Podrazumevano u Windows 10 i in Windows Server 2016. i dalje uključuje podršku za SMB 1.0. U većini slučajeva potrebno je samo osigurati rad naslijeđenih sistema: , Windows Server 2003 i stariji. U slučaju da u vašoj mreži nema takvih klijenata, novi Windows verzije poželjno je onemogućiti SMB 1.x protokol, ili potpuno ukloniti drajver. Tako ste zaštićeni od veliki broj ranjivosti koje su inherentne ovom zastarjelom protokolu (što još jednom svjedoči ), i svi klijenti koji pristupaju SMB loptama će koristiti nove, produktivnije, bezbednije verzije SMB protokola.
U jednom od prethodnih članaka citirali smo stranu klijenta i servera. Prema tabeli, starije verzije klijenata (XP, Server 2003 i neki stari *nix klijenti) mogu se koristiti za pristup resursi datoteka samo SMB 1.0 protokol. Ako na mreži nema takvih klijenata, možete potpuno onemogućiti SMB 1.0 na strani servera datoteka (uključujući AD kontrolere domena) i klijentskih stanica.
Revizija pristupa serveru datoteka putem SMB v1.0
prije isključivanja i potpuno uklanjanje SMB 1.0 drajver Na strani SMB fajl servera poželjno je osigurati da na mreži nema zastarjelih klijenata koji se na njega povezuju preko SMB v1.0. Da biste to učinili, omogućite pristup revizije za server datoteka koristeći ovaj protokol PowerShell komande:
Set-SmbServerConfiguration –AuditSmb1Access $true
Nakon nekog vremena proučite događaje u Aplikacije i usluge -> Microsoft -> Windows -> SMBServer -> Audi t za pristup klijentu koristeći SMB1 protokol.
Savjet. Lista događaja iz ovog dnevnika može se prikazati naredbom:
Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit
U našem primjeru, dnevnik je zabilježio pristup sa klijenta 192.168.1.10 koristeći SMB1 protokol. O tome svjedoče događaji sa EventID 3000 iz izvora SMBServer i opis:
SMB1 pristup
Adresa klijenta: 192.168.1.10
Smjernice:
Ovaj događaj ukazuje da je klijent pokušao da pristupi serveru koristeći SMB1. Da biste zaustavili reviziju SMB1 pristupa, koristite Windows PowerShell cmdlet Set-SmbServerConfiguration.
AT ovaj slučaj, zanemarićemo ovu informaciju, ali moramo uzeti u obzir činjenicu da u budućnosti ovog klijenta neće moći da se poveže na ovaj SMB server.
Onemogućavanje SMB 1.0 na strani servera
SMB 1.0 protokol se može onemogućiti i na strani klijenta i na strani servera. Na strani servera, SMB 1.0 protokol omogućava pristup SMB mrežnim folderima (file shares) preko mreže, a na strani klijenta je potrebno povezivanje na takve resurse.
Provjerite je li protokol SMB1 omogućen na strani servera pomoću sljedeće PowerShell naredbe:
Kao što vidite, vrijednost varijable EnableSMB1Protocol = True.
Dakle, onemogućite podršku za ovaj protokol:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
I pomoću cmdleta Get-SmbServerConfiguration, uvjerite se da je SMB1 protokol sada onemogućen.
Da biste u potpunosti uklonili upravljački program koji upravlja pristupom SMB v1 klijenta, pokrenite sljedeću naredbu:
Onemogući-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Ukloni
Ostaje ponovo pokrenuti sistem i provjeriti je li podrška za SMB1 protokol potpuno onemogućena.
Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol
Onemogućavanje SMB 1.0 na strani klijenta
Onemogućavanjem SMB 1.0 na strani servera, osigurali smo da klijenti neće moći da se povežu na njega koristeći ovaj protokol. Međutim, oni mogu koristiti zastarjeli protokol za pristup resursima trećih strana (uključujući eksterne). Da biste onemogućili podršku za SMB v1 na strani klijenta, pokrenite naredbe:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= onemogućen
Dakle, onemogućavanjem podrške za zastarjeli SMB 1.0 na strani klijenta i servera, u potpunosti ćete zaštititi svoju mrežu od svih poznatih i još uvijek neotkrivenih ranjivosti u njoj. I ranjivosti u Microsoft Server Blok poruka 1.0 se nalazi prilično redovno. Posljednja značajna ranjivost u SMBv1 koja bi mogla dozvoliti napadaču da daljinski izvrši proizvoljni kod popravljena je u martu 2017.
