SMB 1.0 abschalten - Weg mit alten Zöpfen

Lesezeit
4 Minuten
Bis jetzt gelesen

SMB 1.0 abschalten - Weg mit alten Zöpfen

05.01.2018 - 12:34
Veröffentlicht in:

Das sprichwörtliche Abschneiden alter Zöpfe wird in der IT-Welt regelmäßig vermieden. Oft aus gutem Grund halten Firmen an Altem und Bewährtem fest – Rückwärtskompatibilität ist immer ein schlagkräftiges Argument. Doch ist in der IT-Sicherheit besonders darauf zu achten, alte Zöpfe rechtzeitig loszuwerden. Dieser Security-Tipp macht Sie zum Protokoll-Coiffeur für Ihre Windows-Systeme und zeigt, wie Sie sich zum Wohle der Sicherheit vom über 30 Jahre alten SMBv1-Protokoll trennen.

Protokolle bilden die Grundlage der Kommunikation von Computern über ein Netzwerk. Daher ist es notwendig, die Protokolle selbst möglichst sicher zu gestalten, um eine sichere Kommunikation zu ermöglichen. TLS als Protokoll oberhalb der Transportschicht hat sich dafür etabliert, um unterschiedliche Anwendungsprotokolle grundlegend abzusichern. Mit Blick auf den Security-Tipp des letzten Monats sei festgehalten, dass die Sicherheit von TLS-Kommunikation maßgeblich davon abhängt, alte Protokollversionen wie SSLv3 und TLS 1.0 beziehungsweise entsprechende Verfahren zu deaktivieren, um Lücken wie POODLE und BEAST effektiv zu verhindern.

Die Ransomware WannaCry nutzte im letzten Jahr die Schwächen einer alten Version des SMB-Protokolls für die rasante Verbreitung auf unterschiedlichen Opfersystemen. SMB steht dabei für Server Message Block, das ursprünglich 1983 entwickelt wurde. Seit Windows NT 4 verwendet Microsoft für die Datei- und Druckerfreigabe seiner Systeme das auf SMB basierende und etwas erweiterte Protokoll CIFS (Common Internet File System). In Windows 2000 heißt das Protokoll wieder SMB und wird in der Version 1.0 mit ausgeliefert. Sieben Jahre später wird der Protokoll-Nachfolger SMB 2.0 in Windows Vista implementiert.

Um die Kommunikation mit älteren Geräten sicherzustellen, unterstützen aber auch nachfolgende Systeme bis hin zu Windows 10 und Windows Server 2016 weiterhin SMB 1.0. Eigentlich gibt es bereits SMB 3.1.1 und der Support für uralte Windows-Systeme ist längst eingestellt, die alte Protokollversion SMB 1.0 ist jedoch noch immer an Board. In Folge der weltweiten WannaCry-Krise kündigte Microsoft endgültig die Abkehr vom Protokoll-Uropa an.

Geräte mit SMB 1.0 aufspüren

Wenn Sie noch Windows XP oder Server 2003 einsetzen, dann sollten Sie zunächst die betroffenen Systeme aktualisieren oder im Netzwerk isolieren. Diese nutzen nämlich ausschließlich SMB in der verwundbaren Version 1.0 für die Kommunikation mit ihren Nachbarn. Nachdem Sie später auf den anderen Geräten SMB 1.0 deaktiviert haben, ist eine Kommunikation zwischen neuen und alten Systemen mittels Windows-eigener Datei- und Druckerfreigabe nicht mehr möglich. Natürlich können Sie auf andere Kommunikationsprotokolle zurückgreifen, allerdings sollte die Firewall eine SMB-Verbindung der Legacy-Systeme unterbinden.

Um herauszufinden, ob in Ihrem Netzwerk noch Geräte SMB 1.0 verwenden, können Sie Windows-Bordmittel Ihres Windows Server 2016 verwenden. Dort aktivieren Sie die Auditierung für die Nutzung von SMB-Versionen mit folgendem PowerShell-Cmdlet:

> Set-SmbServerConfiguration -AuditSmb1Access $true

Nach einiger Zeit können Sie das Ergebnis der Auditierung im Windows Eventlog ablesen. Öffnen Sie dafür den Unterzweig "Anwendungs- und Dienstprotokolle / Microsoft / Windows / SMBServer / Audit". So können Sie vor der Abschaltung mögliche Probleme identifizieren und Vorkehrungen treffen. Nachdem Sie alte Systeme konsequent verbannt haben, steht einer Abschaltung nichts mehr im Wege.

