Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SMBv1 uitschakelen nodig op gepatched systeem?

14-07-2017, 13:17 door Anoniem, 12 reacties

Ik vraag me af of het nodig is om SMB 1.0/CIFS File Share Support uit te schakelen op Win10 installaties, als deze wel gepatched zijn met MS17-010 patch en deze systemen niet naar de buitenwereld open staan met poort 445. Is het argument om dit alsnog uit te zetten, alleen met het oog op toekomstige exploits?

Wat ik ervan lees kan het weinig kwaad om het uit te schakelen, zolang SMB 2 enabled is. Ik lees ook dat Microsoft adviseert om niet langer SMBv1 te gebruiken. Maar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?

Firewall status W10 1703

AV bedrijven betrouwbaar?

Reacties (12)

14-07-2017, 15:02 door packetguy

De vraag die je jezelf kan stellen is: Waarom zou ik risico blijven lopen door SMBv1 te gebruiken?

Voor hetzelfde geld word er een andere vulnerability gevonden en ben je weer kwetsbaar totdat deze gepatched is.

Als je geen legacy systemen draait die hier afhankelijk van zijn zeg ik uitzetten die handel.

14-07-2017, 15:22 door Anoniem

Windows 10 is niet kwetsbaar voor Wannacry, maar er wordt wel aanbevolen om SMBv1 uit te zetten.
Vooral natuurlijk als je het ook nog eens niet gebruikt. Hoe:
https://www.saotn.org/disable-smbv1-windows-10-windows-server/

14-07-2017, 15:23 door Briolet

Door Anoniem: IMaar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?

Ik heb weinig verstand van windows, maar de herkenning van andere machines op naam, binnen een lan, gebeurd via SMB1. Als je dat uitzet, moet je een eigen dns server op je lan gebruiken om bij andere machines te komen, of moet je IP adressen gebruiken.

14-07-2017, 15:31 door Anoniem

Door Briolet:

Door Anoniem: IMaar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?

Daar zijn tegenwoordig al andere technieken voor.

14-07-2017, 16:01 door Anoniem

Mijn ervaring op een legacy installatie was dat na uitschakelen van SMB1 remote registry access door KiX en
remote opvragen/killen van processen met pstools niet meer werkten. Weer aangezet dus.

14-07-2017, 16:09 door Anoniem

Geeft alleen problemen op verouderde windows xp / server 2003 installaties.

14-07-2017, 16:19 door Bitwiper

Door Anoniem: Maar waarom schakelt Microsoft deze SMB v1 feature standaard in bij nieuwe Windows 10 installaties?

Zie https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-smbv1-in-windows-starting-this-fall/

Door Anoniem: Ik vraag me af of het nodig is om SMB 1.0/CIFS File Share Support uit te schakelen op Win10 installaties, als deze wel gepatched zijn met MS17-010 patch en deze systemen niet naar de buitenwereld open staan met poort 445.

De server service (srv.sys) is niet alleen buggy voor SMBv1 en deze gebruikt by default ook nog steeds TCP poort 139.

Waarom zet je de server service niet gewoon uit (startup op disabled)? Ik zie in verkenner geen netwerk shares, maar of dat komt doordat de "Computer Browser" service automatisch uitgaat als je de server service uitzet, of dat dit komt doordat ik ook SSDP en UPnP uitzet, weet ik niet - maar dat beetje ongemak heb ik graag over voor een veiliger systeem.

14-07-2017, 17:22 door Anoniem

Er zijn veel meer redenen om geen SMBv1 meer te gebruiken, zoals uitgebreid beschreven is door de 'product owner' van onder andere SMB bij Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

14-07-2017, 22:27 door [Account Verwijderd]

[Verwijderd]

15-07-2017, 10:50 door karma4

Door Neb Poorten: Alles wat je niet gebruikt uitschakelen! Daarmee verklein je het aanvalsoppervlak.