Nors saugumo problemos, susijusios su sistemomis, nėra niekur naujos, Wannacrypt ransomware sukeltos netvarka paskatino neatidėliotinus veiksmus tarp nevalstybinių subjektų. "Ransomware" taiko "Windows" operacinės sistemos SMB paslaugų pažeidžiamumą.
SMB arba Serverio pranešimų blokas yra tinklo failų bendrinimo protokolas, skirtas failams, spausdintuvams ir tt dalintis tarp kompiuterių. Yra trys versijos - serverio pranešimų blokas (SMB) versija 1 (SMBv1), SMB versija 2 (SMBv2) ir SMB versija 3 (SMBv3). "Microsoft" rekomenduoja išjungti SMB1 dėl saugumo priežasčių - ir tai nėra svarbu tai padaryti, atsižvelgiant į "WannaCrypt" ar "NotPetya ransomware" epidemiją.
Išjungti SMB1 sistemoje "Windows"
Norėdami apsiginti nuo WannaCrypt ransomware, būtina tai padaryti išjungti SMB1 taip pat įdiegti pleistrus išleido "Microsoft". Pažvelkime į keletą SMB1 išjungimo būdų.
Išjunkite SMB1 per valdymo skydelį
Atidaryti valdymo skydą> Programos ir ypatybės> Įjunkite arba išjunkite Windows funkcijas.
Pasirinkimų sąraše bus viena parinktis SMB 1.0 / CIFS failų bendrinimo palaikymas. Nuimkite varnelę, susijusią su ja, ir paspauskite Gerai.
Išjungti SMBv1 naudojant "Powershell"
Administratoriaus režimu atidarykite "PowerShell" langą, įveskite šią komandą ir paspauskite "Enter", kad išjungtumėte SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 0 –Force
Rekomenduojama išjungti SMB versiją 1, nes ji yra pasenusi ir naudojama beveik 30 metų.
Sako, kad "Microsoft", kai naudojate SMB1, prarasite pagrindinius apsaugos elementus, kuriuos siūlo vėlesnės SMB protokolo versijos:
- Išankstinio autentiškumo tikrumas (SMB 3.1.1 +) - apsaugo nuo saugumo sumažinimo išpuolių.
- Nesaugus įsidarbinimo blokavimas (SMB 3.0+ sistemoje "Windows 10+") - apsaugo nuo "MiTM" atakų.
- Secure Dialect Negotiation (SMB 3.0, 3.02) - Apsaugo nuo saugumo sumažinimo atakų.
- Geresnis pranešimų pasirašymas (SMB 2.02+) - HMAC SHA-256 pakeičia MD5 kaip maišymo algoritmą SMB 2.02, SMB 2.1 ir AES-CMAC pakeičia jį SMB 3.0+. Pasirašymo našumas didėja SMB2 ir 3.
- Šifravimas (SMB 3.0+) - neleidžia tikrinti duomenų apie laidą, MiTM atakų. SMB 3.1.1 šifravimo efektyvumas yra dar geresnis nei pasirašymas.
Jei norite juos vėliau įjungti (nerekomenduojama SMB1), komandos būtų tokios:
Norėdami įgalinti SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 1 -Force
Norėdami įgalinti SMB2 ir SMB3:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 1 –Force
Išjungti SMB1 naudojant "Windows" registrą
Taip pat galite įjungti "Windows" registrą, kad išjungtumėte SMB1.
Paleisti regedit ir pereikite prie šio registro raktas:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
Dešinėje pusėje - DWORD SMB1 neturėtų būti arba turėtų būti vertės 0.
Įjungimo ir išjungimo reikšmės yra tokios:
- 0 = Išjungta
- 1 = įjungta
Daugiau galimybių ir būdų, kaip išjungti SMB protokolus SMB serveryje ir SMB kliento aplanke "Microsoft".