Az SMB 1.0 letiltása a Windows 10 / Server 2016 rendszeren

Alapértelmezés szerint a Windows 10 és a Windows Server 2016 továbbra is támogatja az SMB 1.0-at. A legtöbb esetben csak a régi rendszerek támogatására van szükség: megszűnt a Windows XP, a Windows Server 2003 és újabb. Abban az esetben, ha a hálózaton nincs ilyen ügyfél, a Windows új verzióiban tanácsos letiltani az SMB 1.x protokollt, vagy teljesen eltávolítani az illesztőprogramot. Így megvédheti magát a sok olyan sebezhetőségtől, amelyek ezen elavult protokollra jellemző (amint ezt az utolsó titkosító támadás is bizonyítja) WannaCry), és minden kliens az SMB-protokoll új, produktívabb, biztonságosabb és funkcionálisabb verzióit fogja használni az SMB-golyók elérésekor.

Egy előző cikkben bemutattuk az ügyfél-szerver SMB protokoll verzió kompatibilitási táblázatát. A táblázat szerint az ügyfelek régi verziói (XP, Server 2003 és néhány elavult * nix kliensek) csak az SMB 1.0 protokollt használhatják a fájlforrások eléréséhez. Ha nincsenek ilyen kliensek a hálózatban, akkor teljesen letilthatja az SMB 1.0-t a fájlkiszolgálók (beleértve az AD tartományvezérlőket) és az ügyfélállomások oldalán..

Tartalom:

  • Ellenőrizze a fájlkiszolgáló hozzáférését az SMB v1.0-on keresztül
  • A kiszolgálóoldali SMB 1.0 letiltása
  • Az ügyféloldali SMB 1.0 letiltása

Ellenőrizze a fájlkiszolgáló hozzáférését az SMB v1.0-on keresztül

Az SMB 1.0 illesztőprogram letiltása és teljes eltávolítása előtt tanácsos ellenőrizni, hogy nincsenek-e elavult kliensek az SMB v1.0-on keresztül az SMB fájlkiszolgáló hálózati oldalán. Ehhez engedélyezze a fájlkiszolgálóhoz való hozzáférés ellenőrzését e protokoll használatával a PowerShell paranccsal:

Set-SmbServerConfiguration -AuditSmb1Access $ true

Néhány idő múlva tanulmányozzuk a  Alkalmazások és szolgáltatások -> Microsoft -> Windows -> SMBServer -> Audit az ügyfél hozzáférése az SMB1 protokoll használatával.

tanács. A naplóból származó események listája a következő paranccsal jeleníthető meg:

Get-WinEvent -LogName Microsoft-Windows-SMBServer / Audit

Példánkban a 192.168.1.10 ügyfél hozzáférését az SMB1 protokollon keresztül rögzítettük a naplóban. Ezt az EventID 3000 eseményei bizonyítják az SMBServer forrásból és leírásból:

SMB1 hozzáférés
Ügyfél címe: 192.168.1.10
Útmutató:
Ez az esemény azt jelzi, hogy egy ügyfél megkísérelte elérni a szervert az SMB1 segítségével. Az SMB1 hozzáférés ellenőrzésének leállításához használja a Windows PowerShell-parancsmag Set-SmbServerConfiguration.

Ebben az esetben figyelmen kívül hagyjuk ezeket az információkat, de figyelembe kell vennünk azt a tényt, hogy a jövőben ez az ügyfél nem lesz képes csatlakozni ehhez az SMB szerverhez.

A kiszolgálóoldali SMB 1.0 letiltása

Az SMB 1.0 protokollt le lehet tiltani mind az ügyfél, mind a szerver oldalán. A szerver oldalán az SMB 1.0 protokoll hozzáférést biztosít az SMB hálózati mappákhoz (fájlgömbökhöz) a hálózaton keresztül, az ügyfél oldalán pedig ehhez az erőforráshoz kell kapcsolódni..

A következő PowerShell parancs segítségével ellenőrizzük, hogy a szerveroldali SMB1 engedélyezve van-e:

Get-SmbServerConfiguration

Mint láthatja, az EnableSMB1Protocol változó értéke = True.

Tehát tiltsa le a protokoll támogatását:

Set-SmbServerConfiguration -EnableSMB1Protocol $ false -Force

És a Get-SmbServerConfiguration parancsmag segítségével ellenőrizze, hogy az SMB1 protokoll ki van-e kapcsolva..

Az ügyfél-hozzáférést az SMB v1-en keresztül feldolgozó illesztőprogram teljes eltávolításához futtassa a következő parancsot:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Fenn kell hagyni a rendszer újraindítását, és ellenőrizni kell, hogy az SMB1 protokoll támogatása teljesen le van-e tiltva.

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Az ügyféloldali SMB 1.0 letiltása

Az SMB 1.0 kiszolgálóoldalon történő letiltásával biztosítottuk, hogy az ügyfelek nem tudnak csatlakozni ehhez a protokollhoz. Használhatnak elavult protokollt harmadik fél (ideértve a külső) erőforrásokhoz való hozzáférést is. Az ügyféloldali SMB v1 támogatás letiltásához futtassa a következő parancsokat:

sc.exe config lanmanworkstation atkarīgs = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = letiltva

Tehát, ha letiltja a régi SMB 1.0 támogatását az ügyfél és a szerver oldalán, teljes mértékben megvédi a hálózatot az összes ismert és még nem talált sebezhetőségtől. És a Microsoft Server Message Block 1.0 biztonsági rései rendszeresen megtalálhatók. Az SMBv1 utolsó jelentős sebezhetőségét, amely lehetővé tette a támadó számára, hogy távolról tetszőleges kódot hajtson végre, 2017. márciusában rögzítették..