Zakaj in kako onemogočiti SMB1 v sistemu Windows 10

Čeprav pomisleki glede varnosti sistemov niso nikjer novi, je nered, ki ga povzroča ransomware Wannacrypt, sprožil takojšnje ukrepanje med uporabniki interneta. Ransomware je namenjen širjenju ranljivosti storitve SMB v operacijskem sistemu Windows.

SMB ali Server Message Block je omrežni protokol za skupno rabo datotek, namenjen skupni rabi datotek, tiskalnikov itd. Med računalniki. Obstajajo tri različice - Server Message Block (SMB) različica 1 (SMBv1), SMB različica 2 (SMBv2) in SMB različica 3 (SMBv3). Microsoft priporoča, da iz varnostnih razlogov onemogočite SMB1 - in ni bolj pomembno, da to storite glede na epidemijo izsilitvene programske opreme WannaCrypt ali NotPetya.

Onemogočite SMB1 v sistemu Windows

Da se zaščitite pred odkupno programsko opremo WannaCrypt, morate nujno onemogočiti SMB1 in namestiti popravke, ki jih je izdal Microsoft. Oglejmo si nekaj načinov, kako onemogočiti SMB1 v sistemu Windows 10/8/7.

Izklopite SMB1 prek nadzorne plošče

Odprite Nadzorna plošča> Programi in funkcije> Vklopite ali izklopite funkcije sistema Windows.

Na seznamu možnosti bi bila ena možnost SMB 1.0 / CIFS Support Sharing File Support . Počistite potrditveno polje z njim in pritisnite OK.Onemogočite SMB1 v sistemu Windows

Znova zaženite računalnik.

Onemogočite SMBv1 s pomočjo Powershell

Odprite okno PowerShell v skrbniškem načinu, vnesite naslednji ukaz in pritisnite Enter, da onemogočite SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Vrednost 0 -Sila 

Powershell Script

Če morate iz nekega razloga začasno onemogočiti SMB različice 2 in različice 3, uporabite ta ukaz:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Vrednost 0 - sila

Priporočljivo je onemogočiti SMB različice 1, ker je zastarel in uporablja tehnologijo, staro skoraj 30 let.

Microsoft pravi, da ko uporabljate SMB1, izgubite ključno zaščito, ki jo ponujajo poznejše različice protokola SMB, kot so:

  1. Integriteta pred overjanjem (SMB 3.1.1+) - ščiti pred napadi na znižanje stopnje varnosti.
  2. Negotovo blokiranje avtorskih pravic za goste (SMB 3.0+ v sistemu Windows 10+) - ščiti pred napadi MiTM.
  3. Secure Dialect Negotiation (SMB 3.0, 3.02) - ščiti pred napadi na znižanje stopnje varnosti.
  4. Boljše podpisovanje sporočil (SMB 2.02+) - HMAC SHA-256 nadomešča MD5, saj algoritem zgoščevanja v SMB 2.02, SMB 2.1 in AES-CMAC nadomešča algoritem v SMB 3.0+. Uspešnost podpisovanja se poveča v SMB2 in 3.
  5. Šifriranje (SMB 3.0+) - preprečuje pregledovanje podatkov na žici, napade MiTM. V SMB 3.1.1 je šifriranje še boljše kot podpisovanje.

Če jih želite omogočiti pozneje (ni priporočljivo za SMB1), bodo ukazi naslednji:

Za omogočanje SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Vrednost 1 -Sila

Za omogočanje SMB2 in SMB3:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Vrednost 1 - sila

Onemogočite SMB1 s pomočjo registra Windows

Če želite onemogočiti SMB1, lahko tudi popravite register sistema Windows.

Zaženite regedit in se pomaknite do naslednjega registrskega ključa:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parametri

Na desni strani DWORD SMB1 ne sme biti prisoten ali mora imeti vrednost 0 .

Vrednosti za njegovo omogočanje in onemogočanje so naslednje:

  • 0 = onemogočeno
  • 1 = omogočeno

Za več možnosti in načinov za onemogočanje protokolov SMB na strežniku SMB in odjemalcu SMB obiščite Microsoft.

Onemogočite SMB1 v sistemu Windows