Windows-Sicherheit · SMB-Härtung

Erst sehen, dann erzwingen: SMB sicher härten – ohne dass etwas wegbricht

Lesezeit ca. 5 Minuten · von IT-Service Walter

SMB1 abschalten, einen Mindest-Dialekt erzwingen, die Dateidienste härten – das steht auf praktisch jeder Maßnahmenliste. Die Theorie ist klar. Die Praxis sieht oft anders aus: Kaum ist die Vorgabe ausgerollt, meldet sich die Buchhaltung, weil das alte Multifunktionsgerät nicht mehr scannt, oder ein Fachverfahren verliert die Verbindung zum Server. Der Grund ist fast immer derselbe – niemand wusste vorher, welche Verbindung auf der Strecke bleibt.

Genau diese Lücke schließt der ISW SMB Dialect Auditor: Er zeigt vor der Härtung, welche aktiven SMB-Verbindungen ein erzwungener Mindest-Dialekt oder das Abschalten von SMB1 kappen würde – und setzt die Härtung anschließend abgesichert und protokolliert um.

Das Problem: Härten im Blindflug

Wer SMB härtet, greift an einer empfindlichen Stelle ein. Alte Clients, Embedded-Geräte, Drucker/Scanner, Backup-Agenten oder Fachanwendungen sprechen häufig noch ältere SMB-Dialekte – im schlimmsten Fall sogar SMB1. Schaltet man diese ab, ohne die Lage zu kennen, wird aus einer Sicherheitsmaßnahme schnell ein Produktionsausfall. Und die unangenehmste Wahrheit dabei: SMB1-Clients tauchen in den normalen Sitzungslisten oft gar nicht auf.

Was das Tool macht

Prüfen statt raten

Fragt mehrere Hosts parallel per WinRM ab und bewertet jede SMB-Verbindung gegen eine frei wählbare Schwelle (2.0.2 bis 3.1.1).

SMB1 aufspüren

Deckt über das Server-Audit-Log jene SMB1-Clients auf, die in den üblichen Listen unsichtbar bleiben.

Abgesichert härten

Mindest-Dialekt setzen, SMB1 deaktivieren, SMB2/3 aktivieren – einzeln wählbar, bestätigt und vollständig protokolliert.

Belastbar dokumentieren

Berichte als CSV, HTML und PDF, auf Wunsch per E-Mail – als Nachweis für BSI IT-Grundschutz, ISO 27001 und NIS2.

Der Clou steckt im Vorgehen: Die Analyse läuft rein lesend über WinRM (Port 5985/5986) und ist damit unabhängig von SMB selbst. Jede Verbindung unterhalb der gewählten Schwelle wird rot als „WÜRDE BRECHEN” markiert – inklusive SMB1. Ein Ampel-Banner fasst das Ergebnis zusammen: grün, wenn alles über der Schwelle liegt, rot, sobald beim Erzwingen etwas abreißen würde.

Der blinde Fleck: SMB1 sichtbar machen

Damit Windows SMB1-Zugriffe überhaupt protokolliert (Ereignis 3000), muss auf dem Server das SMB1-Audit aktiv sein. Ein Einzeiler genügt:

Set-SmbServerConfiguration -AuditSmb1Access $true

Anschließend listet der Auditor im eigenen Reiter „SMB1-Clients” Server, Client, Anzahl der Zugriffe und den Zeitpunkt des letzten Zugriffs. Erst damit wird aus „wir haben vermutlich kein SMB1 mehr” ein belastbares „wir wissen es”.

Härtung – bewusst und reversibel gedacht

Wer prüfen kann, soll auch durchsetzen können – aber kontrolliert. Der Auditor bietet bis zu drei einzeln wählbare Aktionen: Mindest-Dialekt setzen (Smb2DialectMin), SMB1 deaktivieren und SMB2/3 aktivieren. Zielhosts werden ausgewählt, die Anwendung muss mit dem getippten Wort „ANWENDEN” und einer zweiten Rückfrage bestätigt werden, und jede Aktion wird mit Vorher-/Nachher-Wert protokolliert.

Wichtig zu wissen

Der Mindest-Dialekt wirkt ausschließlich auf SMB2/3 und beendet keine SMB1-Verbindungen – der Hebel gegen SMB1 ist das Deaktivieren von SMB1. Das native Setzen des Mindest-Dialekts ist zudem erst ab Windows 11 24H2 bzw. Windows Server 2025 möglich. Und: Bestehende Verbindungen unterhalb des Ziels reißen beim Erzwingen ab – deshalb vorher prüfen.

Das empfohlene Vorgehen

✓ Hosts eintragen oder aus dem Active Directory laden, WinRM testen.

✓ SMB1-Audit auf den Servern aktivieren und ein paar Tage laufen lassen.

✓ Audit mehrfach zu verschiedenen Zeiten ausführen – Verbindungen sind eine Momentaufnahme.

✓ Ergebnis und „WÜRDE BRECHEN”-Treffer mit den Fachbereichen klären.

✓ Erst dann gezielt härten – und den Bericht als Nachweis archivieren.

Fazit

SMB-Härtung scheitert selten an der Technik, sondern am fehlenden Überblick. Der ISW SMB Dialect Auditor verwandelt das Bauchgefühl in Fakten: Er zeigt, was bricht, bevor etwas bricht – macht SMB1 sichtbar und setzt die Härtung sauber, bestätigt und nachweisbar um. Erst sehen, dann erzwingen.