[gelöst] SMBv1 deaktivieren?

Gelöschtes Mitglied 99975 · 15. Juni 2017

Hallo

Ich habe heute in diesem Artikel (Windows 10: Aus für SMBv1 ab Herbst 2017) gelesen, dass das SMBv1-Netzwerkprotokoll in Windows 10 noch aktiv ist, obwohl es schon lange als unsicher gilt.

Dort wird ja auch beschrieben, wie man es unter Windows 10 selbst abschalten kann.
Habt Ihr das bei Euch deaktiviert?
Oder was haltet Ihr davon?

Gruß
Ingo

areiland · 15. Juni 2017

In der Systemsteuerung unter "Programme und Features" - "Windows Features aktivieren oder deaktivieren" kannst Du es abschalten. Hab ich auf allen Rechnern gemacht.

heiter · 15. Juni 2017

Hab ich schon lange "abgeschaltet" unter anderem "Arbeitsordnerclient" schon sei vielen Jahren , IE11 und Windowsmediaplayer.

Gelöschtes Mitglied 99975 · 15. Juni 2017

Den Internet Explorer und den Windows Media Player nutze ich seit Windows 10 auch nicht mehr.
Hat es denn einen Vorteil, diese beiden zu deaktivieren?
Also ist das auch sicherheistmäßig sinnvoll, die beiden zu deaktivieren, wenn m an sie eh nicht benutzt?
Oder hat die Deaktivierung evtl. sogar Nachteile wie z.B. die komplette Deinstallation des IE?

Und was der Arbeitsordnerclient ist, weis ich leider überhaupt nicht.

heiter · 15. Juni 2017

IE und Mediaplayer komplett deinsallieren geht meines wissens nicht, nur deaktivieren, dann bist due die Fragerei "mit welchem Programm soll dieses und jenes usw." geöffnet werden.
"Arbeitsordnerclient" gabs schon zu xp Zeiten und ich weiss wirklich nicht mehr wer sich dazu "ausgelassen" hat bei der Frage :was kann weg: Jedenfalls könnte man den auch "weglassen" ich habs getan und bin die ganzen langen Jahre nie in irgendeiner Weise damit konfrotiert worden. Ging (ab xp bis heute) auch ohne . Mittlerweile ist das schon Standart bei mir , diesen Ordner weh IE Player und SMBv1 weg , alles ok keine Probleme ......

!Anwender · 15. Juni 2017

Fischermann schrieb:
Hallo

Ich habe heute in diesem Artikel (Windows 10: Aus für SMBv1 ab Herbst 2017) gelesen, dass das SMBv1-Netzwerkprotokoll in Windows 10 noch aktiv ist, obwohl es schon lange als unsicher gilt.

Hier ist auch ein Artikel dazu , ich habe es auch abgeschaltet

https://www.drwindows.de/windows-10...uild-16215-redstone-3-fuer-8.html#post1421135

Gelöschtes Mitglied 73230 · 16. Juni 2017

Wie schon geschildert,ich hab es auch abgeschaltet.
Aber noch eine simple Frage dazu.
Es wird geschrieben,dass nun SMPv 2 und 3 am werkeln sind.
Warum sehe ich das aber nirgends ? Wo wird das angezeigt im System? Oder braucht man SMPv2 überhaupt gar nicht?

build10240 · 16. Juni 2017

Wo möchtest Du das sehen? SMB kommt bei der Dateifreigabe übers Netzwerk zum Einsatz, das wird aber in der graphischen Oberfläche meines Wissens nirgendwo angezeigt. Alle Systeme ab Windows 8 beherrschen SMB3, ab Vista SMB2. Entsprechend kommen diese Protokolle zum Einsatz. Diverse andere Geräte, welche die Windows-Dateifreigabe nutzen, z.B. NAS, beherrschen aber nur SMB1 oder sind in den Werkseinstellungen auf SMB1 gesetzt - vermutlich damit auch Windows XP noch darauf zugreifen kann, so daß nach Abschalten keine Dateifreigaben von diesen Geräten mehr genutzt werden können. Manche lassen sich umstellen, aber falls noch Systeme vor Vista im Einsatz sind können die dann nicht mehr auf diese Geräte zugreifen. Beispielsweise nutzten die Fritzboxen noch immer SMB1.

Die SMB-Version läßt sich in der Powershell mit dem Befehl Get-SmbConnection anzeigen, allerdings nur während aktive Verbindungen zu anderen Rechnern bestehen, d.h. kurz vor Ausführung des Befehls in der Powershell im Explorer unter Netzwerk auf einen anderen Rechner klicken. Die SMB-Version steht in der Ausgabe unter Dialect.

