Хотя проблемы безопасности с системами нигде не новы, беспорядок, вызванный вымогательством Wannacrypt, вызвал немедленные действия среди пользователей сети. Ransomware предназначен для распространения уязвимостей службы SMB для операционной системы Windows.
SMB или же Блок сообщений сервера это сетевой протокол обмена файлами, предназначенный для обмена файлами, принтерами и т. д. между компьютерами. Существует три версии: серверный блок сообщений (SMB) версии 1 (SMBv1), версия SMB версии 2 (SMBv2) и версия SMB 3 (SMBv3). Корпорация Майкрософт рекомендует отключить SMB1 по соображениям безопасности - и это не имеет особого значения в связи с эпидемией WannaCrypt или NotPetya ransomware.
Отключить SMB1 в Windows
Чтобы защитить себя от WannaCrypt ransomware, необходимо, чтобы вы отключить SMB1 так же как установить патчи выпущенный Microsoft. Давайте рассмотрим некоторые из способов отключения SMB1.
Отключение SMB1 через панель управления
Открыть панель управления> Программы и функции> Включение и выключение функций Windows.
В списке вариантов один вариант будет Поддержка SMB 1.0 / CIFS, Снимите флажок, связанный с ним, и нажмите OK.
Отключить SMBv1 с помощью Powershell
Откройте окно PowerShell в режиме администратора, введите следующую команду и нажмите Enter, чтобы отключить SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 0 –Force
Рекомендуется отключить версию SMB 1, поскольку она устарела и использует технологии, которым почти 30 лет.
Говорит Microsoft, когда вы используете SMB1, вы теряете ключевые защиты, предлагаемые более поздними версиями протокола SMB, например:
- Целостность проверки подлинности (SMB 3.1.1+) - Защита от атак с понижением безопасности.
- Небезопасная блокировка гостевой гостевой системы (SMB 3.0+ в Windows 10+) - защищает от атак MiTM.
- Secure Dialect Negotiation (SMB 3.0, 3.02) - защищает от атак с понижением безопасности.
- Улучшение подписки на сообщения (SMB 2.02+) - HMAC SHA-256 заменяет MD5 как алгоритм хэширования в SMB 2.02, SMB 2.1 и AES-CMAC заменяет это в SMB 3.0+. Повышение производительности подписки в SMB2 и 3.
- Шифрование (SMB 3.0+) - предотвращает проверку данных на проводе, атаки MiTM. В SMB 3.1.1 производительность шифрования даже лучше, чем подписание.
Если вы хотите включить их позже (не рекомендуется для SMB1), команды будут выглядеть следующим образом:
Для включения SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 1 -Force
Для включения SMB2 и SMB3:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 1 –Force
Отключить SMB1 с помощью реестра Windows
Вы также можете настроить реестр Windows, чтобы отключить SMB1.
Бежать смерзаться и перейдите к следующему разделу реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
В правой части DWORD SMB1 не должны присутствовать или должны иметь значение 0.
Значения для включения и выключения:
- 0 = Отключено
- 1 = включено
Дополнительные параметры и способы отключения SMB-протоколов на SMB-сервере и клиент SMB посещают Microsoft.