Čitaj kako onemogućiti zastarjeli sigurnosni protokol u Windows 10 da zaštitite svoj računar od zlonamjernog softvera i ransomwarea. U lokalnim mrežama fajlovi se prenose, najčešće preko " FTP protokol» (Datoteka Transfer Protocol), što nije uvijek prikladno za velike ili korporativne LAN mreže. Naravno, skupi sistemi za upravljanje dokumentima mogu priskočiti u pomoć, koji uvelike pojednostavljuju istovremeni rad i prijenos datoteka. Ali ovi programi zahtijevaju dodatni troškovi, postavke i vrijeme, stoga je najlakše koristiti običan server datoteka koji radi koristeći SMB (Server Message Block) protokol.
Cijele epidemije uzrokovane zlonamjernim softverom WannaCry i "petya", koji se vrtoglavom brzinom šire internetom, iskorištavaju rupu u drevnom protokolu SMBv1. Ovaj protokol je i dalje instaliran na Windows po defaultu, iz nekog čudnog razloga. Ako koristite Windows 10, 8 ili 7, trebali biste to biti sigurni SMBv1 onemogućen na vašem računaru.
sadržaj:
Šta je "SMBv1" protokol i zašto je on podrazumevano omogućen?
SMBv1 je stara verzija serverskog protokola za poruke koji Windows koristi dijeljenje fajlovi u lokalna mreža. Kasnije je zamijenjen sa SMBv2 i SMBv3. Ove verzije se mogu ostaviti uključene jer imaju više najbolja odbrana od hakovanja od prve verzije.
Stariji protokol SMBv1 uključen samo zato što još uvijek postoji nekoliko starih aplikacija koje se ne koriste SMBv2 ili SMBv3. Company Developers Microsoft stalno ažurirati listu takvog softvera.
Ako ne koristite nijedan od ovih programa, morate ih onemogućiti SMBv1 na vašem Windows računaru. Poželjno je to učiniti kako bi se računar zaštitio od bilo kakvih budućih napada sa ranjivosti u protokolu. SMBv1. Čak i stručnjaci Microsoft preporučuje da onemogućite ovaj protokol ako vam nije potreban.
Kako onemogućiti SMBv1 protokol u Windowsima 8, 8.1 i 10
Od ažuriranja Windows Autodesk za Windows 10, protokol SMBv1će po defaultu biti onemogućeno. Nažalost, kako bismo izvršili ovu promjenu u operativni sistem, korisnici su morali da izazovu ogromnu buru nezadovoljstva, ali ipak bolje ikad nego nikad.
Istovremeno, podrška za protokol SMBv1 možete lako onemogućiti sami i u Windows 8, 8.1 i 10. Otvorite "Kontrolna tabla"--> idi na "Programi"– > kliknite na link.
Također možete onemogućiti podršku za protokol SMBv1 samo otvaranjem menija "počni", unesite tražena riječ "komponenta" u polju za pretragu i kliknite na .
Pomaknite se prema dolje po listi i pronađite opciju „Podrška javni pristup na SMB 1.0 / CIFS fajlove". Opozovite izbor u polju za potvrdu da biste onemogućili ovu funkciju i kliknite "UREDU".
Nakon što izvršite promjene, sistem će od vas zatražiti da ponovo pokrenete računar.
Kako onemogućiti SMBv1 u Windows 7 koristeći Windows Registry
Da biste onemogućili protokol SMBv1 u Windows 7, morat ćete urediti Windows Registry.
Standardno upozorenje: promjena zapisa Windows Registry putem standardnog uređivača, može rezultirati nesiguran rad OS, pa čak i do potpunog ili djelomičnog kvara operativnog sistema. Korištenje uređivača je prilično jednostavno i sve dok slijedite ove upute ne biste trebali imati problema. I definitivno kreirajte backup registar i sve važna informacija, koji se pohranjuje na disk operativnog sistema prije nego što se izvrše bilo kakve promjene.