PeteM92 · 16. Juni 2017

Danke für diesen Hinweis. Wenn ich SMB deaktiviere kann ich mein NAS nicht mehr als Laufwerk mounten. Da kommt noch ein Problem auf mich zu, wenn das von Windows abgeschaltet wird.

build10240 · 16. Juni 2017

Die meisten Nicht-Microsoft-Systeme dürften SMB1 verwenden, weil das eben die weitestgehende Kompatibilität z.B. mit Windows XP bot. Wenn die SMB-Version nicht sowieso schon umstellbar ist, dürfte man die meisten Systeme patchen können. Bei den auf Linux basierenden Systemen sollte der jeweilige Hersteller das erledigen können. Linux enthält ja mit Samba eine eigene Implementierung von SMB. Problematisch ist das nur bei den Geräten, für die der jeweilige Hersteller den Support schon eingestellt hat.

Da Microsoft von Deaktivieren spricht, gehe ich erstmal davon aus, daß die einfach ab Windows 10 Version 1709 den Standard für dieses Windows-Feature auf deaktiviert setzen, so daß es bei Bedarf weiterhin aktiviert werden kann.

Gelöschtes Mitglied 73230 · 16. Juni 2017

Hallo build10240
Nein,ich meine nicht,dass ich das irgendwo sehen will.Ich dachte einfach,weil SMB1 in der Features Liste aufgefuert wird,sollte auch ein SMB2 aufgeführt sein,muss aber eigentlich nicht sein.Hauptsache,es tut,was es soll.

sneaker · 16. Juni 2017

Hallo,

SMBv1 bedeutet: keine ernsthafte Verschlüsselung oder Signatur des Netztraffics sind verfügbar
SMBv2 bedeutet: der Traffic kann sicher signiert werden
SMBv3 bedeutet: der Traffic kann sicher signiert und verschlüsselt werden (SMBv3 ist eigentlich nur ein weitere Unterversion von SMBv2, deswegen kann man SMBv2 nicht deaktivieren).
Das ist ein Teil der SMB Sicherheit. Für einen Privatanwender zuhause mit NAS und Fritzbox ist auch SMBv1 nicht unsicher. Anders siehts in Firmennetzwerken aus (Man in the Middle), dort sollten Daten vertraulich und integer im Netzwerk ausgetauscht werden.

Der andere Teil sind potentielle Vulnerabilities:
SMBv1 hatte die EternalBlue Schwachstelle, die Wannacry letztens ausgenutzt hatte. Wenn der Rechner jetzt aktuell gepatcht ist, ist dies kein Sicherheitsproblem mehr.

Prinzipiell gilt in der Security: Je weniger unnötiges Zeugs auf dem Rechner tickt, umso besser!
z.B. in den Netzwerkeinstellungen den ganzen "Link-Layer Topology/ LLDP"-Kram kann man deaktivieren, das nutzt so gut wie niemand. Oder wenn man kein IPv6 nutzt, -> deaktivieren, etc. etc.
Bei Bedarf kann man es ja wieder aktivieren

lg
sneaker

DAC324 · 12. Juli 2017

Fischermann schrieb:
Hallo

Ich habe heute in diesem Artikel (Windows 10: Aus für SMBv1 ab Herbst 2017) gelesen, dass das SMBv1-Netzwerkprotokoll in Windows 10 noch aktiv ist, obwohl es schon lange als unsicher gilt.

Dort wird ja auch beschrieben, wie man es unter Windows 10 selbst abschalten kann.

Eine andere Quelle (Microsoft selbst) findet sich hier.

Habt Ihr das bei Euch deaktiviert?
Oder was haltet Ihr davon?

Nach dem Abschalten von SMB1 funktioniert die Netzwerkumgebung nicht mehr. Man bekommt zwar noch die Rechner im Netzwerk angezeigt, aber bereits bei einem Doppelklick auf das jeweilige Rechner-Icon erscheint dann die beliebte Fehlermeldung „Auf \\Rechnername konnte nicht zugegriffen werden“ mit der Begründung „Der Netzwerkpfad wurde nicht gefunden“ (vergleiche dazu auch Windows 10: Netzwerk zeigt Fehler 0x80070035 | Borns IT- und Windows-Blog ).
Stellt sich nun die Frage, wie man die Netzwerkumgebung wieder repariert bekommt, ohne dass man SMB1 wieder aktivieren muss.

Beste Grüße

DAC324

mike03 · 12. Juli 2017

Zumindestens meine NAS4FREE-Geräte wurden nach SMBv1-Deaktivieren nicht mehr angezeigt, da konnte ich in den NAS einstellen, was ich wollte. Erst nach Aktivieren von SMBv1 in Windows ging es wieder.

sneaker · 12. Juli 2017

Hallo DAC324
"SMBv1" und "Computer Browser Service = Netzwerkumgebung" sind beide frühes letztes Jahrtausend. Letzteres hat sowieso nie richtig funktioniert, bzw. konnte manchmal ganze Firmen lahmlegen. Der Computer Browser hat daher nie die Unterstützung von SMBv2 bekommen.
Mappe dir deine Laufwerke entweder manuell, per Skript oder in Domänen per GPO.

