Windows 10 Tricks

Im Folgenden wird eine Sammlung von Arbeitsanleitungen zur Administration eines Windows 10 Systems gegeben.

Das unsichere SMB1 Protokoll ist auf neuen Windows 10 Installationen standardmäßig deaktiviert, jedoch nicht auf älteren Windows 10 Installationen. Man sollte es daher manuell auf allen Windows Clients deaktivieren:

• PowerShell per Rechtsklick im Startmenü als Administrator ausführen
• Sicherheitsabfrage bestägigen
• Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
• Neustarten

Serverseitig sollte man es natürlich auch deaktivieren.

Hintergrund: SMB1 fehlen protokollseitig wichtige Sicherheitsfeatures:

• Schutz vor Downgrade-Attacken (SMB 3.0, 3.02, 3.1.1+)
• Verschlüsselung (SMB 3.0+)
• Schutz vor MITM-Angriffen (SMB 3.0 unter Windows 10)
• Bessere Signaturverfahren (SMB 2.02, 3.0+)

Man sollte allerdings in einer Testumgebung testen, ob die Abschaltung von SMB1 nicht zu Problemen führt. Ältere Samba-Server, alte NAS-Laufwerke, alte Netzwerkdrucker, Netzwerkfreigaben auf alten Windows Systemen usw. könnten durchaus noch clientseitig aktiviertes SMB1 voraussetzen. In dem Fall wären diese Gerätschaften perspektivisch zu aktualisieren, anderweitig zu konfigurieren oder andernfalls zu ersetzen.

SMB1 bietet ansonsten keine Vorteile gegenüber späteren Versionen. Sofern alle Gerätschaften eines Netzwerkes mindestens SMB2 unterstützen, wird diese im Regelbetrieb ohnehin benutzt. Das dann ohnehin unbenutzte SMB1 kann dann getrost abgeschaltet werden.