SMB-protokollet (Server Message Block Protocol) har funnits ganska länge och fungerar som ryggrad för fildelning och diverse andra nätverksoperationer. Men den tidigaste versionen, SMBv1, ses nu som en belastning på grund av en mängd säkerhetsproblem. Om du arbetar med IT eller är en IT-partner (MSP) bör nätverkssäkerheten vara din främsta prioritet. Så hur gör man för att inaktivera SMBv1 på ett effektivt sätt?
Vad gör manuset?
Det aktuella PowerShell-skriptet har utformats med ett mycket specifikt syfte: att inaktivera SMBv1 i Windows-miljöer. Det fungerar genom att använda en sekvens av inbyggda PowerShell-cmdlets och registermanipulationer för att säkerställa att SMBv1 är helt inaktiverat. Skriptet kan köras i en Windows 10- eller Windows Server 2016-miljö eller senare, vilket gör det mycket mångsidigt och värdefullt för alla moderna Windows-system.
Manuset: Inaktivera SMBv1
#Requires -Version 5.1
<#
.SYNOPSIS
Disables SMB v1
.DESCRIPTION
Disables SMB v1 via Get-WindowsOptionalFeature, Set-SmbServerConfiguration, or Registry
.EXAMPLE
No parameters needed.
.EXAMPLE
PS C:> Disable-SMBv1.ps1
No parameters needed.
.OUTPUTS
None
.NOTES
Minimum OS Architecture Supported: Windows 10, Windows Server 2016
Release Notes:
Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>
[CmdletBinding()]
param ()
begin {
function Test-IsElevated {
$id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
$p = New-Object System.Security.Principal.WindowsPrincipal($id)
if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
{ Write-Output $true }
else
{ Write-Output $false }
}
function Set-ItemProp {
param (
$Path,
$Name,
$Value,
[ValidateSet("DWord", "QWord", "String", "ExpandedString", "Binary", "MultiString", "Unknown")]
$PropertyType = "DWord"
)
# Do not output errors and continue
$ErrorActionPreference = [System.Management.Automation.ActionPreference]::SilentlyContinue
if (-not $(Test-Path -Path $Path)) {
# Check if path does not exist and create the path
New-Item -Path $Path -Force | Out-Null
}
if ((Get-ItemProperty -Path $Path -Name $Name)) {
# Update property and print out what it was changed from and changed to
$CurrentValue = Get-ItemProperty -Path $Path -Name $Name
try {
Set-ItemProperty -Path $Path -Name $Name -Value $Value -Force -Confirm:$false -ErrorAction Continue | Out-Null
}
catch {
Write-Error $_
}
Write-Host "$Path$Name changed from $CurrentValue to $(Get-ItemProperty -Path $Path -Name $Name)"
}
else {
# Create property with value
try {
New-ItemProperty -Path $Path -Name $Name -Value $Value -PropertyType $PropertyType -Force -Confirm:$false -ErrorAction Continue | Out-Null
}
catch {
Write-Error $_
}
Write-Host "Set $Path$Name to $(Get-ItemProperty -Path $Path -Name $Name)"
}
$ErrorActionPreference = [System.Management.Automation.ActionPreference]::Continue
}
$Disable = 0
# $Enable = 1 # Not Used
}
process {
if (-not (Test-IsElevated)) {
Write-Error -Message "Access Denied. Please run with Administrator privileges."
exit 1
}
# Try using Get-WindowsOptionalFeature first
if (-not $(Get-Command -Name "Get-WindowsOptionalFeature").Name -like "Get-WindowsOptionalFeature") {
Write-Host "Get-WindowsOptionalFeature command not found. Continuing."
}
else {
if ((Get-WindowsOptionalFeature -Online -FeatureName smb1protocol -ErrorAction SilentlyContinue).State -notlike "Disabled") {
# Disables smb1protocol feature
try {
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
# Disabled SMB1, exit
exit 0
}
catch {
Write-Host "smb1protocol feature not found. Continuing."
}
}
}
if (-not $(Get-Command -Name "Get-SmbServerConfiguration").Name -like "Get-SmbServerConfiguration") {
Write-Host "Get-SmbServerConfiguration command not found. Continuing."
