Sicherheit

SMB v1 deaktivieren

Nicht seite heute ist bekannt, dass SMB v1viele Sicherheitprobleme mit sich bringt. Somit wäre es immer empfehlenswert diese zu deaktivieren.

Leider bauen aber verschiedene Anwendungen immer noch auf SMB v1 auf. Somit prüfen Sie vor deaktivierung von SMB v1 Ihre Anwendungen auf funktionsweise. Über die Seite  https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse finden Sie verschiedene Anwendungen, die noch SMB v1 verwenden.

Die Notwendigen GPO Konfigurationsdateien (ADML / ADMX) für die deaktivierung von SMB v1 finden Sie über die Seite https://blogs.technet.microsoft.com/secguide/2018/04/30/security-baseline-for-windows-10-april-2018-update-v1803-final/. Hier benötigen Sie die Dateien SecGuide.adml und SecGuide.admx aus der ZIP im Verzeichnis Windows-10-RS4-Security-Baseline-FINAL. Die Information für die Bereitstellung finden Sie hier Bereitstellung GPO ADMX Dateien


Nun kommen wir zur Konfiguration für die Deaktivierung von SMB v1

MS Security Guide

Computerkonfiguration\Richtlinien\Administrative Vorlagen\MS Security Guide
Computer Configuration\Policies\Administrative Templates\\MS Security Guide

MS Security Guide
MS Security Guide

Configure3 SMB V1 server

Status: Deaktiviert

Configure SMB v1 server
Configure SMB v1 server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters!SMB1
REG_DWORD: 0

Configure SMB v1 client driver

Status: Aktiviert
Wert Auswahl: Disable driver (recommended)

Configure SMB v1 client driver
Configure SMB v1 client driver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MrxSmb10!Start
REG_DWORD: 4

Skript für vorherige Konfiguration

# Registry eintraege
$reg = @(
    # SMB v1 deaktivieren
    [PSCustomObject]@{path="HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters";name="SMB1";value="1";type="DWord"}
    [PSCustomObject]@{path="HKLM:\SYSTEM\CurrentControlSet\Services\MrxSmb10";name="Start";value="4";type="DWord"}
)

# Reg-Eintraege schreiben
foreach($r in $reg){
    if(!$r.delete){
        if(Test-Path $r.path){
            New-ItemProperty -Path $r.path -Name $r.name -Value $r.value -PropertyType $r.type -Force | Out-Null
        }
        else{
            New-Item -Path $r.path -Force | Out-Null
            New-ItemProperty -Path $r.path -Name $r.name -Value $r.value -PropertyType $r.type -Force | Out-Null
        }
    }
    else{
        Remove-ItemProperty -Path $r.path -Name $r.name
    }
}


Weitere Links

Deaktivierung der Datensammlung und Weitergabe an Microsoft über GPO