Datenanalyse-Software für Industrie sowie Wasserwerks-Automatisierung

Noch ein Trick gegen den Erpressungstrojaner WannaCry

am Mai 23, 2017

Der Erpressungstrojaner WannaCry hat eine Sicherheitslücke im Protokoll „SMBv1“ ausgenutzt, die per Microsoft-Patch behoben werden konnte. Damit ist aber nicht gesagt, dass SMBv1 nicht noch weitere Schwächen haben kann. Das Protokoll ist bereits 30 Jahre alt und bekannt für seine Schwachstellen. Wasserwerke sollten dieses Protokoll möglichst schnell aus dem Verkehr ziehen, um bei Cyber-Angriffen etwas sicherer darzustehen.

Wozu wird es genutzt?

Das SMB-Protokoll wird genutzt, um Ordner im Netzwerk freizugeben. Die erste Version des Protokolls (SMBv1) wurde bis einschließlich Windows XP und Windows Server 2003 eingesetzt. Neuere Windows-Versionen benutzen SMBv2 sowie SMBv3.

Wie kann ich es abschalten?

Das komplette Protokoll lässt sich abschalten, indem Sie die PowerShell als Administrator öffnen, und dort den Befehl „Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol“ ausführen.
Der „Server„-Teil des Protokolls lässt sich abschalten, indem Sie in der PowerShell als Administrator den Befehl „Set-SmbServerConfiguration –EnableSMB1Protocol $false“ ausführen. Standardmäßig ist auch dieser auf allen Windows-Rechnern aktiviert.

Welche Folgen hat die Abschaltung?

Wenn Sie nur den „Server“-Teil abschalten, dann können veraltete Windows-Systeme nicht mehr auf die Ordner Ihres Rechners zugreifen, die Sie im Netzwerk freigegeben haben.
Falls Sie das gesamte Protokoll abschalten, können Sie darüber hinaus auch nicht mehr auf die Netzwerkfreigaben anderer Rechner zugreifen, die veraltete Windows-Systeme im Einsatz haben.
Darüber hinaus kann es theoretisch passieren, dass die Kommunikation mit sehr alten Druckern oder mancher selbstgeschriebener Software nicht mehr funktioniert – das müssten Sie dann selbst testen.

Falls diese Folgen für Sie hinnehmbar sind, sollten Sie das Protokoll unbedingt abschalten. Zumindest auf den Rechnern, bei denen o.g. Risiken mit Sicherheit keine Auswirkung haben.

Bei Fragen oder Hilfestellung wenden Sie sich an enerom IT, Ihrem IT-Dienstleister für Wasserwerke mit Schwerpunkt Cyber-Sicherheit. Treten Sie mit uns in Kontakt, wir kommen gerne unverbindlich vor Ort.