SMBv1 deaktivieren per GPO

itthekid
Goto Top
Hallo zusammen,
ich habe folgendes Problem und hoffe, dass mir hier jemand weiter helfen kann.

Ich habe vor kurzem bei einem Client entdeckt, dass SMBv1 aktiviert war. Jetzt möchte ich es auf allen Geräten deaktivieren.
Da ich nicht genau weiß, wo es aktiviert ist möchte ich das ganze per GPO umsetzen.

Für die Umsetzung habe ich folgende Anleitung zur Hilfe genommen.
https://docs.microsoft.com/de-de/windows-server/storage/file-server/trou ...

Die GPO ist wie in der Anleitung erstellt und ist allen Geräten zugewiesen.

unbenannt

Um die GPO zu prüfen habe ich an einem Client SMBv1 aktiviert und dann gpupdate /Force durchgeführt. Leider bleibt smbv1 auch nach mehrmaligen Neustart weiterhin aktiv.

Die Reg. Einträge, die ich in der GPO eingestellt habe, hat er übernommen. Aber unter Programme und Features ist weiterhin ein Hacken bei "Unterstützung für SMB 1.0/CIFS-Dateifreigabe"

unbenannt1

Wenn ich aber diesen Befehl: " Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol" lokal ausführe, ist auch kein Hacken mehr bei "Unterstützung für SMB 1.0/CIFS-Dateifreigabe".

Was genau mache ich denn falsch? Wie kriege ich den Hacken bei "Unterstützung für SMB 1.0/CIFS-Dateifreigabe" über eine GPO weg?

Ich bedanke mich recht herzlich im Voraus.

Content-Key: 3151853257

Url: https://administrator.de/contentid/3151853257

Ausgedruckt am: 01.07.2022 um 18:07 Uhr

Mitglied: unbelanglos
unbelanglos 23.06.2022 um 09:47:06 Uhr
Goto Top
Deinstallieren des Features ist nicht beabsichtigt?
Mitglied: Itthekid
Itthekid 23.06.2022 um 09:51:49 Uhr
Goto Top
Erstmal nicht ich würde es gern erstmal nur deaktivieren. Und wenn es nach ein paar Wochen keine Probleme gab würde ich es dann deinstallieren.
Mitglied: 0xFFFF
0xFFFF 23.06.2022 um 09:54:17 Uhr
Goto Top
Hey,

ich wäre hier vorsichtig und würde lieber den besagten Rechner suchen und es dort deaktivieren wenn es wirklich nicht benötigt wird. -Bevor Du evtl. den ganzen Maschinenpark lahmlegst.

In meinem Fall wäre das fatal, wenn ich SMB 1 Global deaktiviere - so ziemlich alle unserer Maschinen würden dann dank Win PE/CE nicht mehr übers Netzwerk arbeiten (wollen).

Grüße
Mitglied: Itthekid
Itthekid 23.06.2022 um 10:02:43 Uhr
Goto Top
Okey
Das Problem mit den Maschinen würde bei uns nicht zutreffen. Aber ich würde trotzdem vorsichtiger sein und die Funktion manuell an allen Clients deaktivieren.

Gibt es eine Möglichkeit alle Clients und Server wo SMBv1 aktiv ist per Powershell aufzulisten?
Mitglied: DerWoWusste
DerWoWusste 23.06.2022 um 10:09:20 Uhr
Goto Top
Du deaktivierst mit den Regkeys den Dienstestart. Das Feature bleibt installiert und deshalb bleibt der Haken drin.
Alles wie zu erwarten und wie von dir beabsichtigt - du musst nichts ändern.