Offene NetBIOS-Namensdienste auf SynoStore deaktivieren

Sie haben vom CERT-Bund (Bundesamt für Sicherheit in der Informationstechnik) einen Hinweis zu offenen NetBIOS-Namensdiensten auf Ihrem SynoStore erhalten?

In den meisten Umgebungen werden die NetBIOS-Dienste nicht benötigt und können deaktiviert werden.

NetBIOS-Dienste deaktivieren

Melden Sie sich als Administrator an Ihrer Synology an und führen Sie die folgenden Schritte aus:

1. Öffnen Sie das Hauptmenü (oben links).
2. Klicken Sie auf Systemsteuerung.
3. Öffnen Sie Dateidienste.
4. Wechseln Sie zum Reiter SMB.
5. Im Bereich WS-Discovery entfernen Sie den Haken bei „Windows-Netzwerkerkennung aktivieren“.
6. Wechseln Sie anschließend zum Reiter Erweitert.
7. Prüfen Sie im Bereich SSDP, dass auch dort die Option „Windows-Netzwerkerkennung aktivieren“ deaktiviert ist.

Firewall zusätzlich konfigurieren

Die Deaktivierung der Dienste allein reicht nicht immer aus. Bei externen Sicherheitsprüfungen können die zugehörigen Ports weiterhin als erreichbar erkannt werden.

Wir empfehlen daher, die integrierte Synology-Firewall zu aktivieren und nur die tatsächlich benötigten Dienste freizugeben.

Typischerweise sollten mindestens folgende Ports erreichbar bleiben:

• TCP 80 (HTTP)
• TCP 443 (HTTPS)
• TCP 5000 (DSM)
• TCP 5001 (DSM HTTPS)

Zusätzlich sollte eine abschließende Firewall-Regel eingerichtet werden, die sämtlichen übrigen Datenverkehr blockiert.

Falls NetBIOS benötigt wird

Sollten Sie NetBIOS-Funktionen weiterhin verwenden müssen, empfehlen wir, den Zugriff auf die entsprechenden Ports ausschließlich für vertrauenswürdige Quell-IP-Adressen freizugeben:

• TCP/UDP 137
• TCP/UDP 138
• TCP/UDP 139
• TCP/UDP 445

Dadurch bleibt die Funktionalität erhalten, während die Angriffsfläche deutlich reduziert wird.

💡 Hinweis: Die meisten modernen Windows-Netzwerke benötigen NetBIOS nicht mehr, da die Namensauflösung in der Regel über DNS erfolgt. Daher kann die Deaktivierung meist problemlos vorgenommen werden.