Hur man inaktiverar SMBv1 (Server Message Block Protocol) med PowerShell

SMB-protokollet (Server Message Block Protocol) har funnits ganska länge och fungerar som ryggrad för fildelning och diverse andra nätverksoperationer. Men den tidigaste versionen, SMBv1, ses nu som en belastning på grund av en mängd säkerhetsproblem. Om du arbetar med IT eller är en IT-partner (MSP) bör nätverkssäkerheten vara din främsta prioritet. Så hur gör man för att inaktivera SMBv1 på ett effektivt sätt?

Vad gör manuset?

Det aktuella PowerShell-skriptet har utformats med ett mycket specifikt syfte: att inaktivera SMBv1 i Windows-miljöer. Det fungerar genom att använda en sekvens av inbyggda PowerShell-cmdlets och registermanipulationer för att säkerställa att SMBv1 är helt inaktiverat. Skriptet kan köras i en Windows 10- eller Windows Server 2016-miljö eller senare, vilket gör det mycket mångsidigt och värdefullt för alla moderna Windows-system.

Manuset: Inaktivera SMBv1

#Requires -Version 5.1

<#
.SYNOPSIS
    Disables SMB v1
.DESCRIPTION
    Disables SMB v1 via Get-WindowsOptionalFeature, Set-SmbServerConfiguration, or Registry
.EXAMPLE
    No parameters needed.
.EXAMPLE
    PS C:> Disable-SMBv1.ps1
    No parameters needed.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param ()

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
    function Set-ItemProp {
        param (
            $Path,
            $Name,
            $Value,
            [ValidateSet("DWord", "QWord", "String", "ExpandedString", "Binary", "MultiString", "Unknown")]
            $PropertyType = "DWord"
        )
        # Do not output errors and continue
        $ErrorActionPreference = [System.Management.Automation.ActionPreference]::SilentlyContinue
        if (-not $(Test-Path -Path $Path)) {
            # Check if path does not exist and create the path
            New-Item -Path $Path -Force | Out-Null
        }
        if ((Get-ItemProperty -Path $Path -Name $Name)) {
            # Update property and print out what it was changed from and changed to
            $CurrentValue = Get-ItemProperty -Path $Path -Name $Name
            try {
                Set-ItemProperty -Path $Path -Name $Name -Value $Value -Force -Confirm:$false -ErrorAction Continue | Out-Null
            }
            catch {
                Write-Error $_
            }
            Write-Host "$Path$Name changed from $CurrentValue to $(Get-ItemProperty -Path $Path -Name $Name)"
        }
        else {
            # Create property with value
            try {
                New-ItemProperty -Path $Path -Name $Name -Value $Value -PropertyType $PropertyType -Force -Confirm:$false -ErrorAction Continue | Out-Null
            }
            catch {
                Write-Error $_
            }
            Write-Host "Set $Path$Name to $(Get-ItemProperty -Path $Path -Name $Name)"
        }
        $ErrorActionPreference = [System.Management.Automation.ActionPreference]::Continue
    }
    $Disable = 0
    # $Enable = 1 # Not Used
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    
    # Try using Get-WindowsOptionalFeature first
    if (-not $(Get-Command -Name "Get-WindowsOptionalFeature").Name -like "Get-WindowsOptionalFeature") {
        Write-Host "Get-WindowsOptionalFeature command not found. Continuing."
    }
    else {
        if ((Get-WindowsOptionalFeature -Online -FeatureName smb1protocol -ErrorAction SilentlyContinue).State -notlike "Disabled") {
            # Disables smb1protocol feature
            try {
                Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
                # Disabled SMB1, exit
                exit 0
            }
            catch {
                Write-Host "smb1protocol feature not found. Continuing."
            }
        }
    }

    if (-not $(Get-Command -Name "Get-SmbServerConfiguration").Name -like "Get-SmbServerConfiguration") {
        Write-Host "Get-SmbServerConfiguration command not found. Continuing."
        $Path = "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters"
        $Name = "SMB1"
        # https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#registry-editor
        # Sets SMB1 to 0
        Set-ItemProp -Path $Path -Name $Name -Value $Disable
    }
    if ((Get-SmbServerConfiguration).EnableSMB1Protocol) {
        try {
            Set-SmbServerConfiguration -EnableSMB1Protocol $false            
        }
        catch {
            Write-Host "Failed to disable SMBv1."
            exit 1
        }
    }
}
end {}

 

Få tillgång till över 300+ skript i NinjaOne Dojo

Få tillgång till

Säkerhetsproblem kring SMBv1

SMBv1 är ökänt för sina säkerhetsbrister. Den har ofta varit måltavla för olika typer av attacker, ransomware och dataintrång. Att ha SMBv1 aktiverat är som att lämna ytterdörren öppen; du bjuder helt enkelt in till problem. Detta PowerShell-skript lindrar problemet effektivt genom att inaktivera SMBv1.

Tid och effektivitet

Manuell inaktivering av SMBv1 kan vara en tidskrävande uppgift, särskilt i storskaliga nätverksmiljöer. Detta skript automatiserar processen och sparar värdefull tid och arbete. För IT-partners som hanterar flera kunders nätverk är detta verktyg en gudagåva.

Övergripande strategi

Skriptet försöker inaktivera SMBv1 på flera sätt, bland annat med hjälp av Get-WindowsOptionalFeature-cmdlet, Set-SmbServerConfiguration-cmdlet och direkta ändringar i registret. Detta säkerställer att protokollet inaktiveras, även om en av metoderna misslyckas eller inte är tillgänglig på systemet i fråga.

