SMB und AD

  • Seit den bekannten Sicherheitslücken von SMBv1 gab es diverse Aufrufe zum Boykott von SMBv1.
    Das Problem war bisher -soweit ich weiss-, dass bei deaktiviertem SMBv1 Protokoll das QNAP keiner Active Directory mehr beitreten konnte.
    Weiss jemand, ob es dafür inzwischen eine Lösung/einen Workaround gibt? Oder kann ich ohne weiteres SMBv1 deaktivieren?

  • Am Thema SMBV1 bin ich auch gerade dran....
    QTS spricht definitiv SMBV1 *suxx, ich spar mir die Bemerkung*


    Zur Frage bzgl. AD kann ich zwar nicht soviel beitragen, hab gerade keins aktiv.


    Allerdings hab ich ne Lösung zum einfachen Abschalten und dem Nachweiss.
    Der Rest wäre dein Job :D
    Der Test ( Abschalten SMB1 +Domain-Join ) sollte nicht länger als 5 Minuten erfordern *g


    Test : SMB1 aktiv ?
    Auf nem Rechner mit nmap 4.60 :

    Code
    cd /usr/share/nmap/scripts/
    nmap --script=smb-protocols.nse -p445 192.168.xxx.xxx

    Wenn NT LM 1.02 angezeigt wird ist SMBV1 aktiv.


    Abhilfe :
    vi /etc/smb.conf
    Am Ende des |global|-Abschnittes anfügen :
    min protocol = SMB2
    speichern und
    /etc/init.d/smb.sh restart


    Wenn dann der Domain-Join funktioniert... kannste SMB1 deaktiviert lassen.


    Bin gespannt.

  • Besten Dank.


    Domain Join funktioniert, habe beide Systeme (QNAP NAS / Windows Server 2016) auf dem neusten Stand. Wichtig zu wissen: Ab Windows 10 Creators Update ist SMBv1 per default inaktiv. Nicht jedoch beim Windows Server 2016. Die Deaktivierung kann über die Feature-Deinstallation vorgenommen werden.
    Ich hatte danach jedoch das Problem, dass die Roamingprofile (liegen auf dem QNAP mit inaktivem SMBv1) nicht mehr synchronisierten. Abhilfe schafft folgendes:


    https://www.qnap.com/en-us/how…an-i-resolve-this-problem

  • Es lebe die Steck-ein-was-du-willst-und-es-funktioniert-Philosophie :D
    Sicherheit ? Wer braucht das schon :D


    Ich kanns bestätigen.. SMBV1 ist auch auf dem HyperV_Server2016 von Haus aus aktiv.
    Auf 2012R2-Servern muss es auch explizit deaktiviert werden.
    8.1 + Win7 sowieso