SMBv1-FAQ und Windows-Netzwerke

[English]Aus Sicherheitserwägungen möchte Microsoft das Netzwerkprotokoll SMBv1 in Windows beerdigen und empfiehlt, auf dessen Verwendung zu verzichten. In diesem Beitrag habe ich einige Informationen in Form einer FAQ zu diesem Thema zusammen getragen.


Anzeige

Was ist SMBv1 und warum soll das weg?

Das Kürzel SMB steht für Server Message Block (frühere Bezeichnungen lauten als LAN-Manager- oder NetBIOS-Protokoll), ein Netzwerkprotokoll für Datei-, Druck- und andere Serverdienste in Rechnernetzen. Die Version 1 (SMBv1) des vor über 30 Jahren entworfenen Netzwerkprotokolls und speziell die Microsoft-Implementierung, gilt als sehr fehleranfällig und sicherheitskritisch.

Zwischenzeitlich gibt es SMBv2 und SMBv3, so dass die Verwendung von SMBv1 in Windows-Netzwerken nicht mehr unbedingt erforderlich ist. Selbst Windows Vista, welches aus dem Support gefallen ist, ist beispielsweise nicht mehr auf SMBv1 angewiesen, da dort SMBv2 verwendet wird.

Microsoft hat daher bereits im September 2017 den Beitrag Stop using SMB1 veröffentlicht, in dem von der Verwendung von SMBv1 abgeraten wird. Es sei unsicher und den modernen Anforderungen nicht mehr gewachsen. Zudem sei SMBv1 nicht mehr erforderlich …

Was Microsoft im Nacken sitzt

Im Mai 2017 infizierte der Erpressungstrojaner WannaCry weltweit tausende Computer (siehe Ransomware WannaCry befällt tausende Computer weltweit). Grund für die Verbreitung war auch eine Sicherheitslücke in der SMBv1-Implementierung von Windows (siehe SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server). Diese Sicherheitslücke war aber vor dem WannaCry-Befall durch Sicherheitsupdates von Microsoft geschlossen worden. Eigentlich hätte WannaCry nicht mehr die Sicherheitslücke ausnutzen können – aber die betroffenen Rechner waren ungepatcht.

Die Pflege des SMBv1-Codes ist mit einem gewissen Aufwand verbunden und es lässt sich nicht ausschließen, dass in der Implementierung weitere Schwachstellen enthalten sind. Daher möchte Microsoft vorbeugen und forciert, dass die Leute auf SMBv2 oder SMBv3 umsteigen sollen.

Zudem will Microsoft die im Blog-Beitrag SMB-Lücke SMBloris in Windows bleibt ungepatcht beschriebene Schwachstelle, über die man Rechner abschießen könnte, nichts mehr patchen (nicht so kritisch).

Chaos: Schrittweise Abschaltung ab Herbst 2017

Ich hatte im Blog-Beitrag Windows 10: Aus für SMBv1 ab Herbst 2017 darauf hingewiesen, dass Microsoft damit beginnt, SMBv1 in Windows 10 schrittweise abzuschalten. SMBv1 wird bei Neuinstallationen von Windows 10 nicht mehr automatisch mit installiert. Das wurde schrittweise umgesetzt:

Das Gleiche gilt für Neuinstallation von Windows 10 Version 1803. In Windows 10 Version 1803 sollte SMBv1 automatisch deaktiviert werden, sofern das Protokoll 14 Tage nicht verwendet wird.

Besonderheiten bei Windows 10 Version 1803


Werbung

Bezüglich der Frage, ob SMBv1 in Windows 10 Version 1803 bei Nichtbenutzung automatisch deinstalliert wird – wie von Microsoft geplant – gibt es eine Reihe Besonderheiten zu beachten. Auf die Spezialitäten hatte ich im Blog-Beitrag Windows 10: SMBv1-Klippen in Version 1803 hingewiesen.

SMBV1-Probleme bei Windows 10 Version 1803

Das Ganze hat dann aber zu argen Problemen geführt (siehe den Blog-Beitrag Windows 10 V1803: Netzwerkprobleme bestätigt). Man kann als Administrator SMBv1 auch manuell in Windows 10 aktivieren oder deaktivieren. Ein Bug in Windows 10 Version 1803 führte aber dazu, dass ein automatisch deaktiviertes SMBv1 bei der manuellen Aktivierung nicht mehr korrekt arbeitete. Microsoft hat dies mit Update KB4284848 behoben (siehe den Blog-Beitrag Windows 10 V1803: SMBv1-Fix mit Update KB4284848).

Kann man SMBv1 selbst entfernen?

