oft überhaupt kein Schutz vorhanden, weil nicht nötig ist, da diese meist nur von einer Person oder einer Familie betrieben werden. Alte NAS für die Datensicherungen oder die Familienfotos werden dann unbrauchbar. Veraltete Protokolle stellen doch eher in Unternehmens LANs eine Gefahr dar. Dass ein "Out-of-Band-Installationspaket" zur Verfügung gestellt wird und separat installiert werden muss, dürfte die meisten Home Anwender überfordern. Ich finde die Lösung in Windows 10 eigentlich völlig okay. Im Standard deaktiviert, auf Wunsch aktivierbar, sogar auf Zeit, so dass die Unterstützung wieder entfernt wird, wenn SMB1 nicht benutzt wird. Windows 11 ist von MS doch ein einziges Geschenk an die Hardwareindustrie.

    • Carlos sagt:

      Mit Windows 11 und solchen Funktionen bzw. Trennungen wird derzeit der nächste Schritt von allem in die (von wem auch immer kontrollierte) Cloud umgesetzt.

      Lokale selbstbestimmte Daten und/oder irgendwelche Interoperabilität mit sonstigen lokalen Systemen und Geräten ist dabei nicht mehr vorgesehen.

      Gleichwelche Nutzung des dann "sicheren Internets" bzw. aller dann teils verpflichtend dort zu nutzenden "sicheren Dienstleistungen" werden eines schönen Tages ohne persönliches digitales Zertifikat nicht mehr möglich sein.

      Die Gewöhnung an solche Zertifikate, ohne die man derzeit z.B. keine Reisen mehr machen kann, ist bekanntermassen bereits umgesetzt und wird von einem Grossteil der Menschen bedenkenlos akzeptiert.

      You will own nothing and you will be happy.

      • mvo sagt:

        Ins falsche Forum verirrt? Wir sind hier bei "Borns IT- und Windows-Blog" und nicht bei Telegram in irgendeiner Schwurbel-Gruppe .

        • Carlos sagt:

          Gerade in diesem Forum sollten das übliche Leser langsam aber sicher fast alle verstanden haben. Und wer es heute noch nicht verstehen kann oder will, einfach weiter abwarten…

          • Ralf S. sagt:

            "Und wer es heute noch nicht verstehen kann oder will, einfach weiter abwarten…"

            So ist es! Genau die richtige Einstellung.
            Habe es längst auch aufgegeben, mich diesbzgl. mit kritischen Überlegungen, Warnungen, Gedankenspielen, etc. beruflich wie auch privat "in die Nesseln zu setzen" … Ich bin mehr oder weniger Internetnutzer von Anfang an und viele Entwicklungen der aktuellen Zeit, haben sich (rückblickend betrachtet) längstens mit früheren Prognosen und Gedankenspielen bewahrheitet – leider nicht immer nur zum Guten … Die jüngeren Mitmenschen – vor allem die, die mit der digitalen Welt aufgewachsen sind – können sich eine Zeit, in der es tatsächlich noch kein Internet und keine PCs gab, nicht einmal mehr ansatzweise vorstellen. Somit fehlt diesen auch leider der Maßstab, was früher z. B. doch evtl. besser war und was uns die Zukunft diesbzgl. gelehrt hat. Bei diesen Menschen gilt man immer sehr schnell als komischer Kautz, Zukunftsverweigerer und u. U. auch mal als Verschwörungstheoretiker. Muss man mit leben (lernen) und freut sich dann dafür öfter insgeheim, wenn wieder mal einer von denen "auf die Schnauze geflogen ist" (und man selbst schon im Voraus wusste, dass es so kommen wird … :-)) Aber jede Generation muss sich ihre blutigen Nasen abholen. Habe über meine fast 93jährige Oma und ihre Weisheiten auch öfters nur mild-müde gelächelt und mich insgeheim darüber lustig gemacht. Heute denke ich öfters an sie und ihre Lebensweisheiten zurück und denke: Wow! Die hatte ja schon sehr oft recht …! ;-)

          • GP2000 sagt:

            @Carlos, Ralf S.
            Euren comments ist nichts mehr hinzuzufügen *thumbs up*

        • Hansi sagt:

          Ist hier wohl nicht das richtige Forum für solche Themen, aber Pläne wie ID2020 und Great Reset gibt es sehr wohl.

      • Dat Bundesferkel sagt:

        Merkwürdige Schlußfolgerung, die Du da ziehst. Das entfernen von SMBv1/CIFS ist unlängst überfällig und hätte schon längst Microsoft-weit vollzogen hätten müssen.

        Seit 2015 habe ich das Protokoll nirgends mehr im Einsatz. Es gibt keinerlei Konflikte / Probleme deshalb. Was nicht heißen soll, daß es diese nicht geben kann. Aber dann muß man sich eben mal die Mühe machen und nach zeitgemäßem Ersatz schauen.

  2. Andreas F. sagt:

    Ich kann das soagr sehr gut verstehen das die bei Win 11 Home anfangen damit.