Mehr Informationen:
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

The computer browser never had support for SMB2 or later

lg sneaker

PeteM92 · 12. Juli 2017

Also ich lasse SMBv1 enabled, da ich sonst mein etwas älteres, aber für mich völlig ausreichendes NAS (QNAP TS101) nicht mehr benutzen kann.

Nach meinen Informationen will Microsoft auch SMBv1 nicht gänzlich aus zukünftigen Versionen von Windows10 entfernen, sondern nur nicht mehr default-mäßig aktivieren - man muss es also dann selbst einschalten, aber es ist nach wie vor enthalten.

DAC324 · 12. Juli 2017

sneaker schrieb:
Hallo DAC324
"SMBv1" und "Computer Browser Service = Netzwerkumgebung" sind beide frühes letztes Jahrtausend. Letzteres hat sowieso nie richtig funktioniert, bzw. konnte manchmal ganze Firmen lahmlegen. Der Computer Browser hat daher nie die Unterstützung von SMBv2 bekommen.

OK, das hat man offensichtlich nie gemerkt, weil meistens automatisch auf SMB1 zurück gegriffen wurde, wenn man die "Netzwerkumgebung" aufgerufen hat

Mappe dir deine Laufwerke entweder manuell, per Skript oder in Domänen per GPO.

Also doch wieder zurück zur Turnschuh-Administration: Ich muss jetzt zu jedem Rechner traben, schauen, was er für Freigaben hat, mir diese am besten auf einen Zettel notieren, und dann mit diesem Zettel ein Skript zusammen basteln.
Toller Fortschritt

Wir ersetzen jetzt eine rückschrittliche Lösung durch eine noch rückschrittlichere. Über diese Philosophie kann man viel nachdenken

Beste Grüße
DAC324

build10240 · 12. Juli 2017

Ich muss jetzt zu jedem Rechner traben, schauen, was er für Freigaben hat, mir diese am besten auf einen Zettel notieren, und dann mit diesem Zettel ein Skript zusammen basteln.

\\Rechnername in die Adresszeile des Explorers eingeben, dann sollten Dir alle Freigaben des jeweiligen Rechners angezeigt werden.

sneaker · 12. Juli 2017

Start -> Ausführen: \\<remoterechnername>
cmd: net view \\<remoterechnername>
+ein halbes Dutzend weitere Möglichkeiten

Dann siehst du die Shares, auf denen du Rechte hast.

Microsoft bietet heute noch Wins/ Telnet Client oder Telnet Server zum Nachinstallieren an, obwohl diese Dienste seit 15 bzw. 20 Jahren outdated sind. Wer es will und damit glücklich ist, kann es gerne nutzen.
Ich schätze mit SMBv1.0 wird das ähnlich laufen.

DAC324 schrieb:
Wir ersetzen jetzt eine rückschrittliche Lösung durch eine noch rückschrittlichere. Über diese Philosophie kann man viel nachdenken

Microsoft kann nicht ewig warten, bis der letzte Anwender seine Uralt-Gewohnheiten abgelegt hat.

lg sneaker

DAC324 · 24. Juli 2017

build10240 schrieb:
\\Rechnername in die Adresszeile des Explorers eingeben, dann sollten Dir alle Freigaben des jeweiligen Rechners angezeigt werden.

Leider kommt es dann nur zu der beliebten Fehlermeldung

sneaker schrieb:
Start -> Ausführen: \\<remoterechnername>

Führt zu folgender Fehlermeldung:

Probleme mit der Namensauflösung wollte ich ausschließen, aber auch mit direkter Eingabe der IP-Adresse kommt:

sneaker schrieb:
cmd: net view \\<remoterechnername>

Hilft ebenso wenig:

sneaker schrieb:
+ein halbes Dutzend weitere Möglichkeiten

Welche?

sneaker schrieb:
Microsoft kann nicht ewig warten, bis der letzte Anwender seine Uralt-Gewohnheiten abgelegt hat.

Es sollte dann aber eine funktionierende Alternative angeboten werden, oder?

Beste Grüße
DAC324

sneaker schrieb:
Mappe dir deine Laufwerke entweder manuell, per Skript oder in Domänen per GPO.

Funktioniert nicht:

Anzeige

Anzeige

[gelöst] SMBv1 deaktivieren?

Gelöschtes Mitglied 99975

Gast

Computer Legastheniker

immer Neugierig bleiben

Gelöschtes Mitglied 99975

Gast

immer Neugierig bleiben

Windows 11 aktuell

Gelöschtes Mitglied 73230

Gast

gehört zum Inventar

gehört zum Inventar

gehört zum Inventar

Gelöschtes Mitglied 73230

Gast

gehört zum Inventar

kennt sich schon aus

mike03

Gast

gehört zum Inventar

gehört zum Inventar

kennt sich schon aus

gehört zum Inventar

gehört zum Inventar

kennt sich schon aus