3 – Inaktivera SMB v1

Mål: Förhindra spridning via utnyttjande av gamla protokoll

SMB är Microsofts protokoll för Fil & Skrivardelning i nätverk

Förutom att kontinuerligt uppdatera systemen för kända sårbarheter vilka exponerar vanliga protokoll såsom SMB (detaljer här) kan inaktivering av SMB v1 på datorer reducera masspridning som nyttjas av specifika virusvarianter.

SMB v1 kan inaktiveras på datorer med Windows 7, Windows Server 2008 R2 och senare, antingen via PowerShell, register ändring eller med hjälp av en GPO mall från Microsoft Security Compliance Toolkit.
I nyare version 1709 av Windows 10 eller Windows Server installerad är SMB v1 ej längre installerade. Detta gäller dock enbart nya installationer vilket innebär att de allra flesta av oss behöver se över detta för att kartlägga nuvarande situation. För hur man önskar att detta skall lösas per automatik med uppgraderingar från Microsoft, är så inte fallet, utan ett myller av olika villkor för hur uppgradering skedde och i vilka steg. Även om Windows bara finns i en sort nu för tiden ”Windows 10” så kommer den i olika smaker (Home, Pro och Enterprise…) så finns dessa även i olika versioner (1507, 1607, 1703, 1709, 1803, 1809, 1903, 1909, 2004, 20H2 och 21H1) som ni ser bildar dessa ett mönster av årgång och månad vilket ger en indikation på när det släpptes. Versionerna innehåller olika aktiva grundstenar vid en nyinstallation, men som nämnt tidigare följer dessa med vid uppgradering till nya version, så beroende på hur länge sedan du köpte eller installerade din dator kan en massa gamla funktioner vara aktiva fortfarande. Därmed är det på sin plats att kartlägga detta och förmodligen även vidta åtgärder.

Alternativa metoder

PowerShell metod:

Set-SmbServerConfiguration -EnbleSMB1Protocol $false
PowerShell kommando för att inaktivera SMB v1

Registry metod:

Genom inställningar i registret kan SMB1 inaktiveras på datorer

Inaktivera SMBv1 Server

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registry entry: SMB1
REG_DWORD = ”0” (Disabled)
Registernyckel och värde för att inaktivera SMB v1 server (lyssnare)

Inaktivera SMBv1 Client

Ransomware Protection and Containment Strategies
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10 Registry entry: Start REG_DWORD = “4” (Disabled)

Ransomware Protection and Containment Strategies
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation Registry entry: DependOnService REG_MULTI_SZ: “Bowser”,“MRxSmb20”,“NSI”
Registernyckel och värde för att inaktivera SMB v1 klient

Group Policy metod:

Med hjälp av ”Microsoft Security Guide” Group Policy mall kan SMB v1 inaktiveras via inställningarna nedan.

  • Computer Configuration > Policies > Administrative Templates > MS Security Guide > Configure SMB v1 Server
Inaktivera SMB v1 via GPO
  • Computer Configuration > Policies > Administrative Templates > MS Security Guide > Configure SMB v1 Client Driver – Enabled
    • Configure MrxSMB10 driver – Disable driver
Inaktivera SMB v1 client driver via GPO mall
Inaktivera SMB v1 client driver via GPO mall – additional setting

Computer Configuration > Policies > Administrative Templates > MS Security Guide > Configure SMB v1 Client (extra setting needed for pre-Win8.1/2012R2) – Enabled

  • Configure LanmanWorkstation Dependencies
    – Browser
    – MrxSMB20
    – NSI
Inaktivera SMB v1 client extra setting via ”MS Security Guide” Group Policy mall.
Inaktivera SMB v1 client driver via ”MS Security Guide” Group Policy mall – extra inställningar för att försäkra att MRxSmb10 tillvalet inte finns.

Del 4: Åtstramning av Windows Remote Management (WinRM)