Hur man använder skriptet Disable SMBv1

Att köra skriptet är enkelt. Här är en snabbguide:

  1. Spara skriptet i en fil med namnet Disable-SMBv1.ps1.
  2. Öppna PowerShell som administratör.
  3. Navigera till den mapp där du sparade skriptet.
  4. Kör skriptet genom att skriva PS C:>.Disable-SMBv1.ps1 och trycka på Enter.

Se till att du har administratörsbehörighet, annars avslutas skriptet, så att du inte av misstag gör ändringar som du inte borde göra.

Vem behöver detta manus?

  • IT-proffs: Om du ansvarar för underhållet av ett företagsnätverk eller ett mindre nätverk bör detta skript ingå i din verktygslåda. Med detta kan du automatisera processen för att inaktivera SMBv1 i flera system på en gång.
  • Leverantörer av hanterade tjänster (MSP): För dem som hanterar flera kunders nätverk kan möjligheten att snabbt inaktivera sårbara protokoll som SMBv1 lägga till ett extra lager av säkerhet, vilket gör din tjänst mer värdefull för dina kunder.

Integrera skriptet med NinjaOne

För IT-proffs och Managed Service Providers (MSP) som förlitar sig på NinjaOne som sin lösning för fjärrövervakning och fjärrhantering, kan införlivandet av detta skript i era regelbundna underhålls- eller säkerhetsprotokoll lägga till ytterligare ett lager av robusthet i er verksamhet.

Schemalagd körning

Du kan schemalägga exekveringen av PowerShell-skriptet genom NinjaOnes skriptmotor. På så sätt ser du till att SMBv1 automatiskt inaktiveras på alla nya system som läggs till i nätverket eller på alla system som återinitialiseras, vilket upprätthåller en enhetlig säkerhetsnivå.

Övervakning och varningar

Med NinjaOnes aviseringsfunktioner kan du skapa anpassade aviseringar som meddelar dig när skriptet har körts framgångsrikt eller om det stöter på några problem. Detta ger dig feedback i realtid, så att du kan ingripa vid behov.

Fjärrdistribution

Skriptet Disable SMBv1 kan fjärrdistribueras på flera system via NinjaOne. Detta är särskilt användbart för IT-partners som hanterar ett stort antal nätverk. Med några få klick kan du genomdriva en viktig säkerhetspolicy för alla hanterade endpoints.

Rapportering om efterlevnad

För efterlevnadskrav som GDPR eller HIPAA, där inaktivering av föråldrade och sårbara protokoll kan vara ett krav, kan du köra detta skript genom NinjaOne för att på ett smidigt sätt bevisa att lämpliga säkerhetsåtgärder finns på plats. NinjaOnes rapporteringsfunktioner kan hjälpa dig att skapa omfattande rapporter för revisionsspår.

Avslutande tankar

Att inaktivera SMBv1 borde vara en självklarhet för alla organisationer som tar nätverkssäkerhet på allvar. Detta PowerShell-skript innehåller en tillförlitlig, effektiv och omfattande metod för att göra just detta. Med tanke på det kritiska behovet av förhöjda säkerhetsprotokoll i dagens IT-landskap bör antagandet av detta skript ha högsta prioritet.

Next Steps

Building an efficient and effective IT team requires a centralized solution that acts as your core service deliver tool. NinjaOne enables IT teams to monitor, manage, secure, and support all their devices, wherever they are, without the need for complex on-premises infrastructure.

Learn more about NinjaOne Remote Script Deployment, check out a live tour, or start your free trial of the NinjaOne platform.

Kategorier:

Du kanske även gillar

×

Se NinjaOne i aktion!

Genom att skicka detta formulär accepterar jag NinjaOne:s integritetspolicy.

NinjaOne Villkor och bestämmelser

Genom att klicka på knappen “Jag accepterar” nedan anger du att du accepterar följande juridiska villkor samt våra användarvillkor:

  • Äganderätt: NinjaOne äger och kommer att fortsätta att äga alla rättigheter, titlar och intressen i och till manuset (inklusive upphovsrätten). NinjaOne ger dig en begränsad licens att använda skriptet i enlighet med dessa juridiska villkor.
  • Begränsning av användning: Du får endast använda skriptet för dina legitima personliga eller interna affärssyften, och du får inte dela skriptet med någon annan part.
  • Republikbildning Förbud: Du får under inga omständigheter återpublicera skriptet i något skriptbibliotek som tillhör eller kontrolleras av någon annan programvaruleverantör.
  • Friskrivning från garantiansvar: Skriptet tillhandahålls “i befintligt skick” och “som tillgängligt”, utan garanti av något slag. NinjaOne ger inga löften eller garantier om att skriptet kommer att vara fritt från defekter eller att det kommer att uppfylla dina specifika behov eller förväntningar.
  • Antagande av risk: Din användning av skriptet sker på egen risk. Du bekräftar att det finns vissa inneboende risker med att använda skriptet, och du förstår och tar på dig var och en av dessa risker.
  • Avstående och befrielse: Du kommer inte att hålla NinjaOne ansvarig för några negativa eller oavsiktliga konsekvenser till följd av din användning av skriptet, och du avstår från alla juridiska eller skäliga rättigheter eller rättsmedel som du kan ha mot NinjaOne i samband med din användning av skriptet.
  • EULA: Om du är en NinjaOne-kund omfattas din användning av skriptet av det licensavtal för slutanvändare som gäller för dig (EULA).