Alapértelmezés szerint a Windows 10 és a Windows Server 2016 továbbra is támogatja az SMB 1.0-at. A legtöbb esetben csak a régi rendszerek támogatására van szükség: megszűnt a Windows XP, a Windows Server 2003 és újabb. Abban az esetben, ha a hálózaton nincs ilyen ügyfél, a Windows új verzióiban tanácsos letiltani az SMB 1.x protokollt, vagy teljesen eltávolítani az illesztőprogramot. Így megvédheti magát a sok olyan sebezhetőségtől, amelyek ezen elavult protokollra jellemző (amint ezt az utolsó titkosító támadás is bizonyítja) WannaCry), és minden kliens az SMB-protokoll új, produktívabb, biztonságosabb és funkcionálisabb verzióit fogja használni az SMB-golyók elérésekor.
Egy előző cikkben bemutattuk az ügyfél-szerver SMB protokoll verzió kompatibilitási táblázatát. A táblázat szerint az ügyfelek régi verziói (XP, Server 2003 és néhány elavult * nix kliensek) csak az SMB 1.0 protokollt használhatják a fájlforrások eléréséhez. Ha nincsenek ilyen kliensek a hálózatban, akkor teljesen letilthatja az SMB 1.0-t a fájlkiszolgálók (beleértve az AD tartományvezérlőket) és az ügyfélállomások oldalán..
Tartalom:
- Ellenőrizze a fájlkiszolgáló hozzáférését az SMB v1.0-on keresztül
- A kiszolgálóoldali SMB 1.0 letiltása
- Az ügyféloldali SMB 1.0 letiltása
Ellenőrizze a fájlkiszolgáló hozzáférését az SMB v1.0-on keresztül
Az SMB 1.0 illesztőprogram letiltása és teljes eltávolítása előtt tanácsos ellenőrizni, hogy nincsenek-e elavult kliensek az SMB v1.0-on keresztül az SMB fájlkiszolgáló hálózati oldalán. Ehhez engedélyezze a fájlkiszolgálóhoz való hozzáférés ellenőrzését e protokoll használatával a PowerShell paranccsal:
Set-SmbServerConfiguration -AuditSmb1Access $ true
Néhány idő múlva tanulmányozzuk a Alkalmazások és szolgáltatások -> Microsoft -> Windows -> SMBServer -> Audit az ügyfél hozzáférése az SMB1 protokoll használatával.
tanács. A naplóból származó események listája a következő paranccsal jeleníthető meg:
Get-WinEvent -LogName Microsoft-Windows-SMBServer / Audit
Példánkban a 192.168.1.10 ügyfél hozzáférését az SMB1 protokollon keresztül rögzítettük a naplóban. Ezt az EventID 3000 eseményei bizonyítják az SMBServer forrásból és leírásból:
SMB1 hozzáférésÜgyfél címe: 192.168.1.10
Útmutató:
Ez az esemény azt jelzi, hogy egy ügyfél megkísérelte elérni a szervert az SMB1 segítségével. Az SMB1 hozzáférés ellenőrzésének leállításához használja a Windows PowerShell-parancsmag Set-SmbServerConfiguration.
Ebben az esetben figyelmen kívül hagyjuk ezeket az információkat, de figyelembe kell vennünk azt a tényt, hogy a jövőben ez az ügyfél nem lesz képes csatlakozni ehhez az SMB szerverhez.
A kiszolgálóoldali SMB 1.0 letiltása
Az SMB 1.0 protokollt le lehet tiltani mind az ügyfél, mind a szerver oldalán. A szerver oldalán az SMB 1.0 protokoll hozzáférést biztosít az SMB hálózati mappákhoz (fájlgömbökhöz) a hálózaton keresztül, az ügyfél oldalán pedig ehhez az erőforráshoz kell kapcsolódni..
A következő PowerShell parancs segítségével ellenőrizzük, hogy a szerveroldali SMB1 engedélyezve van-e:
Get-SmbServerConfiguration
Mint láthatja, az EnableSMB1Protocol változó értéke = True.
Tehát tiltsa le a protokoll támogatását:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false -Force
És a Get-SmbServerConfiguration parancsmag segítségével ellenőrizze, hogy az SMB1 protokoll ki van-e kapcsolva..
Az ügyfél-hozzáférést az SMB v1-en keresztül feldolgozó illesztőprogram teljes eltávolításához futtassa a következő parancsot:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Fenn kell hagyni a rendszer újraindítását, és ellenőrizni kell, hogy az SMB1 protokoll támogatása teljesen le van-e tiltva.
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Az ügyféloldali SMB 1.0 letiltása
Az SMB 1.0 kiszolgálóoldalon történő letiltásával biztosítottuk, hogy az ügyfelek nem tudnak csatlakozni ehhez a protokollhoz. Használhatnak elavult protokollt harmadik fél (ideértve a külső) erőforrásokhoz való hozzáférést is. Az ügyféloldali SMB v1 támogatás letiltásához futtassa a következő parancsokat:
sc.exe config lanmanworkstation atkarīgs = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = letiltva
Tehát, ha letiltja a régi SMB 1.0 támogatását az ügyfél és a szerver oldalán, teljes mértékben megvédi a hálózatot az összes ismert és még nem talált sebezhetőségtől. És a Microsoft Server Message Block 1.0 biztonsági rései rendszeresen megtalálhatók. Az SMBv1 utolsó jelentős sebezhetőségét, amely lehetővé tette a támadó számára, hogy távolról tetszőleges kódot hajtson végre, 2017. márciusában rögzítették..