Wer aus Sicherheitsgründen SMBv1 in seiner Windows-Umgebung testweise entfernen möchte, kann dies unter Windows 7 bis Windows 10 tun. Microsoft hat dieses Dokumentveröffentlicht, in der die entsprechenden Registrierungseingriffe oder PowerShell-Befehle beschrieben sind. Weiterhin gibt es Gruppenrichtlinien, um SMBv1 auf Systemen abzuschalten.

Ab Windows 8.1 kann man auch die Funktion Windows Features aufrufen und die Markierung beim Kontrollkästchen SMB 1.0/CIFS File Sharing Support löschen. Dann wird das Feature ebenfalls entfernt.

Microsoft gibt in diesem Blog-Beitrag ebenfalls Hinweise zum Deaktivieren per SMBv1. Das funktioniert auch in PowerShell mit dem Befehl:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Dieser Befehl entfernt die Unterstützung für SMBv1 auf dem Windows-Client.

Blog-Leser Karl hat mich per Mail darauf aufmerksam gemacht, dass SMBv2 und SMBv3 voneinander abhängen. Es ist also nicht möglich, SMB2 zu deaktivieren und nur SMB3 zu verwenden. Von ihm habe ich auch den Link auf diesen Microsoft-Artikel, der die SMB-Kompatibilitätsmatrix für Windows enthält.

Welche Probleme verursacht die SMBv1-Deaktivierung?

Die Abschaltung von SMBv1 in Windows (entweder manuell oder bei einer Windows 10-Neuinstallation) kann aber zu erheblichen Problemen führen. Auch wenn Ned Pyle in Tweets berichtet, dass er seit 2 Jahren ohne SMBv1 auskommt und sich nichts geändert habe, sieht die Welt da draußen anders aus. Alle Geräte, die zwingend auf SMBv1 angewiesen sind, funktionieren dann im Netzwerk nicht mehr.

  • Viele Multifunktionsgeräte mit Scan-Funktionen verwenden SMBv1, um die Scans über das Netzwerk auf Netzwerkfreigaben abzulegen. Unterstützen die Geräte kein SMBv2 oder SMBv3, wäre es nicht mehr einsetzbar. Ich hatte das Thema am Rande im Beitrag Windows 10: Scanner macht Probleme nach Update angesprochen.
  • In Netzwerkumgebungen von Windows 10 V1803 werden eventuell andere Rechner nicht mehr gefunden, die Netzwerkumgebung ist leer. Dieses Problem lässt sich aber durch bestimmte Umstellungen in den Windows-Diensten lösen. Ich habe das Thema im Beitrag Windows 10 V1803: Netzwerkprobleme bestätigt behandelt. Auch dieser Microsoft-Beitrag enthält entsprechende Hinweise.
  • Die Verwendung von NAS-Laufwerken in einem Netzwerk macht Probleme, wenn SMBv1 abgeschaltet wird. In diesem Kommentar weisen Blog-Leser auf solche Probleme hin. Bei den FRITZ!Box-Modellen der Berliner Firma AVM sind die als USB-Medien einbindbare NAS-Laufwerke nur per SMBv1 erreichbar.

Blog-Leser Karl weist aber darauf hin, dass die meisten Synologies NAS-Laufwerke zwar standardmäßig SMB1 verwenden. Man kann das aber in der Systemsteuerung von Windows so konfigurieren, dass für Dateifreigaben SMBv2 oder SMBv3 verwendet wird (SMB Service ein, AFP und NFS aus).

Falls aber Geräte nach der Deaktivierung von SMBv1 im Netzwerk streiken, wird man meiner Meinung nach nicht um die erneute Aktivierung des Netzwerkprotokolls herumkommen. Bei der Neubeschaffung von Netzwerkgeräten sollte aber auf die Unterstützung von SMBv2 geachtet werden.

Ähnliche Artikel:
Windows 10: SMBv1-Klippen in Version 1803
Windows 10 V1803: SMBv1-Fix mit Update KB4284848
SMBv1-Abschaltung bei Windows 10 Enterprise ab 9.6.2017
Windows 10: Aus für SMBv1 ab Herbst 2017
Windows 10 Version 1803: Netzwerksuche/-umgebung leer
Windows 10 V1803: Netzwerkprobleme bestätigt

WannaCry hat bei Chiphersteller TSMC zugeschlagen …


Anzeige
Dieser Beitrag wurde unter Netzwerk, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Responses to SMBv1-FAQ und Windows-Netzwerke

  1. Luis sagt:

    aber Geräte nach der Deaktivierung von SMBv1 im Netzwerk streiken, wird man meiner Meinung nach nicht um die erneute Aktivierung des Netzwerkprotokolls herumkommen.
    192.168.0.1 https://19216801help.com/

  2. deo sagt:

    Ich kaufe eine neue Fritzbox, aber SMBv2 und 3 gibt es da auch noch nicht.
    Der verwendete Samba Server ist aus 2009. Der muss dann auch im Rahmen eines Updates auf eine aktuelle Version gebracht werden.

