Archiv der Kategorie: Workaround

UNBLOG Tutorials Usability and Addons Integration with Technical Workarounds and Tutorials for Professionals.

Workaround

Windows zu SMBv1 Active Directory Domäne beitreten

Home  »  Workaround
Kommentar hinterlassen

Windows 10 Version 1709 und höher zu Active Directory Domäne beitreten diese nur SMBv1 unterstützt.

Wenn Windows 10 Computer versuchen, die Mitgliedschaft zu einer Domäne herzustellen, wird möglicherweise folgende Fehlermeldung angezeigt:

Sie können keine Verbindung mit der Dateifreigabe herstellen, da sie nicht sicher ist. Für diese Freigabe ist das veraltete Protokoll SMB1 erforderlich, das nicht sicher ist und Ihr System für Angriffe verwundbar machen kann. Für Ihr System ist SMB2 oder höher erforderlich. Weitere Informationen zur Behebung des Problems finden Sie unter https://go.microsoft.com/fwlink/?linkid=852747.

Quelle: https://support.microsoft.com/de-de/help/4034314/smbv1-is-not-installed-by-default-in-windows

Zusammenfassung

Unter Windows 10 Fall Creators Update und Windows Server, Version 1709 (RS3) und höher, ist das Netzwerkprotokoll Server Message Block Version 1 (SMBv1) nicht mehr standardmäßig installiert. Es wurde ab 2007 durch SMBv2 und neuere Protokolle abgelöst. Microsoft hat das SMBv1-Protokoll 2014 öffentlich verworfen. Beim Versuch zu einer Windows Active Directory Domäne beizutreten diese nur SMBv1 unterstützt, erscheint ein Fehler.

Ursache

Die Unterstützung von SMB 1.0/CIFS-File Sharing wurde unter Windows 10 Fall Creators Update Version 1709 und höher deaktiviert. Das SMBv2-Protokoll wurde in Windows Vista und Windows Server 2008 eingeführt. Das SMBv3-Protokoll wurde in Windows 8 und Windows Server 2012 eingeführt.

Lösung

Um ein Windows 10 Computer zur Mitgliedschaft einer AD-Domäne herzustellen die nur SMBv1 unterstützt, ist das SMB Protokoll Version 1 erforderlich. Dazu wird SMB 1.0/CIFS-File Sharing wie folgt hinzugefügt und installiert.

Unterstützung für die SMB 1.0/CIFS-Dateifreigabe

Mit der Tastenkombination Win+R wird Ausführen geöffnet, hier die Eingabe control appwiz.cpl,,2

Windows mit SMBv1 zu Active Directory beitreten
Windows mit SMBv1 zu Active Directory beitreten

Aktivieren der Unterstützung für die SMB 1.0/CIFS-Dateifreigabe, auf OK klicken um das SMBv1 Protokoll zu installieren, danach ist ein neustart erforderlich.

Enable-WindowsOptionalFeature

Aus der PowerShell ist die aktivierung, sowie deaktivierung ebenfalls möglich, dazu wird PowerShell als Administrator geöffnet.

Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Get-WindowsOptionalFeature

Status der aktivierten, bzw. deaktivierten SMB Protokolle mit dem PowerShell Command abfragen.

Get-WindowsOptionalFeature -Online | Where-Object {$_.FeatureName -like 'SMB1*'}

Die Ausgabe bei aktiviertem SMBv1 Protokoll erscheint wie folgt.

FeatureName : SMB1Protocol
State       : Enabled

FeatureName : SMB1Protocol-Client
State       : Enabled

FeatureName : SMB1Protocol-Server
State       : Enabled

PS C:\>

SMBv1 Protokoll in der Registry

Möglicherweise muss SMBv1 in der Registrierung überprüft werden, durch folgenden Befehl in einem als Administrator geöffneten Command Prompt.

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t REG_DWORD

Die Ausgabe bei deaktiviertem SMBv1 Protokoll, standardmässig ist SMBv1 deaktiviert und hat kein Eintrag in der Registry.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    SMB1    REG_DWORD    0x0

Suchvorgang abgeschlossen: 1 übereinstimmende Zeichenfolge(n) gefunden.

