SMB 1.0 in Windows 10 bald standardmäßig deaktiviert

Windows 10 Logo

Bei SMB 1.0 (Server Message Block) handelt es sich um ein Uralt-Netzwerkprotokoll für Datei- und Druckdienste, welches nach über 30 Jahren leider immer noch Verwendung findet. Vor allem die Microsoft-Implementierung galt als fehleranfällig und sicherheitskritisch, was vor kurzem eindrucksvoll bewiesen wurde. Die im Mai 2017 aufgetauchte Ransomware WannaCry basierte auf einer Sicherheitslücke in SMB 1.0.

Schon 2014 deutete Microsoft eine Abschaltung von SMB 1.0 an, was jedoch bis heute nicht stattgefunden hat. In reinen Windows-Umgebungen dürfte Version 1.0 in der Regel nicht mehr notwendig sein, denn SMB 2.0 wird ab Windows Vista bzw. Server 2008 unterstützt. Teilweise kommen aber noch Windows XP und alte Samba-Versionen auf Linux zum Einsatz, die SMB 1.0 benötigen. Überraschenderweise setzen auch noch viele Produkte aus dem Enterprise-Umfeld auf die völlig veraltete Version.

Jetzt hat Microsoft einen neuen Vorstoß angekündigt:

For more information on why using SMB1 is unsafe, see StopUsingSMB1. SMB1 has been deprecated for years and will be removed by default from many editions and SKUs of Windows 10 and Windows Server 2016 in the RS3 release.

Demnach möchte Microsoft mit dem Erscheinen des Windows 10 Fall Creators Update (Version 1709) SMB 1.0 standardmäßig deaktivieren. Allerdings trifft dies nur auf Neuinstallationen zu, bestehende Systeme die auf Windows 10 1709 upgegradet werden, sollen davon nicht betroffen sein. Dies stellte Ned Pyle auch noch einmal gegenüber Bleeping Computer klar:

That date is now the release of Windows 10 Redstone 3, also referenced as the Fall Creators Update, scheduled for launch in October/November 2017.

After that day, every new Windows 10 or Windows Server 2016 OS you install will not have some or all of SMBv1 turned on, which is the norm right now.

This is not patching, nor upgrading. This is clean install RS3.

SMB 1.0 manuell deaktivieren

Wer keine Geräte mit SMB 1.0 mehr nutzt, kann die alte Version problemlos deaktivieren. Aus Sicherheitsgründen ist das auch stark anzuraten. Via PowerShell lässt sich leicht herausfinden, ob SMB 1.0 auf dem PC aktiviert ist oder nicht:

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Die Deaktivierung bzw. Deinstallation kann ab Windows 8.1 bzw. Server 2012 R2 bequem über „Systemsteuerung“ -> „Programme und Features“ -> „Windows-Features aktivieren oder deaktivieren“ erfolgen. Einfach den Haken bei „Unterstützung für die SMB 1.0/CIFS-Dateifreigabe“ entfernen und neustarten.

SMB 1.0 deaktivieren

Alternativ kann das Feature auch per Registry, PowerShell oder via Gruppenrichtlinien deaktiviert werden. Microsoft hat einen Artikel dazu veröffentlicht, der alle Möglichkeiten ausführlich beschreibt.

Achtung! Wenn SMB 1.0 deaktiviert wird, funktioniert der Zugriff auf das NAS der FRITZ!Box (FRITZ!NAS) nicht mehr. Dieses Problem tritt auch bei neuen FRITZ!Boxen auf, da AVM anscheinend generell nur auf SMB 1.0 setzt. Als Alternative kann via FTP oder HTTP auf das NAS zugegriffen werden.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

4 Antworten

  1. Frank sagt:

    wenn ich das deaktiviere, komm ich nicht mehr auf das FritzboxShare (USB)
    in der FB kann man da nix umstellen (7270)
    hm..

    • Tobi sagt:

      Soweit ich das jetzt herausgefunden habe unterstützen die FRITZ!Boxen generell nur SMB 1.0. Wenn du also weiterhin auf das NAS zugreifen möchtest, musst du SMB 1.0 aktiviert lassen. Alternativ könntest du ja per FTP auf das NAS der FRITZ!Box zugreifen.

  2. Frank sagt:

    FTP ist für mich keine Alternative. Dann bleibt SMB 1.0 an 🙂
    dann freu ich mich mal auf die neuen Systeme und die ganzen Meldungen, dass
    die FB Benutzer nicht auf ihr Share kommen…

    danke fürs nachschauen Tobi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.