    In der Wissensdatenbank zur 7390 (meiner Box) steht “Die Versionen 2 und 3 des SMB-Protokolls (SMB2, SMB3) werden von der FRITZ!Box nicht unterstützt.”
    Da wird sich wohl auch nichts mehr ändern.
    https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/3327_Von-der-FRITZ-Box-unterstuetzte-SMB-Versionen/

    Zur 7490: “Wir arbeiten an der Unterstützung von SMB3 durch FRITZ!OS und werden diese in einem Update für die FRITZ!Box bereitstellen. Einen Termin für das Update können wir noch nicht nennen.”
    Das ist dann schon ein Lichtblick.
    https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3327_Von-der-FRITZ-Box-unterstuetzte-SMB-Versionen/

    Den Mediaserver nutze ich hauptsächlich im Smart TV und Tablet. Für SMB ist aber nur die USB-Festplatte mit den Filmen freigegeben. Von den PCs aus greife ich per FTP auf die Speicher zu. Das geht recht einfach mit dem FTP-Client von Totalcommander.

    • nhauke sagt:

      Hi deo,

      da wirst Du aber noch ganz andere Probleme bekommen. Ich hatte bei mir mal testweise auf dem Synology NAS SMB1 deaktiviert und konnte quasi mit keiner App (Android) welche SMB nutzt mehr auf das NAS zugreifen. Lediglich Totalcommander bietet ein Plugin für SMB2. Insofern ist nicht nur ausschlaggebend ob die FritzBox das kann, sondern viel mehr das Problem ob der SmartTV und das Tablet das kann… ich habe nämlich auch jetzt noch keine Dateimanager-App gefunden, die das kann und mit der man dann beispielsweise durch die Bildersammlung blättern kann.

  3. Werbung

  4. Das mag wohl alles stimmen was Microsoft da schreibt, aber es ist und bleibt trotzdem eine Frechheit was Microsoft da Treibt.

    Ich bin halt ein alter Freund von Alter Hard,- & Software und solange es diese noch tut sehe ich auch nicht ein die Hardware auf den Müll zu schmeißen, nur weil irgendwas nicht mehr Zeitlich Aktuell ist.
    Fakt ist mein Alter Samba Server bleibt bestehen so Lange die IDE Datenträger noch laufen, egal ob es Microsoft passt oder nicht.

    Wäre ja noch schöner wenn mir Microsoft vorschreiben könnte welche Hardware ich einzusetzen hätte, da könnte ich auch gleich zu Apple wechseln.

    • Bernhard Diener sagt:

      Es scheint nicht recht deutlich geworden zu sein, dass es eine SMB Serverkomponente (zum Bereitstellen von Freigaben) und eine SMB Clientkomponente (zum Zugreifen auf Freigaben) gibt, die auch noch unterschiedlich behandelt werden.
      Will man auf “alte” Geräte zugreifen, die nur SMBv1 können (zum Beispiel auf die Freigaben der neuesten Fritzbox 7590 Stand heute), dann wird der SMBv1 Client benötigt – diesen deinstalliert Microsoft in der Home und Professionalversion aber gar nicht by default, sondern erst, wenn er 15 Tage (zuzüglich der Anzahl von Tagen, wo der PC gar nicht angeschaltet wurde) nicht benutzt wurde – das Schimpfen ist somit nicht unbedingt angebracht.

  5. Tom sagt:

    Der Teufel Raumfeld Connector benutzt auch noch SMBv1 wie ich leider feststellen musste. Somit kein Zugriff auf eine Musikfreigabe auf einem Windows Gerät. Bin mal gespannt ab die das im nächsten Firmware Update ändern und sicher machen. Sind ja sonst professionell.

    • Karl Wester-Ebbinghaus sagt:

      Einfach immer wieder anschreiben.

      Das hat die Ignoranz bei AVM auch gebrochen. Es hat nun 1 1/2 Jahre gedauert bis sie offiziell die Entwicklung von SMB 2 oder neuer für Fritzboxen bestätigt haben

  6. Ingenieurs sagt:

    Also irgendwie erschließt mir die Vorgehensweise von M$ mir nicht so ganz…
    Nach 15 Tage ohne Verwendung wir der SMBv1 Client deinstalliert.
    Soweit so gut. Damit sind auch die Sicherheitslücken weg.

