Sicherheit

SMB v1 deaktivieren

11. Juli 2018

Nicht seite heute ist bekannt, dass SMB v1viele Sicherheitprobleme mit sich bringt. Somit wäre es immer empfehlenswert diese zu deaktivieren.

Leider bauen aber verschiedene Anwendungen immer noch auf SMB v1 auf. Somit prüfen Sie vor deaktivierung von SMB v1 Ihre Anwendungen auf funktionsweise. Über die Seite  https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse finden Sie verschiedene Anwendungen, die noch SMB v1 verwenden.

Die Notwendigen GPO Konfigurationsdateien (ADML / ADMX) für die deaktivierung von SMB v1 finden Sie über die Seite https://blogs.technet.microsoft.com/secguide/2018/04/30/security-baseline-for-windows-10-april-2018-update-v1803-final/. Hier benötigen Sie die Dateien SecGuide.adml und SecGuide.admx aus der ZIP im Verzeichnis Windows-10-RS4-Security-Baseline-FINAL. Die Information für die Bereitstellung finden Sie hier Bereitstellung GPO ADMX Dateien

Nun kommen wir zur Konfiguration für die Deaktivierung von SMB v1

MS Security Guide

Computerkonfiguration\Richtlinien\Administrative Vorlagen\MS Security Guide
Computer Configuration\Policies\Administrative Templates\\MS Security Guide

MS Security Guide
MS Security Guide

Configure3 SMB V1 server

Status: Deaktiviert

Configure SMB v1 server
Configure SMB v1 server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters!SMB1
REG_DWORD: 0

Configure SMB v1 client driver

Status: Aktiviert
Wert Auswahl: Disable driver (recommended)

Configure SMB v1 client driver
Configure SMB v1 client driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MrxSmb10!Start
REG_DWORD: 4

Skript für vorherige Konfiguration

# Registry eintraege
$reg = @(
    # SMB v1 deaktivieren
    [PSCustomObject]@{path="HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters";name="SMB1";value="1";type="DWord"}
    [PSCustomObject]@{path="HKLM:\SYSTEM\CurrentControlSet\Services\MrxSmb10";name="Start";value="4";type="DWord"}
)

# Reg-Eintraege schreiben
foreach($r in $reg){
    if(!$r.delete){
        if(Test-Path $r.path){
            New-ItemProperty -Path $r.path -Name $r.name -Value $r.value -PropertyType $r.type -Force | Out-Null
        }
        else{
            New-Item -Path $r.path -Force | Out-Null
            New-ItemProperty -Path $r.path -Name $r.name -Value $r.value -PropertyType $r.type -Force | Out-Null
        }
    }
    else{
        Remove-ItemProperty -Path $r.path -Name $r.name
    }
}

Weitere Links

Deaktivierung der Datensammlung und Weitergabe an Microsoft über GPO

Das könnte dich auch interessieren

Sicherheit
Erweitere Sicherheitsrichtlinien für Passwörter / RDP Session
26. Februar 2015
Datensammlung Micorosft
Windows Sicherheitseinschränkung Gerätemetadaten über GPO
14. Juni 2018
Windows Updatezeit
Updatezeit für WSUS über GPO konfigurieren
7. Juni 2018