Aus aktuellem Anlass: SMB1 deaktivieren

Zur Zeit treibt der WannaCry-Trojaner sein Unwesen und richtet teilweise erheblichen Schaden an, da die Infrastruktur im öffentlichen Raum (in erster Linie offenbar Krankenhäuser in Großbritannien) vorübergehend nur eingeschränkt funktionsfähig ist. Über den Ursprung des Trojaners möchte ich nicht spekulieren, genauso wenig, ob es unter Windows mehr Sicherheitslücken gibt wie unter Linux&Co. Ein Fakt ist, dass Microsoft einen enormen Aufwand betreibt, um durch das zeitnahe zur Verfügung stellen von Patches den durch die Verwendung von Windows eingetretenen Schaden zu begrenzen. Allerdings darf man nicht Ursache und Wirkung verwechseln. Die Verbreitung wird leider durch den Umstand verursacht, dass es offenbar immer noch Menschen gibt, die E-Mail-Anhänge doppelt anklicken.

Die Verbreitung im LAN geschieht offenbar über eine Lücke im SMB1-Protokoll. Dieses lässt sich per PowerShell sehr einfach deaktivieren:

Die PowerShell muss dazu als Administrator gestartet werden. Ein Get-SmbServerConfiguration fragt die aktuelle Einstellung ab. Dank PS-Remoting ist es theoretisch eine Kleinigkeit, diese Abfrage in der gesamten Domäne durchzuführen. Wenn man dann noch mit Pscribo einen kleinen Report anfertigt, aus dem hervorgeht, dass auf 100% der Computern in der Domäne SMB1 deaktiviert wurde, dürfte das Ganze beim Vorgesetzten einen guten Eindruck machen (natürlich vorausgesetzt, dass SMB1 nicht doch für irgendetwas Unternehmenskritisches benötigt wird;)

2 Gedanken zu „Aus aktuellem Anlass: SMB1 deaktivieren

  1. Clint

    Habe ich probiert: SMB1off.ps1
    Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

    Das habe ich als Computer- und nachdem es nicht geklappt hat, als Benutzerskript OUs zugewiesen.
    Leider erfolglos. Wo ist mein Fehler?

    Antworten
    1. PemoAdmin Beitragsautor

      Hallo Clint,

      Kommt darauf an. Wie hast Du denn festgestellt, dass es nicht funktioniert hat? Der Befehl selber ist relativ harmlos – ich denke, dass die Function lediglich eine Einstellung in der Registry setzt – es gibt sie aber erst ab Windows Server 2012 und Windows 8), eventuell lag es an der Zuweisung als Login-Skript?

      Peter

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.