Miks ja kuidas SMB1 Windows 10-s keelata

Ehkki süsteemide turvalisusega seotud probleemid pole kusagil uudses, on Wannacrypti lunavara põhjustatud segadus viinud võrgu kasutajaid viivitamatult tegutsema. Lunavara sihib levitamiseks Windowsi operatsioonisüsteemi SMB-teenuse haavatavusi.

SMB ehk Server Message Block on võrgufailide jagamise protokoll, mis on ette nähtud failide, printerite jms jagamiseks arvutite vahel. Neid on kolm versiooni - Server Message Block (SMB) versioon 1 (SMBv1), SMB versioon 2 (SMBv2) ja SMB versioon 3 (SMBv3). Microsoft soovitab turvalisuse kaalutlustel SMB1 keelata - ja seda pole olulisem teha, pidades silmas lunavara epideemiat WannaCrypt või NotPetya.

Keela SMB1 Windowsis

WannaCrypt lunavara eest kaitsmiseks on hädavajalik nii SMB1 keelata kui ka Microsofti välja antud plaastrid installida . Vaatame mõningaid viise SMB1 keelamiseks Windows 10/8/7.

Lülitage SMB1 juhtpaneeli kaudu välja

Avage Juhtpaneel> Programmid ja funktsioonid> Windowsi funktsioonide sisse- või väljalülitamine.

Valikute loendis oleks üks variant SMB 1.0 / CIFS File Sharing Support . Tühjendage sellega seotud märkeruut ja vajutage OK.Keela SMB1 Windowsis

Taaskäivitage arvuti.

Keela SMBv1 Powershelli abil

Avage administraatori režiimis PowerShelli aken, tippige järgmine käsk ja vajutage Enter, et SMB1 keelata:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Tüüp DWORD -Väärtus 0 –Force 

Powershelli skript

Kui mingil põhjusel peate ajutiselt keelama SMB versioonid 2 ja 3, kasutage seda käsku:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Tüüp DWORD -Väärtus 0 –Force

SMB versioon 1 on soovitatav keelata, kuna see on aegunud ja kasutab peaaegu 30 aastat vana tehnoloogiat.

Microsofti sõnul kaotate SMB1 kasutamisel peamiste SMB-protokolliversioonide pakutavad peamised kaitsed, näiteks:

  1. Eelautentimise terviklikkus (SMB 3.1.1+) - kaitseb turvalisuse alandamise rünnakute eest.
  2. Turvaline külaliste autentimise blokeerimine (SMB 3.0+ operatsioonisüsteemis Windows 10+) - kaitseb MiTM-i rünnakute eest.
  3. Turvaline murdeläbirääkimine (SMB 3.0, 3.02) - kaitseb turvalisuse alandamise rünnakute eest.
  4. Parem sõnumite allkirjastamine (SMB 2.02+) - HMAC SHA-256 asendab MD5 kui SMB 2.02, SMB 2.1 ja AES-CMAC räsimisalgoritm asendab SMB 3.0+. Allkirjastamise jõudlus suureneb SMB2 ja 3 puhul.
  5. Krüptimine (SMB 3.0+) - takistab juhtme andmete kontrollimist, MiTM-i rünnakuid. SMB 3.1.1-s on krüptimine jõudluselt isegi parem kui allkirjastamine.

Kui soovite need hiljem lubada (pole soovitatav SMB1 jaoks), on käsud järgmised:

SMB1 lubamiseks:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Tüüp DWORD -Väärtus 1 -Force

SMB2 ja SMB3 lubamiseks tehke järgmist.

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Tüüp DWORD -Väärtus 1 –Jõud

Keela SMB1 Windowsi registri abil

Samuti saate SMB1 keelamiseks Windowsi registrit näpistada.

Käivitage regedit ja navigeerige järgmise registrivõtme juurde:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

Paremal küljel ei tohiks DWORD SMB1 olla või selle väärtus peaks olema 0 .

Selle lubamise ja keelamise väärtused on järgmised:

  • 0 = keelatud
  • 1 = lubatud

Rohkem võimalusi ja viise SMB-protokollide keelamiseks SMB-serveris ja SMB-kliendis külastage Microsofti.

Keela SMB1 Windowsis