Auditoria de uso de SMB versão 1.0 pelo Windows Admin Center

Olá pessoal, tudo bem?

O artigo anterior postado aqui eu falei sobre o risco de uso de se utilizar SMB Versão 1.0, mas há caso que necessitamos utilizar o SMB Versão 1.0, pois a maioria das empresas ainda possui algum serviço sendo executado em cima de sistemas operacionais legados, como Windows Server 2003, Windows XP, Windows 2008 e Windows Vista ou dispositivos que utilizam o protocolo SMB Versão 1.0, como impressoras com compartilhamento. Nestes casos não tem jeito, você terá que fazer uso do protocolo SMB Versão 1.0 e planejar e executar a migração o quanto antes, abandonando de vez o protocolo SMB Versão 1.0.

Enquanto você planejar a migração, recomendo que você faça a auditoria das conexões que utilizam o protocolo SMB Versão 1.0. Assim você pode saber quais os dispositivos em sua organização estão utilizando esta versão do protocolo SMB e ser mais assertivo em sua migração.

Você pode habilitar a auditoria de uso de SMB versão 1.0 pelo Powershell.

Podemos facilmente habilitar a auditoria de uso de SMB versão 1.0 pelo Powershell, basta digitar o comando demostrado baixo em seguida aperta da tecla A do teclado.

Para desabilitar a auditoria de uso de SMB versão 1.0 pelo Powershell, basta digitar o comando demostrado baixo em seguida aperta da tecla A do teclado.

Para verificar se auditoria de uso de SMB versão 1.0 está ativa ou desabilita digitar o comando demostrado baixo:

O comando pode retornar true (ativado) e false (desativado) para auditoria de uso de SMB versão 1.0.

Passo a passo

Agora vamos aprender a fazer o mesmo procedimento pelo Windows Admin Center.

Demostrei recentemente neste artigo aqui como adicionar sistemas operacionais, “mais antigo”, como Windows Server 2012 e Windows Server 2012 R2, acontece que esses sistemas operacionais vêm com SMB Versão 1.0 habilitado por padrão. Uma rápida consulta utilizando o comando Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol você comprovara que o SMB versão 1.0 está habilitado.

1. Após adicionar o servidor que deseja habilitar a auditoria de uso de SMB Versão 1.0 ao Windows Admin Center, clique no nome do servidor. Se for a primeira vez que acessa o servidor pelo Windows Admin Center, talvez seja necessário inserir usuário e senha. Se não souber como adicionar um servidor ao Windows Admin Center, sugiro uma leitura deste artigo aqui.

2. Após carregar as informações do servidor, clique em Configurações.

3. Na Guia Geral clique em Compartilhamento de arquivo (servidor SMB).

4. Ao acessar Compartilhamento de arquivo (servidor SMB) em Configurações gerais, você verá o alerta e vermelho informando que o SMB Versão 1.0 se encontra-se instalado. Para a auditoria de uso do protocolo SMB Versão 1.0 necessário que ele esteja habilitado.

5. Para habilitar a auditoria de uso de SMB Versão 1.0 clique em Auditoria das conexões SMB 1 em seguida clique em Salvar.

Agora todas as conexões feita utilizando o protocolo SMB Versão 1.0 serão auditadas.

Observação: Você pode habilitar a auditoria em Windows Server 2016, Windows 10 e Windows Server 2019. você também pode fazer auditoria no Windows 7 e no Windows Server 2008 R2 se a atualização mensal de 2018 de maio estiver instalada e no Windows 8.1 e Windows Server 2012 R2 se a atualização mensal de 2017 de julho estiver instalada.

Após ativar a auditoria de uso de SMB versão 1.0 pelo Windows Admin Center, o evento ID 3000 aparecerá no log de eventos “Microsoft-Windows-SMBServer\Audit”, identificando cada cliente que tenta se conectar utilizando o protocolo SMB Versão 1.0.

No teste que realizado por mim, uma máquina virtual com sistema operacional Windows XP se conecta ao servidor com sistema operacional Windows Server 2022, versão Server Core com o protocolo SMB Versão 1.0 habilitado em um compartilhamento de arquivos, o resultado da auditoria você pode conferir na imagem abaixo.

Na imagem demostrada acima estamos utilizando o Windows Admin Center para visualizar o evento ID 3000 gerado pela auditoria de uso de SMB versão 1.0, o mesmo evento pode ser visualizado utilizando o Event Viewer (Em português, Visualizador de Eventos).

Sel liga! Pois em breve vamos aprender a utilizar o Visualizado de Eventos pelo Windows Admin Center.

Referências

https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858?search-action-id=417554377391&search-result-uid=425858&WT.mc_id=WDIT-MVP-5003815

https://docs.microsoft.com/pt-br/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?WT.mc_id=WDIT-MVP-5003815

Inscreva-se no meu canal do YouTube!

Gabriel Luiz

Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.

Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog.  Em 2017 comecei a escrever artigos para o portal Cooperati.

Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.