Prvo otvorite uređivač registra, kliknite na dugme "počni" i birajte "regedit" u polju za pretragu, a zatim kliknite desni klik kliknite na aplikaciju i pokrenite uređivač registra kao administrator.
U uređivaču registra koristite lijevo bočna traka da pređete na sledeći taster:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Zatim morate kreirati novi parametar unutar pododjeljka "Parametri". Desni klik na ikonu "Parametri"-> pomerite kursor miša preko "Stvoriti"–> zatim odaberite "DWORD (32-bitna) vrijednost".
Imenujte novi parametar "SMB1".
DWORDće biti kreirana sa vrijednošću «0» i savršeno je. «0» znači da SMBv1 onemogućeno. Ne morate uređivati datu vrijednost nakon njegovog stvaranja.
Sada zatvorite Registry Editor. Također ćete morati ponovo pokrenuti računar kako bi promjene stupile na snagu. Ako želite da poništite ovu promjenu, vratite se u ovaj prozor i uklonite postavku "SMB1".
Dodatne informacije
Gore navedeni koraci su odlični za onemogućavanje podrške protokola SMBv1 na jednom određenom računaru, ali postoje načini da ga onemogućite na cijeloj mreži. Morate pogledati zvaničnu dokumentaciju « Microsoft Windows» iza Dodatne informacije o takvim prilikama. Na primjer, u dokumentaciji ćete pronaći rješenje o tome kako izložiti gornju promjenu registra grupna politika sigurnost ako trebate onemogućiti "SMB1" preko cijele mreže na Windows 7 računaru.
Zbog nedavne epidemije WannaCry ransomware, iskorištavajući ranjivost SMB v1, na mreži su se ponovo pojavili savjeti za onemogućavanje ovog protokola. Štaviše, Microsoft je snažno preporučio onemogućavanje prve verzije SMB-a još u septembru 2016. Ali takvo gašenje može dovesti do neočekivanih posljedica, sve do neobičnosti: lično sam naišao na kompaniju u kojoj su, nakon borbe protiv SMB-a, prestali igrati bežični zvučnici Sonos.
Posebno da smanjim vjerovatnoću „puca u nogu“, želim se prisjetiti karakteristika SMB-a i detaljno razmotriti šta prijeti loše osmišljeno gašenje njegovih starih verzija.
SMB(Blok poruka servera) – mrežni protokol za daljinski pristup na fajlove i štampače. On je taj koji se koristi prilikom povezivanja resursa preko \servername\sharename. Protokol je prvobitno radio na vrhu NetBIOS-a koristeći UDP portove 137, 138 i TCP 137, 139. Windows izdanje 2000 počeo raditi direktno koristeći TCP port 445. SMB se također koristi za prijavu Aktivna domena Imenik i rad u njemu.
Pored udaljenog pristupa resursima, protokol se koristi i za međuprocesorsku komunikaciju putem "imenovanih tokova" - imenovanih cijevi. Procesu se pristupa duž putanje \.\pipe\name.
Prva verzija protokola, poznata i kao CIFS (Common Internet Sistem podataka), nastala je još 1980-ih, ali se druga verzija pojavila samo sa Windows Vista, 2006. Treća verzija protokola je objavljena sa Windows 8. Paralelno sa Microsoftom, kreiran je i ažuriran protokol u svojoj otvorenoj Samba implementaciji.
U svakom nova verzija dodani su protokoli različite vrste poboljšanja za poboljšanje performansi, sigurnosti i podrške za nove funkcije. Ali u isto vrijeme, podrška za starije protokole je ostala za kompatibilnost. Naravno, bilo je i ima dovoljno ranjivosti u starijim verzijama, od kojih jednu koristi WannaCry.
