4
Server macht SMBv1 Anfrage, obwohl V1 deaktiviert
Hallo,
wir sind dabei unsere Server abzusichern. Unter anderem schalten wir SMBv1 ab.
Ich habe nun den Netzwerkverkehr mit wireshark beobachtet und bin auf folgende Sache gestoßen, die ich mir nicht erklären kann.
Auf dem Server ist SMBv1 nicht installiert
und auch der Powershell Befehl
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
liefert als State: Disabled
Laut Wireshark versendet der Server aber dennoch ein SMB-Paket, in dem er
auch den "Dialekt" NT LM anbietet.
Gibt es hierfür eine Erklärung?
Grüße
Andreas
wir sind dabei unsere Server abzusichern. Unter anderem schalten wir SMBv1 ab.
Ich habe nun den Netzwerkverkehr mit wireshark beobachtet und bin auf folgende Sache gestoßen, die ich mir nicht erklären kann.
Auf dem Server ist SMBv1 nicht installiert
und auch der Powershell Befehl
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
liefert als State: Disabled
Laut Wireshark versendet der Server aber dennoch ein SMB-Paket, in dem er
auch den "Dialekt" NT LM anbietet.
Gibt es hierfür eine Erklärung?
Grüße
Andreas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 31865389826
Url: https://administrator.de/contentid/31865389826
Ausgedruckt am: 17.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Zitat von @andreas65m:
Gibt es hierfür eine Erklärung?
Moin,
Ja, Du hast nur smbv1 abgestellt. Das deaktiviert aber nicht automatisch NTLM-Authentifikation. Die mußt Du extra abstellen:
https://www.google.com/search?q=ntlm+authentication+deaktivieren
lks
1
@andreas...
Kann es sein, daß Ihr das für ältere Scanner (Scan to Folder) aktiviert hattet ?
Schalte das bitte schnellstmöglich ab.. Das ist ein absolutes Eigentor in Sachen Trojaner etc.
Neue Scanner / Kopiermaschinen sind da aucf Dauer erheblich günstiger...
@lks - Du hast ja gezeigt wie...ungeprüft..
Gruss Globe!
Kann es sein, daß Ihr das für ältere Scanner (Scan to Folder) aktiviert hattet ?
Schalte das bitte schnellstmöglich ab.. Das ist ein absolutes Eigentor in Sachen Trojaner etc.
Neue Scanner / Kopiermaschinen sind da aucf Dauer erheblich günstiger...
@lks - Du hast ja gezeigt wie...ungeprüft..
Gruss Globe!
Zitat von @Lochkartenstanzer:
Gibt es hierfür eine Erklärung?
Moin,
Ja, Du hast nur smbv1 abgestellt. Das deaktiviert aber nicht automatisch NTLM-Authentifikation. Die mußt Du extra abstellen:
https://www.google.com/search?q=ntlm+authentication+deaktivieren
lks
Hallo lks,Zitat von @andreas65m:
Gibt es hierfür eine Erklärung?
Moin,
Ja, Du hast nur smbv1 abgestellt. Das deaktiviert aber nicht automatisch NTLM-Authentifikation. Die mußt Du extra abstellen:
https://www.google.com/search?q=ntlm+authentication+deaktivieren
lks
auf dem Server ist SMB1 deaktiviert
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
FeatureName : SMB1Protocol
DisplayName : SMB 1.0/CIFS File Sharing Support
Description : Support for the SMB 1.0/CIFS file sharing protocol, and the Computer Browser protocol.
RestartRequired : Possible
State : Disabled
CustomProperties :
Auf den DCs ist es deaktiviert und
in den policies steht "Send NTLMv2 response only . Refuse LM &NTLM.
Dennoch verschickt der Server beim Start ein SMB Paket indem als mögliches Protokoll eben auch NT LM 0.12 angeboten wird.
Ich kann dies nicht nachvollziehen.
Grüße
Andreas
Moin,
Es ist anscheinend gar nicht so einfach NTLM ganz loszuwerden. Siehe auch Adieu NTLM - eine Leidensgeschichte?
lks
Es ist anscheinend gar nicht so einfach NTLM ganz loszuwerden. Siehe auch Adieu NTLM - eine Leidensgeschichte?
lks