C:\>

REG ADD LanmanServer\Parametersters SMB1

Aktivieren mit REG ADD in einem Command Prompt als Administrator.

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t REG_DWORD /d "1" /f

 

Workaround

RDS-Exploit BlueKeep (CVE-2019-0708) finden mit RDPScan

Home  »  Workaround
Kommentar hinterlassen

RDS-Exploit für RDP-Leck BlueKeep in Windows mit RDPScan aufspüren

Microsoft veröffentlichte am Patchday im Mai außergewöhnliche Sicherheitsupdates für eigentlich ausgelaufe Produkte wie Windows XP und Server 2003. Der Grund ist eine als „kritisch“ eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.

Schwachstelle RDS-Exploit BlueKeep

Die Schwachstelle CVE-2019-0708 wird von Microsoft als außerordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.

Mit RDPScan RDP-Schwachstelle Bluekeep CVE-2019-0708 suchen

Die Wurm-Attacke wie WannaCry soll sich möglichst nicht wiederholen. Deshalb liefert Microsoft auch Patches gegen eine massive Lücke im Remote Desktop Protokoll. Betroffen sind nur ältere Systeme bis einschließlich Windows 7 und die auch nur, wenn Sie RDP nutzen. Ob eines Ihrer Systeme betroffen ist, können Sie mit dem Kommandozeilen-Tool rdpscan testen. Der Sicherheitsexperte Robert David Graham stellt dieses Tool bereit.

ZIP-Datei auf Windows auspacken

Das Tool RDPScan für RDS-Exploit BlueKeep in der ZIP-Datei auf dem Windows System entpacken. Die Ausführung gibt es nur von der Kommandozeile aus, es gibt keine GUI. Die Handhabung ist trotzdem nicht besonders schwer. Der Befehl lautet „rdpscan IP-Adressbereich“. Um beispielsweise ein typisches Netzwerk zu scannen, genügt also „rdpscan 192.168.1.1-192.168.1.254“ für die vergebenen Adressen. Beachte, dass die IP-Adressen entsprechend der Netzwerkkonfiguration anpasst werden müssen. Der Befehl „ipconfig“ gibt die Netzwerk Adressse aus.

RDPScan Ausführung

Mit dem Open-Source Tool rdpscan können Admins ihr Netzwerk nach PCs absuchen. Es ist ein Kommando­zeilen­programm, mit diesem man einzelne IP-Adresse oder einen IP-Bereich als Parameter übergibt, so zum Beispiel:

C:\> rdpscan 192.168.1.1-192.168.1.254
192.168.1.123 - VULNERABLE - got appid
192.168.1.5 - VULNERABLE - got appid
192.168.1.22 - VULNERABLE - got appid
192.168.1.220 - SAFE - Target appears patched
192.168.1.222 - SAFE - Target appears patched
192.168.1.29 - UNKNOWN - RDP protocol error - failed to extract public-key
192.168.1.66 - SAFE - CredSSP/NLA required
192.168.1.62 - SAFE - CredSSP/NLA required
192.168.1.231 - SAFE - Target appears patched
192.168.1.23 - SAFE - Target appears patched
192.168.1.24 - SAFE - Target appears patched

VULNERABLE – got appid bedeutet, dass das System CVE-2019-0708 verwundbar ist.

Die Ausgabe SAFE – CredSSP/NLA required bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde, dabei der RDP-Scanner nicht eindeutig feststellen kann, ob die Schwachstelle wircklich geschlossen ist.

 Dies führt zu einem von drei Ergebnissen für jede Adresse:

  • SICHER – wenn das Ziel festgestellt ist, dass der Bot gepatcht werden muss oder zumindest CredSSP/NLA erfordert
  • VULNERABLE – wenn bestätigt wurde, dass das Ziel angreifbar ist
  • UNBEKANNT – wenn das Ziel nicht antwortet oder ein Protokollfehler vorliegt