Abschaltung SMB1 am 20.7.2017 [Rollback]

17.07.2017

Aus Sicherheitsgründen wird die veraltete SMB-Protokollversion 1 am 20.7.2017 auf allen vom Rechenzentrum betriebenen Fileservern abgeschaltet. Details

[Rollback]

Die gestern erfolgte Abschaltung des SMB1-Protokolls für die vom RZ betriebenen Windows-Server wird im Laufe des heutigen Tages rückgängig gemacht und auf dem SAMBA-Server des RZ nicht durchgeführt, so dass bis auf weiteres wieder alle Systeme SMB1 unterstützen.

Die Anzahl von Computern an der CAU mit noch unterstützten, aber nicht SMB2-fähigen Betriebssystemen wurde unterschätzt; zudem zeigten sich auf manchen nominell SMB2-fähigen Betriebssystemen Probleme mit dem Zugriff auf DFS-Pfade.

Für etwaige Unannehmlichkeiten im Zuge dieser fehlgeschlagenen Umstellung bitten wir um Entschuldigung.

[/Rollback]

[Update]

Die Abschaltung des SMB1-Protokolls wird sich, was den SAMBA-Server des RZ anbelangt, um voraussichtlich eine Woche verzögern, da sich herausgestellt hat, dass es mehrere Bereiche mit XP-basierten Messgeräten gibt, die über den SAMBA-Server Daten austauschen und für die nun zunächst eine Speziallösung bereitgestellt werden muss.
Wenn per Mail oder Startseiteneintrag nicht anders angekündigt, wird die SMB1-Abschaltung auf dem SAMBA-Server also am 27.7.2017 durchgeführt.

Die Windows-Fileserver sind von dieser Komplikation nicht betroffen und werden heute Abend wie geplant umgestellt.

[/Update]

Zum Zugriff auf Netzwerkressourcen wie Datei- und Druckerfreigaben wird zumeist das Protokoll SMB ("server message block") eingesetzt.

Nicht zuletzt die im Mai weltweit erfolgreiche "WannaCry"-Attacke hat deutlich gemacht, dass die 30 Jahre alte Version 1 dieses Protokolls ein erhebliches Sicherheitsrisiko für Computernetze darstellt.

Das Rechenzentrum wird daher diese veraltete SMB-Protokollversion auf sämtlichen relevanten Serversystemen, insbesondere also auf Fileservern (Samba, Windows) und Printservern, deaktivieren.

Dies wird mittlerweile auch von Microsoft empfohlen, bedeutet allerdings, dass ältere Client-Systeme wie z.B. Windows XP sich dann nicht mehr mit den Datei- und Druckerfreigaben dieser Server werden verbinden können. Der Betrieb von Windows XP ist im allgemeinen CAU-Netz allerdings ohnehin untersagt. Eine Liste betroffener Altsysteme findet sich hier.

Die Protokollierung von SMB1-Zugriffen ist aufwändig und müsste, um vorab alle noch zugreifenden Altsysteme zu identifizieren, über einen längeren Zeitraum durchgeführt werden. Dies würde die Abschaltung von SMB1 unnötig verzögern.

Geplant ist daher, die Abschaltung am kommenden Donnerstag, den 20.7.2017, durchzuführen und für wahrscheinlich unvermeidliche Problemfälle im Nachhinein Speziallösungen bereitzustellen. Dies könnten beispielsweise SMB1-fähige, virtuelle Server in lokalen Institutsnetzen sein. Wenn Sie z.B. Messgeräte mit veralteten Betriebssystemen verwenden, die auf Netzwerkfreigaben zugreifen, prüfen Sie bitte ab Freitag, den 21.7.2017, deren Funktionalität.

Wenn Sie bereits jetzt wissen, dass Sie von der Abschaltung betroffen sind, bieten wir natürlich Beratung und Unterstützung beim Aufbau einer Speziallösung und bei der Migration Ihrer Daten. Etwaige Fragen hierzu richten Sie bitte an system@rz.uni-kiel.de.

T. Wittrock / RZ