Enabling SMBv1 Breaks Netlogon yazımızda smbv1 enable edildiğinde netlogon servisinin durma hatasını anlatacağız. Aslında bu hatanın asıl sebebi netlogon servisinden değil workstation servisinden kaynaklandığını konuşacağız.
Netlogon servisi bildiğiniz üzereauthenticate olmuş user servislerin domain controller ile güvenli alan kurmasını sağlar. Yani kısaca bilgisayarını domain ortamına tanıtır. Netlogon servisinin dependencieslerine bakıldığında workstation servisi olduğunu görmekteyiz.
Nedir bu workstation servisi diye sorulduğunda aslında network bağlantılarınızı yaptığınız servistir. Bu servis durursa network üzerinde işlem yapamaz duruma geliriz. Bağımlılıklara baktığımızda DC ler’le bağlantımız kesilir makineler RDP,Network üzerinden erişim gibi birçok işlemleri yerine getiremeyiz.
2017 yılında gerçekleşen WannaCry atakları ile beraber SMBV1 açıklığı ortaya çıkmıştır. Bu aşamadan sonra birçok güvenlik firması SMBV1 disable etmek gerektiğini söylemiştir.
Bu aşamada tüm sistemler Domain Controller ve diğer member server’larda SMBV1 server ve client kapatmaları yapmıştır. Aşağıdaki adımların detaylarını diğer bir yazımızdan takip edebilirsiniz.
SMB V.1 Sunucularda Kapatmak
İlk olarak Sunucularda Group Policy ayarlarını yapmamız gerekmektedir. Bunun için regedit ayarlarını değiştiriyoruz.
HKEY_LOCAL_MACHINE>SYSTEM\CurrentControlSet\Services\LanmanServer>Parameters
Regedit ayarlarında yapmamız gereken Value:SMB1 Value Type:REG_DWORD Value Data:0 Action:Create olarak ayarlanmaktadır.
SMB V.1 Clientlarda Kapatmak
Clientlarda kapatmak için yapılması gereken 2 tane ayar vardır. Bunların uygulanması gerekmektedir.
HKEY_LOCAL_MACHINE>SYSTEM\CurrentControlSet\Services\mrxsmb10
Regedit ayarlarında yapmamız gereken Value:Start Value Type:REG_DWORD Value Data:4 Action:Update olarak ayarlanmaktadır.
HKEY_LOCAL_MACHINE>SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Regedit ayarlarında yapmamız gereken DependOnService Value Type:REG_MULTI_SZ Value Data:Bowser , MRxSMB20,NSI Action:Replace olarak ayarlanmaktadır.
Sonuç olarak Yukarıdaki ayarlamalarla beraber SMBV1 hem kaldırdık hem de client ve sunucularda disable ettik
İstenirse CMD Komutları ile disable edebilirsiniz.
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Sonrasında Peki gelelim yeniden enable etmek istersek ve yanlış konfigurasyon yaparsak neler olur. Netlogon servisi nasıl durur.
Hatanın Başlangıcı
LanManWorkstation dependonservice’e mrxsmb10 eklenerek makineyi restart’a göndermektir. Unutmayın SMBV1
MRXSMB10 Start parametresini değiştirmezseniz yani auto (2) çekmezsek workstation ve ardından netlogon etkilenecektir. GPO üzerinden uygulama yapıyorsak parametreyi unutmayınız.
Enabling SMBv1 Breaks Netlogon yazımızda workstation ile beraber netlogon etkilenmesini anlatmış olduk. Enable ederken Start parametresini unutmak sunucunun netlogon servisini durduracak ve çalıştırmayacaktır. Diğer yazılarımızı aşağıdaki kategorilederden takip edebilirsiniz.