Ispod spojlera ćete naći pivot table promjene u SMB verzijama.
| Verzija | Operativni sistem | Dodato u odnosu na prethodnu verziju |
| SMB2.0 | Windows Vista/2008 | Promijenjen je broj naredbi protokola sa 100+ na 19 |
| Mogućnost "transportnog" rada - slanje dodatnih zahtjeva prije dobijanja odgovora na prethodni | ||
| Podrška za simboličke veze | ||
| HMAC SHA256 potpisivanje poruke umjesto MD5 | ||
| Povećajte keš memoriju i blokove za pisanje/čitanje | ||
| SMB 2.1 | Windows 7/2008R2 | Poboljšanje performansi |
| Podrška veća vrijednost MTU | ||
| Podrška za uslugu BranchCache - mehanizam koji kešira zahtjeve globalna mreža u lokalnoj mreži | ||
| SMB3.0 | Windows 8/2012 | Sposobnost izgradnje transparentnog failover klaster sa podjelom opterećenja |
| Podrška direktan pristup u memoriju (RDMA) | ||
| Upravljanje preko Powershell cmdleta | ||
| VSS podrška | ||
| AES-CMAC potpis | ||
| AES-CCM enkripcija | ||
| Mogućnost korištenja mrežne fascikle za skladištenje virtuelne mašine HyperV | ||
| Mogućnost korištenja mrežnih foldera za pohranu Microsoft baze SQL | ||
| SMB 3.02 | Windows 8.1/2012R2 | Poboljšanja sigurnosti i performansi |
| Automatsko balansiranje u klasteru | ||
| SMB 3.1.1 | Windows 10/2016 | Podrška za AES-GCM enkripciju |
| Provjera integriteta prije provjere autentičnosti koristeći SHA512 hash | ||
| Obavezno sigurno pregovaranje pri radu sa SMB 2.x i novijim klijentima |
Računamo uslovno žrtve
Pregled trenutne verzije protokola je prilično jednostavan, za to koristimo cmdlet Get-SmbConnection:
Cmdlet izlaz kada je otvoren mrežni resursi na serverima sa drugačija verzija Windows.
Izlaz pokazuje da klijent koji podržava sve verzije protokola koristi maksimum moguća verzija od onih koje server podržava. Naravno, ako klijent samo podržava stara verzija protokol, a na serveru će biti onemogućen - veza se neće uspostaviti. Omogućite ili onemogućite podršku za starije verzije u modernim Windows sistemi možete koristiti cmdlet Set–SmbServerConfiguration, i pogledajte stanje ovako:
Get–SmbServerConfiguration | Odaberite EnableSMB1Protocol, EnableSMB2Protocol
Onemogućite SMBv1 na serveru koji radi pod operativnim sistemom Windows 2012 R2.
Rezultat pri povezivanju sa Windows 2003.
Stoga, ako onemogućite stari, ranjivi protokol, možete izgubiti mrežu sa starim klijentima. Istovremeno, pored Windows XP i 2003, SMB v1 se također koristi u brojnim softverskim i hardverskim rješenjima (na primjer, NAS na GNU\Linuxu koji koristi staru verziju sambe).
Ispod spojlera dat ću listu proizvođača i proizvoda koji će potpuno ili djelomično prestati raditi kada je SMB v1 onemogućen.
| Proizvođač | Proizvod | Komentar |
| Barracuda | SSL VPN | |
| Sigurnosne kopije Web Security Gatewaya | ||
| Canon | Skenirajte na mrežno dijeljenje | |
| Cisco | WSA/WSAv | |
| WAAS | Verzije 5.0 i starije | |
| F5 | RDP klijentski gateway | |
| Microsoft Exchange proxy | ||
| Forcepoint (Raytheon) | "Neki proizvodi" | |
| HPE | ArcSight Legacy Unified Connector | Stare verzije |
| IBM | NetServer | Verzija V7R2 i starije |
| QRadar Upravitelj ranjivosti | Verzije 7.2.x i starije | |
| Lexmark | Firmware eSF 2.x i eSF 3.x | |
| Linux kernel | CIFS klijent | Od 2.5.42 do 3.5.x |
| McAfee | Web Gateway | |
| Microsoft | Windows | XP/2003 i stariji |
| MYOB | Računovođe | |
| Netapp | ONTAP | Verzije starije od 9.1 |
| NetGear | ReadyNAS | |
| Oracle | Solaris | 11.3 i stariji |
| Pulse Secure | PCS | 8.1R9/8.2R4 i starije |
| PPS | 5.1R9/5.3R4 i starije | |
| QNAP | Svi uređaji za pohranu podataka | Firmver stariji od 4.1 |
| crvena kapa | RHEL | Verzije starije od 7.2 |
| Ricoh | MFP Scan to Network Share | Pored nekih modela |
| RSA | Authentication Manager Server | |
| Samba | Samba | Starije od 3,5 |
| Sonos | Bežični zvučnici | |
| Sophos | Sophos UTM | |
| Sophos XG firewall | ||
| Sophos Web Appliance | ||
| SUSE | SLES | 11 i više godina |
| Synology | Disk Station Manager | Samo kontrola |
| Thomson Reuters | CS Professional Suite | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Starije od 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | MFP Scan to Network Share | Firmver bez ConnectKey firmvera |
Lista je preuzeta sa Microsoft web stranice, gdje se redovno ažurira.
