Windows 10: Aus für SMBv1 ab Herbst 2017

Microsoft plant das SMBv1-Netzwerkprotokoll ab Herbst 2017 aus Sicherheitsgründen in Windows 10 und Windows Server 2016 zu deaktivieren. Was das genau bedeutet, wird im Blog-Beitrag präzisiert.


Anzeige

30 Jahres altes Netzwerkprotokoll

Das Kürzel SMB steht für Server Message Block (frühere Bezeichnungen lauten als LAN-Manager- oder NetBIOS-Protokoll), ein Netzwerkprotokoll für Datei-, Druck- und andere Serverdienste in Rechnernetzen. Die Version 1 (SMBv1) des vor über 30 Jahren entworfenen Netzwerkprotokolls und speziell die Microsoft-Implementierung, gilt als sehr fehleranfällig und sicherheitskritisch.

Zwischenzeitlich gibt es SMBv2 und SMBv3, so dass die Verwendung von SMBv1 in Windows-Netzwerken nicht mehr unbedingt erforderlich ist. Windows Vista ist beispielsweise nicht mehr auf SMBv1 angewiesen, da dort SMBv2 verwendet wird.

Abschaltung ab Herbst geplant

In diesem Blog-Beitrag vom 1. Juni 2017 listet Ned Pyle von Microsoft Produkte diverser Hersteller auf, die noch auf SMBv1 aufsetzen. Zum Abschluss des Artikels kündigte Pyle dann das Ende von SMBv1 bei Microsoft Windows an.

For more information on why using SMB1 is unsafe, see StopUsingSMB1. SMB1 has been deprecated for years and will be removed by default from many editions and SKUs of Windows 10 and Windows Server 2016 in the RS3 release.

Mit RS3 release ist das Erscheinen des Windows 10 Fall Creators Update (Version 1709), wohl im Oktober 2017, gemeint. Intern hat Microsoft bereits die Verwendung von SMBv1 in Windows 10 Enterprise und Windows Server 2016 deaktiviert. Allerdings stehen diese Build nicht öffentlich zur Verfügung und werden bei Microsoft intern nur für Testzwecke verwendet.

Die Entscheidung, SMBv1 zu beerdigen, wurde übrigens vor 5 Jahren bei Microsoft intern getroffen. Dass man ab Herbst 2017 nun reagieren will, hat also nichts mit der Verbreitung der Schadsoftware WannaCry über ungepatchte Sicherheitslücken im SMBv1-Protokoll zu tun.

Was bedeutet das genau?

Die Aussage von Ned Pyle  ließe sich so interpretieren, dass mit einem Patch plötzlich alle unterstützten Windows-Versionen von SMBv1 befreit werden. Das ist aber nicht der Fall. Gegenüber Bleeping Computer hat Microsoft das Ganze präzisiert.

That date is now the release of Windows 10 Redstone 3, also referenced as the Fall Creators Update, scheduled for launch in October/November 2017.

After that day, every new Windows 10 or Windows Server 2016 OS you install will not have some or all of SMBv1 turned on, which is the norm right now.

This is not patching, nor upgrading, This is clean install RS3

Also konkret heißt dies: Bei laufenden Systemen ändert sich erst einmal nichts, dort bleibt SMBv1 im Einsatz. Wer allerdings ein System mit Windows 10 (V1709) oder mit Windows Server 2016 (RS3) neu installiert, bei dem könnte SMBv1 deaktiviert sein. heise.de schreibt hier, dass die Planungen aber noch nicht endgültig abgeschlossen seien.

Kann ich SMBv1 selbst entfernen?

Wer aus Sicherheitsgründen SMBv1 in seiner Windows-Umgebung testweise entfernen möchte, kann dies unter Windows 7 bis Windows 10 tun. Microsoft hat dieses Dokument veröffentlicht, in der die entsprechenden Registrierungseingriffe oder PowerShell-Befehle beschrieben sind. Weiterhin gibt es Gruppenrichtlinien, um SMBv1 auf Systemen abzuschalten.


Anzeige

Ab Windows 8.1 kann man auch die Funktion Windows Features aufrufen und die Markierung beim Kontrollkästchen SMB 1.0/CIFS File Sharing Support löschen. Dann wird das Feature ebenfalls entfernt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows 10: Aus für SMBv1 ab Herbst 2017

  1. Herr IngoW sagt:

    Damit wird bei mir die komplette Dateifreigabe abgeschaltet. Das Nas bzw. Fritz-Nas sind nicht mehr über den Explorer erreichbar.

  2. Franz sagt:

    Bin gespannt, ob HP für seine Scanner in den Multifunktionsdruckern Firmware-Updates bereit stellen wird. Ein "Test" bei uns hat gezeigt, dass kein HP Drucker mehr in ein Netzwerk-Share scannen kann, nachdem SMB1 deaktiviert wurde.

    https://h30492.www3.hp.com/t5/Drucker-und-All-in-One-Ger%C3%A4te-Nutzung/SMB1-Protokoll-unsicher-dennoch-darauf-angewiesen/m-p/459938/highlight/true#M91160

    • Manu Wy sagt:

      Dem schliesse ich mich an. Als ich zum Test SMB1 auf unserem (Business-Synology) NAS ausgeschaltet habe und mindestens SMB2 aktiviert habe… konnte von allen unsern Xerox WorkCenters aus nicht mehr gescannt werden!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.