Synology-Forum.nl
Overige software => FTP, NFS and Samba Server => Topic gestart door: kaosnews op 05 december 2017, 08:27:33
-
Ik lees vaak dat SMB1 onveilig is (https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/) en dat je dit beter kan uitschakelen. Nu is standaard (volgens mij) SMB2, maar ik zie wel dat SMB1 als minimum SMB protocol staat ingesteld. Is het slim om het in te stellen zoals afbeelding?
-
Nee dat is niet slim.
Je schakelt dan ook meteen je netwerk inventarisatie van windows uit.
Met andere woorden je ziet je Nas dan niet meer in je verkenner.
Die link van jouw is een broodje aap verhaal, van mensen die de klok wel horen luiden maar niet weten waar de klepel hangt.
In het verleden is er lek geweest in het smb protocol maar was allang gepatched in zowel Samba (smb implementatie van Linux) als windows toe deze hoax boven water kwam.
Dus als jij je systemen up-to-date hebt gehouden is er niets aan de hand.
-
Ik kon me ook niet voorstellen dat tegenwoordig iets onveilig standaard actief zou staan.
-
Die link van jouw is een broodje aap verhaal, van mensen die de klok wel horen luiden maar niet weten waar de klepel hangt.
Ik ben geen Windows kenner, maar dat stuk ziet er bij mij degelijk onderbouwd uit. Hij gaat ook in op je genoemde "network discovery".
The Computer Browser service relies on SMB1 in order to populate the Windows Explorer Network (aka “Network Neighborhood”). This legacy protocol is long deprecated, doesn’t route, and has limited security. Because it cannot function without SMB1, it is removed at the same time.
However, some customers still use the Explorer Network in home and small business workgroup environments to locate Windows computers. To continue using Explorer Network, you can perform the following steps on your Windows computers that no longer use SMB1:
Hij beweert dat het protocol "deprecated" is. Dat betekend dat het nog wel werkt maar dat ontwikkelaars het niet meer moeten gebruiken omdat dit protocol op het lijstje staat om geschrapt te worden. In elk geval draagt hij in het stuk methoden aan om de explorer toch te kunnen blijven gebruiken.
-
Kan allemaal wel zo zijn maar zolang Microsoft het standaard gebruikt en je zelf allerlei settings die onder windows 10 steeds verder verstopt zitten moet aanpassen om je netwerk te kunnen browsen lijkt het me toch beter gewoon smb1 aan te laten
Buiten het feit dat er een hack geweest is die al lang en breed gedicht is en alleen op windows XP voorkwam geeft hij geen enkel reden om het uit te zetten.
Uiteraard ben ik het helemaal met hem eens dat je smb 3 moet aanzetten, maar dat is niet in tegenspraak met smb1 aan laten ten behoeve van netwerk browsing.
Maar veel mensen zetten wel smb1 uit, maar doen niet de rest en dan kunnen ze hun netwerk niet meer browsen.
-
Deze man heeft wel gelijk over de onveiligheid van SMB1, maar hij heeft het hier over de beveiliging van bedrijfsnetwerken. Niet over thuisnetwerkjes.
Er van uitgaande dat niemand zo gek is om SMB open te zetten naar internet (alhoewel dat een veel voorkomende vraag is op dit forum :P) is dit voor thuis dus totaal niet relevant. Het zal thuis niet gauw voorkomen dat iemand in je netwerkkast duikt om jouw netwerkje te hacken.
Daarnaast zou ook veel thuisapparatuur niet meer werken als je het uitschakelt. Kijk bijvoorbeeld naar Sonos, die ondersteunen alleen SMB1.
-
Is het dan wel 'handig' om max. SMB protocol op SMB3 te zetten en Min. op SMB1?
-
Jazeker, want SMB3 heeft veel meer voordelen t.o.v. SMB1 dan alleen beveiliging. Dus als computers de optie hebben kun je ze van SMB3 gebruik laten maken.
-
Toevallig zag ik elders (https://ziggoforum.nl/topics/91308/) een bericht voorbij komen dat de "Windows 10 fall Creator update ook smb1 uitschakelt. Niet verwijderd, dus kun je het weer aanzetten.
-
Die windows versie draait hier ook maar smb1 wordt echt niet uitgeschakeld.
Verder heb ik even gekeken naar die zogenaamde oplossing om het SSDP protocol te gebruiken voor network discovery.
Helaas moet Upnp op je NAS aanzetten om dat te laten werken.
Dus de oplossing is veel erger dan de kwaal in dit geval.
Dit is typisch een geval van iemand die alleen in bedrijfsnetwerken bezig, want daar heb je gewoon een DNS server en is smb1 echt overbodig, maar voor een thuisnetwerk is een DNS server meestal overkill.
-
Ik vind wel een officiële microsoft publicatie (https://support.microsoft.com/en-us/help/4034314/smbv1-is-not-installed-windows-10-and-windows-server-version-1709) waarin aangegeven wordt dat smb1 niet geïnstalleerd wordt op die windows versie bij een clean install.
Maar het klopt dat je je bij een thuisnetwerk minder druk hoeft te maken over smb1.
Een eigen dns server is thuis wel gemakkelijk. Ik heb er de namen "nas" en "nas2" in staan. Met ssh kan in nu met minimaal typewerk inloggen. (Ik ben lui :P). Eigenlijk heb ik "nas.local" aangemaakt, maar in de router heb ik ingesteld dat ".local" het default zoekdomein is.
-
Domme vraag (mogelijk), maar hoe kan je zien in Windows 10 welke versie van SMB actief is? En/of SMB1 dus is uitgeschakeld?
-
Run applwiz.cpl
-
Domme vraag (mogelijk), maar hoe kan je zien in Windows 10 welke versie van SMB actief is? En/of SMB1 dus is uitgeschakeld?
Powershell:
#SMB V1
Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol
#Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
# Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
# SMB V2/V3
Get-SmbServerConfiguration | Select EnableSMB2Protocol
#Set-SmbServerConfiguration –EnableSMB2Protocol $false
#Set-SmbServerConfiguration –EnableSMB2Protocol $true