NAS, ESXi, Appliances: Liste von Produkten, die noch SMB 1.0 verlangen

    Windows-Ordner freigebenDas 30 Jahre alte Proto­koll Server Message Block (SMB) 1.0 hat sich bei der Ver­breitung der Ransom­ware Wannacry als Schwach­stelle er­wiesen. Der Her­steller empfiehlt schon lange, es in Windows abzu­schalten. Aber oft geht das nicht so ein­fach, weil noch Systeme existieren, die nur diese alte Implemen­tierung unter­stützen.

    In reinen Windows-Netzwerken spricht nichts dagegen, SMB 1.0 zu deaktivieren. Alle neueren Versionen des Betriebs­systems seit Vista oder Server 2008 enthalten zumindest SMB 2.0, so dass die alte Variante dort nicht mehr benötigt wird.

    Deinstallation ab Windows 8.1 und Server 2012 R2

    Während man SMB v1 seit Windows 8.1 und Server 2012 R2 als Feature deinstallieren kann, muss man in den früheren Ausführungen des OS den Registry-Schlüssel SMB1 unter HKLM\SYSTEM\Current­Control­Set\Ser­vices\Lanman­Server\Parameters auf den Wert 0 setzen. Das kann man entweder über den Registry-Editor, PowerShell oder zentral über Group Policy Preferences tun.

    Der Assistent zum Entfernen von Komponenten zeigt SMB 1.0 im Abschnitt Features an.

    Mit Hilfe von PowerShell lässt sich zudem leicht herausfinden, ob SMB v1 noch aktiviert ist:

    Get-SmbServerConfiguration | Select EnableSMB1Protocol

    Gegen diese Sicherheitsmaßnahme kann aber sprechen, dass Windows-Rechner mit Systemen kommunizieren müssen, die nur SMB v1 verstehen. Dabei handelt es sich oft um Netzwerkgeräte, die für diesen Zweck Samba einsetzen. Im Consumer-Segment ist FritzNAS ein Beispiel dafür.

    Große Hersteller mit Legacy-Protokoll

    Microsoft hat in einem TechNet-Blog eine (unvollständige) Liste mit Enterprise-Produkten zusammengestellt, die noch SMB v1 benötigen. Dabei handelt es sich keineswegs nur um Relikte aus der IT-Frühzeit. Vielmehr finden sich dort gängige Hard- und Software prominenter Lieferanten.

    Dazu zählen nicht nur NAS von Synology, QNAP, NetApp oder Netgear, wobei sich das Problem dort teilweise durch Update der Firmware beheben lässt. Es überrascht aber, dass selbst ein junger Storage-Anbieter wie Tintri in dieser Liste auftaucht.

    Neben Appliances von Cisco oder F5 erweist sich auch VMware als Hindernis für das Abschalten von SMB v1. Der Beitritt von ESXi und vCSA (beide älter als 6.0) zu einer AD-Domäne setzt voraus, dass auf dem DC das alte SMB aktiviert ist. Für neuere Versionen von ESXi und vCSA gilt dies per Voreinstellung zwar auch, aber diese kann man so konfigurieren, dass sie über SMB v2 kommunizieren.

    Keine Kommentare