Prečo a ako zakázať SMB1 v systéme Windows 10

Aj keď obavy o bezpečnosť systémov nie sú nič nové, neporiadok spôsobený ransomwarom Wannacrypt viedol k okamžitej akcii medzi obyvateľmi. Ransomware sa zameriava na šírenie slabých miest služby SMB operačného systému Windows.

SMB alebo Server Message Block je sieťový protokol na zdieľanie súborov určený na zdieľanie súborov, tlačiarní atď. Medzi počítačmi. Existujú tri verzie - Server Message Block (SMB) verzia 1 (SMBv1), SMB verzia 2 (SMBv2) a SMB verzia 3 (SMBv3). Spoločnosť Microsoft odporúča zakázať SMB1 z bezpečnostných dôvodov - a to nie je dôležitejšie z hľadiska epidémie ransomvéru WannaCrypt alebo NotPetya.

Zakážte SMB1 v systéme Windows

Aby ste sa ubránili pred ransomvérom WannaCrypt, je nevyhnutné deaktivovať SMB1 a nainštalovať opravy vydané spoločnosťou Microsoft. Pozrime sa na niektoré zo spôsobov, ako zakázať SMB1 v systéme Windows 10/8/7.

Vypnite SMB1 pomocou ovládacieho panela

Otvorte Ovládací panel> Programy a funkcie> Zapnutie alebo vypnutie funkcií systému Windows.

V zozname možností by jednou z možností bola podpora zdieľania súborov SMB 1.0 / CIFS . Zrušte začiarknutie príslušného políčka a stlačte OK.Zakážte SMB1 v systéme Windows

Reštartujte počítač.

Zakážte SMBv1 pomocou Powershellu

Otvorte okno PowerShell v režime správcu, zadajte nasledujúci príkaz a klávesom Enter deaktivujte SMB1:

Set-ItemProperty - Cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 - typ DWORD - hodnota 0 - sila 

Skript Powershell

Ak z nejakého dôvodu potrebujete dočasne vypnúť SMB verzie 2 a 3, použite tento príkaz:

Set-ItemProperty - Cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 - Typ DWORD - Hodnota 0 - Sila

Odporúča sa deaktivovať SMB verzie 1, pretože je zastaraný a využíva technológiu starú takmer 30 rokov.

Spoločnosť Microsoft tvrdí, že pri používaní protokolu SMB1 stratíte ochranu kľúčov, ktorú ponúkajú neskoršie verzie protokolu SMB, ako napríklad:

  1. Integrita pred autentifikáciou (SMB 3.1.1+) - Chráni pred útokmi na zníženie úrovne zabezpečenia.
  2. Blokovanie nezabezpečeného hosťa (SMB 3.0+ vo Windows 10+) - chráni pred útokmi MiTM.
  3. Secure Dialect Negotiation (SMB 3.0, 3.02) - Chráni pred útokmi na zníženie zabezpečenia.
  4. Lepšie podpisovanie správ (SMB 2.02+) - HMAC SHA-256 nahrádza MD5 ako hashový algoritmus v SMB 2.02, SMB 2.1 a AES-CMAC nahrádza v SMB 3.0+. Výkon podpisovania sa zvyšuje v SMB2 a 3.
  5. Šifrovanie (SMB 3.0+) - Zabraňuje kontrole údajov na kábli, útokom MiTM. V SMB 3.1.1 je šifrovanie ešte lepšie ako podpisovanie.

Ak ich chcete povoliť neskôr (neodporúča sa pre SMB1), budú príkazy nasledovné:

Pre povolenie SMB1:

Set-ItemProperty - cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 - typ DWORD - hodnota 1 - sila

Pre povolenie SMB2 a SMB3:

Set-ItemProperty - Cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 - typ DWORD - hodnota 1 - sila

Zakážte SMB1 pomocou registra Windows

Môžete tiež vylepšiť register Windows a zakázať SMB1.

Spustite program regedit a prejdite na nasledujúci kľúč registra:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parametre

Na pravej strane by nemal byť prítomný DWORD SMB1 alebo by mal mať hodnotu 0 .

Hodnoty pre jeho povolenie a zakázanie sú nasledujúce:

  • 0 = zakázané
  • 1 = povolené

Ďalšie možnosti a spôsoby zakázania protokolov SMB na serveri SMB a v klientovi SMB nájdete na serveri Microsoft.

Zakážte SMB1 v systéme Windows