Zašto i kako onemogućiti SMB1 u sustavu Windows 10

Iako sigurnosni problemi sa sustavima nisu nigdje novi, nered izazvan ransomwareom Wannacrypt potaknuo je trenutnu akciju među korisnicima interneta. Ransomware cilja širenje ranjivosti SMB usluge operativnog sustava Windows.

SMB ili Server Message Block mrežni je protokol za dijeljenje datoteka namijenjen dijeljenju datoteka, pisača itd. Između računala. Postoje tri verzije - Server Message Block (SMB) verzija 1 (SMBv1), SMB verzija 2 (SMBv2) i SMB verzija 3 (SMBv3). Microsoft preporučuje da onemogućite SMB1 iz sigurnosnih razloga - a nije važnije to učiniti s obzirom na epidemiju ransomwarea WannaCrypt ili NotPetya.

Onemogućite SMB1 na sustavu Windows

Da biste se obranili od WannaCrypt ransomwarea, neophodno je onemogućiti SMB1, kao i instalirati zakrpe koje je izdao Microsoft. Pogledajmo neke od načina za onemogućavanje SMB1 u sustavu Windows 10/8/7.

Isključite SMB1 putem upravljačke ploče

Otvorite Upravljačku ploču> Programi i značajke> Uključite ili isključite značajke sustava Windows.

Na popisu opcija, jedna od mogućnosti bila bi podrška za SMB 1.0 / CIFS dijeljenje datoteka . Poništite potvrdni okvir povezan s njim i pritisnite U redu.Onemogućite SMB1 na sustavu Windows

Ponovo pokrenite računalo.

Onemogućite SMBv1 pomoću Powershell-a

Otvorite prozor PowerShell u administratorskom načinu, upišite sljedeću naredbu i pritisnite Enter da biste onemogućili SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Tip DWORD -Vrijednost 0 -Sila 

Powershell skripta

Ako iz nekog razloga trebate privremeno onemogućiti SMB verzije 2 i verzije 3, upotrijebite ovu naredbu:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Tip DWORD -Vrijednost 0 -Sila

Preporuča se onemogućiti SMB verzije 1 jer je zastario i koristi tehnologiju staru gotovo 30 godina.

Microsoft kaže da, kada koristite SMB1, gubite ključne zaštite koje nude kasnije verzije SMB protokola poput:

  1. Integritet prije provjere autentičnosti (SMB 3.1.1+) - Štiti od napada na smanjenje verzije sigurnosne verzije.
  2. Nesigurno blokiranje autorizacije gostiju (SMB 3.0+ na sustavu Windows 10+) - Štiti od MiTM napada.
  3. Sigurno pregovaranje o dijalektu (SMB 3.0, 3.02) - štiti od napada na smanjenje verzije sigurnosne verzije.
  4. Bolje potpisivanje poruka (SMB 2.02+) - HMAC SHA-256 zamjenjuje MD5 kao algoritam raspršivanja u SMB 2.02, SMB 2.1 i AES-CMAC koji zamjenjuje onaj u SMB 3.0+. Povećavanje performansi potpisivanja u SMB2 i 3.
  5. Šifriranje (SMB 3.0+) - Sprječava pregled podataka na žici, MiTM napade. U SMB 3.1.1 izvedba šifriranja je čak i bolja od potpisivanja.

U slučaju da ih želite omogućiti kasnije (ne preporučuje se za SMB1), naredbe bi bile sljedeće:

Za omogućavanje SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Tip DWORD -Vrijednost 1 -Sila

Za omogućavanje SMB2 i SMB3:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Tip DWORD -Vrijednost 1 -Sila

Onemogućite SMB1 pomoću Windows registra

Također možete podesiti Windows Registry da biste onemogućili SMB1.

Pokrenite regedit i idite do sljedećeg ključa registra:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parametri

Na desnoj strani DWORD SMB1 ne bi trebao biti prisutan ili bi trebao imati vrijednost 0 .

Vrijednosti za njegovo omogućavanje i onemogućavanje su sljedeće:

  • 0 = onemogućeno
  • 1 = Omogućeno

Za više opcija i načina za onemogućavanje SMB protokola na SMB poslužitelju i SMB klijentu posjetite Microsoft.

Onemogućite SMB1 na sustavu Windows