Lista proizvoda koji koriste staru verziju protokola je prilično velika - prije nego što onemogućite SMB v1, svakako biste trebali razmisliti o posljedicama.
I dalje ga isključujem
Ako na mreži nema programa i uređaja koji koriste SMB v1, onda je, naravno, bolje onemogućiti stari protokol. Međutim, ako se isključi SMB Windows server 8/2012 se radi pomoću Powershell cmdleta, a zatim za Windows 7/2008 morat ćete urediti registrator. Ovo se takođe može uraditi sa Powershell pomoć:
Set–ItemProperty –Putanja "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Tip DWORD –Vrijednost 0 –Force
Ili bilo koji drugi zgodan način. Međutim, potrebno je ponovno pokretanje da bi se promjene primijenile.
Da biste onemogućili podršku za SMB v1 na klijentu, samo zaustavite uslugu odgovornu za njen rad i popravite ovisnosti usluge lanmanworkstation. To se može uraditi pomoću sljedećih naredbi:
sc.exe konfiguracija lanmanworkstation zavisi=bowser/mrxsmb20/nsi sc.exe konfiguracija mrxsmb10 start=isključeno
Za praktičnost onemogućavanja protokola u cijeloj mreži, zgodno je koristiti grupne politike, posebno Postavke grupne politike. Uz njihovu pomoć možete jednostavno raditi s registrom.
Kreiranje unosa u registrator putem grupnih politika.
Da biste onemogućili protokol na serveru, samo kreirajte sljedeću postavku:
- vrijednost: 0.
put: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
novi parametar: REG_DWORD pod nazivom SMB1;
Kreirajte postavku registra da onemogućite SMB v1 na serveru putem grupnih politika.
Da biste onemogućili podršku za SMB v1 na klijentima, morate promijeniti vrijednost dvije postavke.
Prvo onemogućite uslugu SMB v1 protokola:
- vrijednost: 4.
put: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
parametar: REG_DWORD pod nazivom Start;
Ažurirajte jedan od parametara.
Zatim popravljamo ovisnost usluge LanmanWorkstation tako da ne ovisi o SMB v1:
- vrijednost: tri reda - Bowser, MRxSmb20 i NSI.
staza: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
parametar: REG_MULTI_SZ pod nazivom DependOnService;
I zamjenjujemo drugu.
Nakon što primenite smernice grupe, morate ponovo pokrenuti računare vaše organizacije. Nakon ponovnog pokretanja, SMB v1 se više neće koristiti.
Radi - ne dirajte
Čudno je da ova stara zapovijed nije uvijek korisna - ransomware i trojanci mogu se pokrenuti u rijetko ažuriranoj infrastrukturi. Međutim, nenamjerno gašenje i ažuriranje usluga može paralizirati organizaciju jednako kao i virus.
Recite nam, jeste li već onemogućili SMB prve verzije? Da li je bilo mnogo žrtava?
Najnoviji veliki napadi virusa distribuiran koristeći rupe i nedostatke starog SMB1 protokola. Iz jednog manjeg razloga, Windows operativni sistem i dalje dozvoljava njegovo pokretanje prema zadanim postavkama. Ova starija verzija protokola se koristi za dijeljenje datoteka na lokalnoj mreži. Njegove novije verzije 2 i 3 su sigurnije i treba ih ostaviti uključene. Pošto koristite novi operativni sistem broj 10 ili prethodni - 8 ili čak zastareli - 7, morate onemogućiti ovaj protokol na svom računaru.