SMB 1.0 deaktivieren

Um die Nutzung von SMB 1.0 auf den übrig gebliebenen neueren Systemen abzuschalten, haben Sie verschiedene Möglichkeiten, die wir Ihnen im Folgenden vorstellen möchten. Welche Variante Sie für die Rechner in Ihrem Netzwerk wählen, hängt vermutlich vom jeweiligen Aufwand in Ihrer Infrastruktur ab. Beginnen wir bei den Systemen ab Windows 8.1 beziehungsweise Windows Server 2012. Dort lässt sich die Verwendung von SMB 1 mit der PowerShell sehr komfortabel deaktivieren. Überprüfen Sie dafür zunächst, ob SMB 1 überhaupt aktiv ist:

> Get-SmbServerConfiguration

In der Ausgabe suchen Sie die Zeile "EnableSMB1Protocol". Steht dort "True", lässt sich das Protokoll so deaktivieren:

> Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Das Force-Argument übernimmt die Änderungen ohne weitere Nachfrage, das Ergebnis überprüfen Sie mit dem vorigen Kommando. Anschließend deinstallieren Sie die SMB-Version 1.0 komplett von Ihrem System und starten dieses neu, um serverseitig endgültig damit abzuschließen:

> Remove-WindowsFeature -Name FS-SMB1

Was die Sicherheit Ihres Servers im Netzwerk angeht, können Sie nun aufatmen. Allerdings eben nur, was die eigenen Dateifreigaben betrifft. Der SMB-Client ist nämlich weiterhin in der Lage, mit SMB1-Freigaben zu kommunizieren. Dafür müssen wir nochmal in die Trickkiste greifen und über den Service Controller das Client-Verhalten ändern.

> sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
> sc.exe config mrxsmb10 start= disabled

So entfernen Sie zunächst SMB in Version 1.0 aus den Abhängigkeiten des Netzwerk-Managers und verhindern dann den Start des veralteten SMB-1.0-Protokolls für die Zukunft.

Der neue Schlüssel "SMB1" deaktiviert SMB 1.0 für den SMB-Server.
Der neue Schlüssel "SMB1" deaktiviert SMB 1.0 für den SMB-Server.

Abschalten auf alten Windows-Systemen

Die Systeme mit Windows Vista, Windows 7 oder Windows 2008 Server besitzen ebenfalls die Möglichkeit, SMB 1.0 abzuschalten. Dafür ist jedoch die Änderung der System-Registrierung von Hand nötig. Wie zuvor müssen die Server-Dienste und der SMB-Client separat konfiguriert werden. Für alle folgenden Einstellungen müssen Sie in den Registrierungszweig des Netzwerk-Managers unter dem Pfad "HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services". Zunächst öffnen Sie dort "LanmanServer / Parameters" und erstellen wie im Bild auf dieser Seite erkennbar einen neuen Schlüssel mit dem Namen "SMB1" vom Typ "DWORD".

Weisen Sie nun den Wert 0 zu, wird SMB 1.0 ab dem nächsten Neustart des Systems deaktiviert. Legen Sie einen gleichen Schlüssel mit dem Namen "SMB2" an, wird das SMB-Protokoll auch in Version 2 deaktiviert. Das hat allerdings zur Folge, dass auch SMB 3 auf dem System abgeschaltet wird, weil beide Versionen denselben Protokoll-Stack verwenden. Für unsere Zwecke reicht es, nur SMB 1.0 zu deaktivieren.

Um auch den Client Ihres Systems von SMB 1.0 zu befreien, können Sie dieselben Kommandos für sc.exe verwenden, die oben für aktuelle Windows-Versionen beschrieben sind. Auch auf diesen Systemen ist für die erfolgreiche Abschaltung ein Neustart des Systems erforderlich.

Gruppenzwang

Um auf allen Systemen in Ihrer Domäne SMB 1.0 zu deaktivieren, können Sie natürlich wie gewohnt auf Gruppenrichtlinien zurückgreifen. Wie für die älteren Windows-Versionen beschrieben, fügen Sie der Registrierung einfach den zusätzlichen Schlüssel "SMB1" unter "LanmanServer / Parameters" mit dem Wert 0 hinzu. Um auch den Client über Gruppenrichtlinien abzuschalten, können Sie im gleichen Registry-Teilbaum der Dienste die Einstellungen für die "LanmanWorkstation" anpassen.

Entfernen Sie dort aus dem bereits existierenden Schlüssel "DependOnService" den Eintrag für "MRx­Smb1" aus der Liste der Abhängigkeiten. Anschließend deaktivieren Sie den Start des SMB-1-Dienstes, indem Sie für den Dienst "mrxsmb10" den Wert des Schlüssels “Start” auf 4 setzen. Wenn Sie alles zusammen in einer Richtlinie umsetzen, haben Sie Ihr Netzwerk ein gutes Stück sicherer gemacht.

Fazit

Alte Zöpfe sind ein allgegenwärtiges Problem in der IT-Welt. Dieser Security-Tipp hat Ihnen gezeigt, wie Sie mit SMB in Version 1.0 einen so richtig alten Zopf aus Ihrem Netzwerk verbannen können und damit für mehr Sicherheit sorgen.

(dr)

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.