Enabling SMBv1 Breaks Netlogon

Enabling SMBv1 Breaks Netlogon yazımızda smbv1 enable edildiğinde netlogon servisinin durma hatasını anlatacağız. Aslında bu hatanın asıl sebebi netlogon servisinden değil workstation servisinden kaynaklandığını konuşacağız.

Netlogon servisi bildiğiniz üzereauthenticate olmuş user servislerin domain controller ile güvenli alan kurmasını sağlar. Yani kısaca bilgisayarını domain ortamına tanıtır. Netlogon servisinin dependencieslerine bakıldığında workstation servisi olduğunu görmekteyiz.

Netlogon Service

Nedir bu workstation servisi diye sorulduğunda aslında network bağlantılarınızı yaptığınız servistir. Bu servis durursa network üzerinde işlem yapamaz duruma geliriz. Bağımlılıklara baktığımızda DC ler’le bağlantımız kesilir makineler RDP,Network üzerinden erişim gibi birçok işlemleri yerine getiremeyiz.

2017 yılında gerçekleşen WannaCry atakları ile beraber SMBV1 açıklığı ortaya çıkmıştır. Bu aşamadan sonra birçok güvenlik firması SMBV1 disable etmek gerektiğini söylemiştir.

Bu aşamada tüm sistemler Domain Controller ve diğer member server’larda SMBV1 server ve client kapatmaları yapmıştır. Aşağıdaki adımların detaylarını diğer bir yazımızdan takip edebilirsiniz.

SMB V.1 Sunucularda Kapatmak

İlk olarak Sunucularda Group Policy ayarlarını yapmamız gerekmektedir. Bunun için regedit ayarlarını değiştiriyoruz.

HKEY_LOCAL_MACHINE>SYSTEM\CurrentControlSet\Services\LanmanServer>Parameters  

Regedit ayarlarında yapmamız gereken Value:SMB1 Value Type:REG_DWORD Value Data:0 Action:Create olarak ayarlanmaktadır.

SMB Ataklarına Karşı Önlemler SMB Server Disable

SMB V.1 Clientlarda Kapatmak

Clientlarda kapatmak için yapılması gereken 2 tane ayar vardır. Bunların uygulanması gerekmektedir.

HKEY_LOCAL_MACHINE>SYSTEM\CurrentControlSet\Services\mrxsmb10

Regedit ayarlarında yapmamız gereken Value:Start Value Type:REG_DWORD Value Data:4 Action:Update olarak ayarlanmaktadır.

Enabling SMBv1 Breaks Netlogon Disable
HKEY_LOCAL_MACHINE>SYSTEM\CurrentControlSet\Services\LanmanWorkstation

Regedit ayarlarında yapmamız gereken DependOnService Value Type:REG_MULTI_SZ Value Data:Bowser , MRxSMB20,NSI Action:Replace olarak ayarlanmaktadır.

Sonuç olarak Yukarıdaki ayarlamalarla beraber SMBV1 hem kaldırdık hem de client ve sunucularda disable ettik

İstenirse CMD Komutları ile disable edebilirsiniz.

  sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start= disabled

Sonrasında Peki gelelim yeniden enable etmek istersek ve yanlış konfigurasyon yaparsak neler olur. Netlogon servisi nasıl durur.

Enabling SMBv1 Breaks Netlogon Service
Enabling SMBv1 Breaks Netlogon breaked

Hatanın Başlangıcı

LanManWorkstation dependonservice’e mrxsmb10 eklenerek makineyi restart’a göndermektir. Unutmayın SMBV1

MRXSMB10 Start parametresini değiştirmezseniz yani auto (2) çekmezsek workstation ve ardından netlogon etkilenecektir. GPO üzerinden uygulama yapıyorsak parametreyi unutmayınız.

Enabling SMBv1 Breaks Netlogon Start Parameter

Enabling SMBv1 Breaks Netlogon yazımızda workstation ile beraber netlogon etkilenmesini anlatmış olduk. Enable ederken Start parametresini unutmak sunucunun netlogon servisini durduracak ve çalıştırmayacaktır. Diğer yazılarımızı aşağıdaki kategorilederden takip edebilirsiniz.