Uključen je samo zato što neki drugi korisnici pokreću starije aplikacije koje nisu ažurirane na vrijeme za rad sa SMB2 ili SMB3. Microsoft je sastavio njihovu listu. Ako je potrebno, pronađite ga i pogledajte na internetu.
Ako sve svoje programe instalirane na računaru održavate ažurnim (ažurnim), najvjerovatnije ćete morati da onemogućite ovaj protokol. Ovo će povećati sigurnost vašeg operativnog sistema i povjerljivih podataka za jedan korak. Usput, čak i stručnjaci same korporacije preporučuju isključivanje, ako je potrebno.
Jeste li spremni napraviti promjenu? Onda nastavimo.
SMB1
Otvorite Control Panel, gdje idite na odjeljak "Programi" i odaberite pododjeljak "Uključi/isključi Windows funkcije".
Na listi pronađite opciju "Podrška za SMB 1.0/CIFS dijeljenje datoteka", poništite je i kliknite na dugme "OK".
Ponovo pokrenite operativni sistem, nakon što sačuvate sve svoje prethodno uređene datoteke, kao što su dokumenti itd.
ZA WINDOWS 7
Ovdje uređivanje može pomoći. sistemski registar. On je moćan alat sistema i ako se u njega unesu netačni podaci, to može dovesti do nestabilnog rada OS-a. Pažljivo ga koristite, obavezno napravite rezervnu kopiju za vraćanje prije nego to učinite.
Otvorite uređivač pritiskom na kombinaciju Win ključeve+ R na tastaturi i ukucajte "regedit" u polje za unos. Zatim slijedite sljedeći put:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
kreirajte novu 32-bitnu DWORD vrijednost i nazovite je "SMB1" sa vrijednošću "0". Ponovo pokrenite sistem.
Pažnja! Ove metode rade na onemogućavanju protokola samo na jednom računaru, ali ne i na cijeloj mreži. Za informacije koje vas zanimaju pogledajte zvaničnu Microsoft dokumentaciju.
U vezi s nedavnom pojavom ransomwarea WannaCry koji iskorištava ranjivost SMB v1, na mreži su se ponovo pojavili savjeti za onemogućavanje ovog protokola. Štaviše, Microsoft je snažno preporučio onemogućavanje prve verzije SMB-a još u septembru 2016. Ali takvo gašenje može dovesti do neočekivanih posljedica, sve do neobičnosti: lično sam naišao na kompaniju u kojoj su, nakon borbe sa SMB, Sonos bežični zvučnici prestali da sviraju.
Posebno da smanjim vjerovatnoću „puca u nogu“, želim se prisjetiti karakteristika SMB-a i detaljno razmotriti šta prijeti loše osmišljeno gašenje njegovih starih verzija.
SMB(Server Message Block) je mrežni protokol za daljinski pristup datotekama i štampačima. On je taj koji se koristi prilikom povezivanja resursa preko \servername\sharename. Protokol je prvobitno radio preko NetBIOS-a koristeći UDP portove 137, 138 i TCP 137, 139. Sa izdavanjem Windowsa 2000, počeo je raditi direktno koristeći TCP port 445. SMB se također koristi za prijavu na domenu Aktivni direktorij i raditi u njemu.
Pored udaljenog pristupa resursima, protokol se koristi i za međuprocesorsku komunikaciju putem "imenovanih tokova" - imenovanih cijevi. Procesu se pristupa duž putanje \.\pipe\name.
Prva verzija protokola, poznata i kao CIFS (Common Internet File System), kreirana je još 1980-ih, ali druga verzija se pojavila samo sa Windows Vista, 2006. Treća verzija protokola je izašla sa Windows 8. Paralelno sa Microsoftom, kreiran je i ažuriran protokol u svojoj otvorenoj Samba implementaciji.
Sa svakom novom verzijom protokola dodavana su razna poboljšanja kako bi se povećala brzina, sigurnost i podrška za nove funkcije. Ali u isto vrijeme, podrška za starije protokole je ostala za kompatibilnost. Naravno, bilo je i ima dovoljno ranjivosti u starijim verzijama, od kojih jednu koristi WannaCry.