    Das ist die meist eingesetzte Version bei Nutzern ohne tieferen Hintergrund. Daher ist hier auch die Gefahr höher. Und im Pro und Enterprise Bereich sollte man schon soweit sein, dass man es deaktiviert bzw. Installiert hat, wenn man es wirklich nicht mehr benötigt. Es gibt sicherlich noch die ein oder andre Fertigungsanlage oder Medizinisches Gerät welches dem bedarf, da die Laufzeiten nun eimmal hier sind und auch in gesicherten Netzen stehen (SOLLTEN). Da muss ich mir dann etwas überlegen, entweder statt ich eine paar PCs mit smb1 Unterstützung aus oder ich muss mir eben einen Win Server oder TrueNas als Transferserver einrichten, sodass ich das Sicherheitsrisiko überschaubar halten kann. (hier ist dann sicherlich ein Linux oder Unix System im Vorteil)

  3. MWC sagt:

    Da gibt es sicher verwunderte Gesichter wenn bei unbedarften Usern z.B. die alte NAS oder die Scanfunktion in ein Ordner des MFCs nicht mehr geht.
    Aber der Schritt ist logisch, wichtig und notwendig, auch wenn er wieder so einiges an unnötigen Elektroschrott produzieren lässt. Auch wenn die Hardware funktionstüchtig wäre.

    • Andreas F. sagt:

      @mwc

      Das ist aber wieder eine gesellschaftliches Problem.
      Alles möglichst billig.

      Würden sie Hersteller, etwas leistungsfähige Hardware verbauen als notwendig und dann auch Software Updates anbieten, könnten Geräte über mehrere Jahre hinweg sicher und aktuell laufen, so dass man smb2 auch nachschieben könnte.
      Aber das würde das Gerät teuer machen und das will der Kunde nicht zahlen.

      • Luzifer sagt:

        Naja diese Geiz ist Geil Mentalität wurde aber auch aktiv von den Firmen gefördert.
        Updates? kriegst du ja nicht mal überall innerhalb der Garantiezeit, darüber hinaus? Nö!
        Außerdem ist der Preis keine Ausrede bei der Sicherheit zu schlampen. Das Problem ist das es in der IT & Software keine Produkthaftung gibt! Müssten die Hersteller da geradestehen sehe das vollkommen anders aus.

        • Luzifer sagt:

          /edit/
          wenn ich Kaffee verkaufe und so nen Schnulli verbrennt sich daran den Mund, darf man bluten.
          Wenn die Software Fehler hat und sich Daten klauen läßt die Millionenschäden erzeugen, zuckt man nur mit der Schulter!

          Gibt kaum eine andere Branche wo solche Schlamperei toleriert wird. die Bankster Szene evtl. noch und die Automobilbranche darf sich auch viel erlauben. DAs wars dann aber auch schon.

      • Henry Barson sagt:

        SMB2 nachschieben? Auf MS-DOS? Zum Glück gibt es immer noch NAS-Büchsen, wo man die Kompatibilität gezwungenermaßen auf SMBv1 mit NTLMv1 herunterschrauben kann, damit die Maschinen, die dank ordentlicher Wartung ihren Dienst wie vor 25 Jahren vollrichten, in ihrem isolierten Netz nach wie vor mit Fertigungsdaten gefüttert werden können. Und nein, es würde nicht reichen den Beckhoff-Ansteuerungs-PC für schlappe 6000 Euro zu tauschen, nein, man müsste auch die Twincat-Steuereinheit aufrüsten und neu programmieren lassen, mit allen Fettnäpfchen, die bei sowas eben auftreten. Ein kompletter neuer Maschinenpark kostet jenseits von Gut & Böse.

      • Tom sagt:

        Moin,
        Ich arbeite in der Drucker Industrie.
        Und bei uns bekommen Geräte der letzten 5 Jahre noch FW Updates. (Teilweise auch noch älter)
        Treiber Unterstützung ist ca 10 Jahre bei uns Problemlos drinnen.

        Aber.
        Wir arbeiten für den Büro / Firmen Bereich.
        Und deshalb kosten unsere Geräte auch min das 1-5 fache als vergleichbare Geräte (Seitenzahl zB) aus dem Consumer Bereich.
        Wie bei PC und Laptops auch.
        Aber wie bei denen auch halten unsere Geräte viel länger.

        Deswegen habe Ich privat nur Business PC :-)

        (Ich finde die Preise NICHT überteuert ! Es steckt auch in den Business Bereich Geräten viel mehr drinnen, so das der Unterschied mehr als gerechtfertigt ist.
        Über Zeit gesehen, sagen wir 4 Jahre, sind die Geräte im Verhältnis billiger. Aber nicht am Anfang ;-) )

  4. xexex sagt:

    Wurde auch mal höchste Eisenbahn! Diese veraltete und unsichere Technik hätte schon vor Jahren endgültig entfernt müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.