SMBv1 Überwachung vor Deaktivierung
Es gibt immer noch eine ganze Menge Windows Server auf denen das SMBv1 Protokoll aktiv ist.
Wer sich unsicher ist, ob er es auf einem kritischen System abzuschalten kann oder nicht, der sollte die SMB Kommunikation kurzzeitig einfach noch mal selber überwachen.
Mit diesem Skript loggen (Monitoring) wir für eine definierte Zeit den Zugriff via SMB-Protokoll.
Nachdem das Skript gestartet wurde, sperrt man einfach den Bildschirm. Das Ergebnis gibt Aufschluss darüber, mit welchem SMB Dialekt eine Kommunikation zum überwachenden Windows Server aufgebaut wurde.
Was ebenfalls wichtig ist herauszufinden, ist die Antwort auf die Frage: “War es ein technischer Benutzer oder eine natürliche Person”. Hat keine Kommunikation mit dem Dialect 1.0 stattgefunden, dann kann SMBv1 Protokoll etwas beruhigter deaktiviert werden.
Dokumentation:
Powershell-Skript:
Bildquelle-Logo: https://trulyoffice.com/