Ispod spojlera ćete pronaći zbirnu tabelu promjena u SMB verzijama.
| Verzija | Operativni sistem | Dodato u odnosu na prethodnu verziju |
| SMB2.0 | Windows Vista/2008 | Promijenjen je broj naredbi protokola sa 100+ na 19 |
| Mogućnost "transportnog" rada - slanje dodatnih zahtjeva prije dobijanja odgovora na prethodni | ||
| Podrška za simboličke veze | ||
| HMAC SHA256 potpisivanje poruke umjesto MD5 | ||
| Povećajte keš memoriju i blokove za pisanje/čitanje | ||
| SMB 2.1 | Windows 7/2008R2 | Poboljšanje performansi |
| Veća MTU podrška | ||
| Podrška za uslugu BranchCache - mehanizam koji kešira zahtjeve prema globalnoj mreži na lokalnoj mreži | ||
| SMB3.0 | Windows 8/2012 | Sposobnost izgradnje transparentnog klastera za prevazilaženje greške sa balansiranjem opterećenja |
| Podrška za direktni pristup memoriji (RDMA). | ||
| Upravljanje preko Powershell cmdleta | ||
| VSS podrška | ||
| AES-CMAC potpis | ||
| AES-CCM enkripcija | ||
| Mogućnost korištenja mrežnih mapa za skladištenje HyperV virtuelnih mašina | ||
| Mogućnost korištenja mrežnih mapa za pohranjivanje Microsoft SQL baza podataka | ||
| SMB 3.02 | Windows 8.1/2012R2 | Poboljšanja sigurnosti i performansi |
| Automatsko balansiranje u klasteru | ||
| SMB 3.1.1 | Windows 10/2016 | Podrška za AES-GCM enkripciju |
| Provjera integriteta prije provjere autentičnosti koristeći SHA512 hash | ||
| Obavezno sigurno pregovaranje pri radu sa SMB 2.x i novijim klijentima |
Računamo uslovno žrtve
Pregled trenutne verzije protokola je prilično jednostavan, za to koristimo cmdlet Get-SmbConnection:
Cmdlet izlaz kada su mrežni resursi otvoreni na serverima sa različitim verzijama Windows-a.
Izlaz pokazuje da klijent koji podržava sve verzije protokola koristi najvišu moguću verziju koju podržava server za povezivanje. Naravno, ako klijent podržava samo staru verziju protokola, a ona je onemogućena na serveru, veza se neće uspostaviti. Omogućite ili onemogućite podršku za starije verzije u savremeni sistemi Windows, možete koristiti cmdlet Set–SmbServerConfiguration, i pogledajte stanje ovako:
Get–SmbServerConfiguration | Odaberite EnableSMB1Protocol, EnableSMB2Protocol
Onemogućite SMBv1 na serveru koji radi pod operativnim sistemom Windows 2012 R2.
Rezultat pri povezivanju sa Windows 2003.
Stoga, ako onemogućite stari, ranjivi protokol, možete izgubiti mrežu sa starim klijentima. Istovremeno, pored Windows XP i 2003, SMB v1 se također koristi u brojnim softverskim i hardverskim rješenjima (na primjer, NAS na GNU\Linuxu koji koristi staru verziju sambe).
Ispod spojlera dat ću listu proizvođača i proizvoda koji će potpuno ili djelomično prestati raditi kada je SMB v1 onemogućen.