$Path = "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"
$Name = "SMB1"
# https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#registry-editor
# Sets SMB1 to 0
Set-ItemProp -Path $Path -Name $Name -Value $Disable
}
if ((Get-SmbServerConfiguration).EnableSMB1Protocol) {
try {
Set-SmbServerConfiguration -EnableSMB1Protocol $false
}
catch {
Write-Host "Failed to disable SMBv1."
exit 1
}
}
}
end {}
Få tillgång till över 300+ skript i NinjaOne Dojo
Säkerhetsproblem kring SMBv1
SMBv1 är ökänt för sina säkerhetsbrister. Den har ofta varit måltavla för olika typer av attacker, ransomware och dataintrång. Att ha SMBv1 aktiverat är som att lämna ytterdörren öppen; du bjuder helt enkelt in till problem. Detta PowerShell-skript lindrar problemet effektivt genom att inaktivera SMBv1.
Tid och effektivitet
Manuell inaktivering av SMBv1 kan vara en tidskrävande uppgift, särskilt i storskaliga nätverksmiljöer. Detta skript automatiserar processen och sparar värdefull tid och arbete. För IT-partners som hanterar flera kunders nätverk är detta verktyg en gudagåva.
Övergripande strategi
Skriptet försöker inaktivera SMBv1 på flera sätt, bland annat med hjälp av Get-WindowsOptionalFeature-cmdlet, Set-SmbServerConfiguration-cmdlet och direkta ändringar i registret. Detta säkerställer att protokollet inaktiveras, även om en av metoderna misslyckas eller inte är tillgänglig på systemet i fråga.
Hur man använder skriptet Disable SMBv1
Att köra skriptet är enkelt. Här är en snabbguide:
- Spara skriptet i en fil med namnet Disable-SMBv1.ps1.
- Öppna PowerShell som administratör.
- Navigera till den mapp där du sparade skriptet.
- Kör skriptet genom att skriva PS C:>.Disable-SMBv1.ps1 och trycka på Enter.
Se till att du har administratörsbehörighet, annars avslutas skriptet, så att du inte av misstag gör ändringar som du inte borde göra.
Vem behöver detta manus?
- IT-proffs: Om du ansvarar för underhållet av ett företagsnätverk eller ett mindre nätverk bör detta skript ingå i din verktygslåda. Med detta kan du automatisera processen för att inaktivera SMBv1 i flera system på en gång.
- Leverantörer av hanterade tjänster (MSP): För dem som hanterar flera kunders nätverk kan möjligheten att snabbt inaktivera sårbara protokoll som SMBv1 lägga till ett extra lager av säkerhet, vilket gör din tjänst mer värdefull för dina kunder.
Integrera skriptet med NinjaOne
För IT-proffs och Managed Service Providers (MSP) som förlitar sig på NinjaOne som sin lösning för fjärrövervakning och fjärrhantering, kan införlivandet av detta skript i era regelbundna underhålls- eller säkerhetsprotokoll lägga till ytterligare ett lager av robusthet i er verksamhet.
Schemalagd körning
Du kan schemalägga exekveringen av PowerShell-skriptet genom NinjaOnes skriptmotor. På så sätt ser du till att SMBv1 automatiskt inaktiveras på alla nya system som läggs till i nätverket eller på alla system som återinitialiseras, vilket upprätthåller en enhetlig säkerhetsnivå.
Övervakning och varningar
Med NinjaOnes aviseringsfunktioner kan du skapa anpassade aviseringar som meddelar dig när skriptet har körts framgångsrikt eller om det stöter på några problem. Detta ger dig feedback i realtid, så att du kan ingripa vid behov.
Fjärrdistribution
Skriptet Disable SMBv1 kan fjärrdistribueras på flera system via NinjaOne. Detta är särskilt användbart för IT-partners som hanterar ett stort antal nätverk. Med några få klick kan du genomdriva en viktig säkerhetspolicy för alla hanterade endpoints.
Rapportering om efterlevnad
För efterlevnadskrav som GDPR eller HIPAA, där inaktivering av föråldrade och sårbara protokoll kan vara ett krav, kan du köra detta skript genom NinjaOne för att på ett smidigt sätt bevisa att lämpliga säkerhetsåtgärder finns på plats. NinjaOnes rapporteringsfunktioner kan hjälpa dig att skapa omfattande rapporter för revisionsspår.
Avslutande tankar
Att inaktivera SMBv1 borde vara en självklarhet för alla organisationer som tar nätverkssäkerhet på allvar. Detta PowerShell-skript innehåller en tillförlitlig, effektiv och omfattande metod för att göra just detta. Med tanke på det kritiska behovet av förhöjda säkerhetsprotokoll i dagens IT-landskap bör antagandet av detta skript ha högsta prioritet.