    Wenn man den SMBv1 weiterhin verwendet, braucht es trotzdem Updates um die Lücken zu stopfen.
    Da also M$ sowieso noch Updates entwickeln muss, kann man doch direkt überall das Zeug aktiviert lassen.
    Und die die Updates nicht einspielen (ich weiß es gibt gute Gründe), die sind dann halt selbst Schuld. Allerdings haben sie die Wahl.

    • Karl Wester-Ebbinghaus sagt:

      “Da also M$ sowieso noch Updates entwickeln muss, kann man doch direkt überall das Zeug aktiviert lassen.”
      Microsoft wird da nichts mehr tun. SMB 1 ist offiziell deprecated. Support hin oder her.

  7. Janami25 sagt:

    Das Problem ist meist nicht “alte” Hardware, sondern die Protokolle. Meine beiden Synology NAS DS916+ und 918+ tauchen ums “verrecken” nicht in den Netzwerkgeräten auf, wenn SMBv1 deaktiviert ist. Da kann ich einstellen, was ich will. Mal erscheinen diese, mal nicht, wenn SMBv1 aussgeschaltet ist.

    Und das unter Windows 10 (1803). Unter Linux (Ubuntu) sind diese immer da, wenn ich im NAS SMBv1 deaktiviere, und nur SMBv2/v3 fahre.

    MS soll nicht so einen Stuss verzapfen, erst recht ist es noch schlimmer geworden mit dem ganzen Netzwerk, seit der 1803 und dem “Killing” vom Heimnetzwerk. Standardmässig sind ein paar Dienste deaktiviert, die Probleme machen, trotz Neuninstallation. Alles muss man selber machen/aktivieren. Sorry, aber das ist absoluter Schrott. Entweder richtig, oder gar nicht, wenn man schon so dicke Töne spuckt und SMBv1 wegen der Sicherheit deaktivieren soll.

    Meine Multifunktionsgerät (Laser) von HP ist von 2017, und ohne v1 funktioniert hier überhaupt kein Netzwerkscan.

    Reden die alle nicht miteinander, oder was soll der Stuss ??!

    Die Redmonder sind absolute Dilettanten, was Netzwerke angeht. Ich würde es gerne schlimmer formulieren, so sauer bin ich, aber das lass ich lieber.

    AVM muss ich in der Hinsicht auch tadeln, da grössenteils nur SMB V1 supported wird, trotz ansonsten toller Technik.

    • Günter Born sagt:

      Danke für die Information. Solltest Du noch näheres herausfinden (meine Hinweise oben zum Netzwerk hast Du berücksichtigt?), lasse es mich wissen.

    • Karl Wester-Ebbinghaus sagt:

      Exakt die reden nicht miteinander.

      AVM hat meine Hinweise in 2017 als nicht relevant eingestuft. Man wolle sich drum kümmern wenn es akut wird.

    • Karl Wester-Ebbinghaus sagt:

      Die Synology erreichst du über unc Pfade im Explorer Netzwerkpfad oder Laufwerk hinzufügen.
      Vergiss die Netzwerkumgebung.

      • Janami25 sagt:

        Nein, tue ich nicht.
        Wenn ich Probleme habe, das die Geräte nicht in der Netzwerk Umgebung auftauchen, dann funktioniert es genauso wenig per Direkt Link, bzw der Rechner rödelt dann ständig herum, aber öffnet es nicht. Das Problem ist etwas grundsätzliches.

        Netzlaufwerke möchte ich auch nicht, ich habe viele Links zu Netzwerk Ordnern, das funktioniert besser, da ich so nicht jedesmal einen Laufwerksbuchstaben vergeben muss.

        Im Grunde läuft alles mit Smb v1, und aus Zeitgründen lasse ich es wie es ist.

  8. Werbung

  9. Karl Wester-Ebbinghaus sagt:

    “Man kann das aber in der Systemsteuerung von Windows so konfigurieren, dass für Dateifreigaben SMBv2 oder SMBv3 verwendet wird (SMB Service ein, AFP und NFS aus).”

    Günter, Gemeint ist die Systemsteuerung in der Synology.

  10. Mario sagt:

    Fritz box hat es wiederholt nicht geschafft, die haben lieber an ihrem mesh rumgefummelt anstatt den focus auf das unsichere protokoll zu legen. Mit etwas glück wird die Fritzt box dann 2020
    SMBv3 unterstützen.

    HINWEIS: Im kommenden Release wir dieses FRITZ!Labor-Merkmal nicht mehr enthalten sein. Die Arbeiten zur Umstellung für das Release konnten noch nicht abgeschlossen werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.