| Proizvođač | Proizvod | Komentar |
| Barracuda | SSL VPN | |
| Sigurnosne kopije Web Security Gatewaya | ||
| Canon | Skenirajte na mrežno dijeljenje | |
| Cisco | WSA/WSAv | |
| WAAS | Verzije 5.0 i starije | |
| F5 | RDP klijentski gateway | |
| Microsoft Exchange proxy | ||
| Forcepoint (Raytheon) | "Neki proizvodi" | |
| HPE | ArcSight Legacy Unified Connector | Stare verzije |
| IBM | NetServer | Verzija V7R2 i starije |
| QRadar Upravitelj ranjivosti | Verzije 7.2.x i starije | |
| Lexmark | Firmware eSF 2.x i eSF 3.x | |
| Linux kernel | CIFS klijent | Od 2.5.42 do 3.5.x |
| McAfee | Web Gateway | |
| Microsoft | Windows | XP/2003 i stariji |
| MYOB | Računovođe | |
| Netapp | ONTAP | Verzije starije od 9.1 |
| NetGear | ReadyNAS | |
| Oracle | Solaris | 11.3 i stariji |
| Pulse Secure | PCS | 8.1R9/8.2R4 i starije |
| PPS | 5.1R9/5.3R4 i starije | |
| QNAP | Svi uređaji za pohranu podataka | Firmver stariji od 4.1 |
| crvena kapa | RHEL | Verzije starije od 7.2 |
| Ricoh | MFP Scan to Network Share | Pored nekih modela |
| RSA | Authentication Manager Server | |
| Samba | Samba | Starije od 3,5 |
| Sonos | Bežični zvučnici | |
| Sophos | Sophos UTM | |
| Sophos XG firewall | ||
| Sophos Web Appliance | ||
| SUSE | SLES | 11 i više godina |
| Synology | Disk Station Manager | Samo kontrola |
| Thomson Reuters | CS Professional Suite | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Starije od 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | MFP Scan to Network Share | Firmver bez ConnectKey firmvera |
Lista je preuzeta sa Microsoft web stranice, gdje se redovno ažurira.
Lista proizvoda koji koriste staru verziju protokola je prilično velika - prije nego što onemogućite SMB v1, svakako biste trebali razmisliti o posljedicama.
I dalje ga isključujem
Ako na mreži nema programa i uređaja koji koriste SMB v1, onda je, naravno, bolje onemogućiti stari protokol. Istovremeno, ako se gašenje na Windows 8/2012 SMB serveru izvrši pomoću Powershell cmdleta, tada ćete za Windows 7/2008 morati urediti registar. Ovo se takođe može uraditi pomoću Powershell-a:
Set–ItemProperty –Putanja "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Tip DWORD –Vrijednost 0 –Force
Ili na bilo koji drugi pogodan način. Međutim, potrebno je ponovno pokretanje da bi se promjene primijenile.
Da biste onemogućili podršku za SMB v1 na klijentu, samo zaustavite uslugu odgovornu za njen rad i popravite ovisnosti usluge lanmanworkstation. To se može uraditi pomoću sljedećih naredbi:
sc.exe konfiguracija lanmanworkstation zavisi=bowser/mrxsmb20/nsi sc.exe konfiguracija mrxsmb10 start=isključeno
Za praktičnost onemogućavanja protokola u cijeloj mreži, zgodno je koristiti grupne politike, posebno Postavke grupne politike. Uz njihovu pomoć možete jednostavno raditi s registrom.
Kreiranje unosa u registrator putem grupnih politika.
Da biste onemogućili protokol na serveru, samo kreirajte sljedeću postavku:
- vrijednost: 0.
put: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
novi parametar: REG_DWORD pod nazivom SMB1;
Kreirajte postavku registra da onemogućite SMB v1 na serveru putem grupnih politika.
Da biste onemogućili podršku za SMB v1 na klijentima, morate promijeniti vrijednost dvije postavke.
Prvo onemogućite uslugu SMB v1 protokola:
- vrijednost: 4.
put: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
parametar: REG_DWORD pod nazivom Start;
Ažurirajte jedan od parametara.
Zatim popravljamo ovisnost usluge LanmanWorkstation tako da ne ovisi o SMB v1:
- vrijednost: tri reda - Bowser, MRxSmb20 i NSI.
staza: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
parametar: REG_MULTI_SZ pod nazivom DependOnService;
I zamjenjujemo drugu.
Nakon što primenite smernice grupe, morate ponovo pokrenuti računare vaše organizacije. Nakon ponovnog pokretanja, SMB v1 se više neće koristiti.
Radi - ne dirajte
Čudno je da ova stara zapovest nije uvek korisna - u retko ažuriranoj infrastrukturi, trojanci takođe mogu da se pokrenu. Međutim, nenamjerno gašenje i ažuriranje usluga može paralizirati organizaciju jednako kao i virus.
Recite nam, jeste li već onemogućili SMB prve verzije? Da li je bilo mnogo žrtava?
