Хотя проблемы безопасности с системами не новы, беспорядок, вызванный вымогателями Wannacrypt, побудил к немедленным действиям среди пользователей сети. Ransomware предназначается для распространения уязвимостей службы SMB операционной системы Windows.
SMB или Блок сообщений сервера – это сетевой протокол обмена файлами, предназначенный для обмена файлами, принтерами и т. д. между компьютерами. Существует три версии: версия 1 блока сообщений сервера (SMBv1), версия 2 SMB (SMBv2) и версия 3 SMB (SMBv3). Microsoft рекомендует отключить SMB1 по соображениям безопасности – и это не более важно в связи с эпидемией WannaCrypt или NotPetya Ransomware.
Отключить SMB1 в Windows
Чтобы защитить себя от вымогателей WannaCrypt, необходимо отключить SMB1 , а также установить исправления , выпущенные Microsoft. Давайте рассмотрим некоторые способы отключения SMB1.
Выключите SMB1 через панель управления
Откройте Панель управления> Программы и компоненты> Включение или отключение функций Windows.
В списке параметров одним из вариантов будет Поддержка общего доступа к файлам SMB 1.0/CIFS . Снимите флажок, связанный с ним, и нажмите ОК.
Перезагрузите компьютер.
Отключить SMBv1 с помощью Powershell
Откройте окно PowerShell в режиме администратора, введите следующую команду и нажмите Enter, чтобы отключить SMB1:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Тип DWORD -Значение 0 –Force
Если по какой-то причине вам нужно временно отключить SMB версии 2 и 3, используйте эту команду:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Тип DWORD -Значение 0 –Force
Рекомендуется отключить SMB версии 1, поскольку она устарела и использует технологию, которой уже почти 30 лет.
Microsoft утверждает, что при использовании SMB1 вы теряете ключевые средства защиты, предлагаемые более поздними версиями протокола SMB, такими как:
- Целостность до проверки подлинности (SMB 3.1.1+) – защищает от атак с понижением уровня безопасности.
- Небезопасная гостевая блокировка аутентификации (SMB 3.0+ в Windows 10+) – защищает от атак MiTM.
- Безопасное согласование диалектов (SMB 3.0, 3.02) – защищает от атак с понижением уровня безопасности.
- Улучшенная подпись сообщений (SMB 2.02+) – HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования в SMB 2.02, SMB 2.1 и AES-CMAC заменяет алгоритм в SMB 3.0+. Производительность подписи увеличивается в SMB2 и 3.
- Шифрование (SMB 3.0+) – предотвращает проверку данных на проводе, атаки MiTM. В SMB 3.1.1 производительность шифрования даже лучше, чем подписывание.
Если вы захотите включить их позже (не рекомендуется для SMB1), команды будут следующими:
Для включения SMB1:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Тип DWORD -Значение 1 -Force
Для включения SMB2 и SMB3:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Тип DWORD -Значение 1 –Force
Отключить SMB1 с помощью реестра Windows
Вы также можете настроить реестр Windows, чтобы отключить SMB1.
Запустите regedit и перейдите к следующему разделу реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Параметры
С правой стороны DWORD SMB1 не должен присутствовать или должен иметь значение 0 .
Значения для его включения и отключения следующие:
- 0 = отключено
- 1 = включено
Для получения дополнительных возможностей и способов отключения протоколов SMB на сервере SMB и клиенте SMB посетите веб-сайт Microsoft.