Si parazgjedhje në Windows 10 dhe në Windows Server 2016 ende përfshin mbështetje për SMB 1.0. Në shumicën e rasteve, kërkohet vetëm për të siguruar funksionimin sistemet e trashëgimisë:, Windows Server 2003 dhe më vonë. Në rast se nuk ka mbetur klientë të tillë në rrjetin tuaj, i ri versionet e Windows këshillohet që të çaktivizoni protokollin SMB 1.x ose të hiqni plotësisht drejtuesin. Kështu, ju do të mbroheni nga një numër i madh dobësitë që janë të natyrshme në këtë protokoll të vjetëruar (siç evidentohet edhe një herë), dhe të gjithë klientët, kur aksesojnë topat SMB, do të përdorin versione të reja, më produktive dhe të sigurta të protokollit SMB.
Në një nga artikujt e mëparshëm ne kemi ofruar si nga ana e klientit ashtu edhe nga serveri. Sipas tabelës, versionet më të vjetra të klientëve (XP, Server 2003 dhe disa klientë të vjetëruar * nix) mund të përdorin për të hyrë në ndarjet e skedarëve vetëm protokolli SMB 1.0. Nëse nuk ka mbetur klientë të tillë në rrjet, mund të çaktivizoni plotësisht SMB 1.0 në serverët e skedarëve (përfshirë kontrollorët e domenit AD) dhe stacionet e klientit.
Auditimi i aksesit në serverin e skedarëve nëpërmjet SMB v1.0
Përpara shkëputjes dhe heqje e plotë Drejtues SMB 1.0. Në anën e serverit të skedarëve SMB, këshillohet të siguroheni që nuk ka klientë të vjetëruar në rrjet që lidhen me të nëpërmjet SMB v1.0. Për ta bërë këtë, aktivizoni auditimin e aksesit në server skedari në këtë protokoll duke përdorur Komandat PowerShell:
Set-SmbServerConfiguration –AuditSmb1Access $ e vërtetë
Pas një kohe, studioni ngjarjet në Revista e aplikacioneve dhe shërbimeve -> Microsoft -> Windows -> SMBServer -> Audi t për aksesin e klientit duke përdorur protokollin SMB1.
Këshilla... Lista e ngjarjeve nga ky regjistër mund të shfaqet me komandën:
Get-WinEvent -LogName Microsoft-Windows-SMBServer / Audit
Në shembullin tonë, qasja nga klienti 192.168.1.10 nëpërmjet protokollit SMB1 u regjistrua në regjistër. Kjo dëshmohet nga ngjarjet me EventID 3000 nga burimi dhe përshkrimi i SMBServer:
Qasja SMB1
Adresa e klientit: 192.168.1.10
Udhëzime:
Kjo ngjarje tregon se një klient u përpoq të hynte në server duke përdorur SMB1. Për të ndaluar auditimin e aksesit SMB1, përdorni Windows PowerShell cmdlet Set-SmbServerConfiguration.
V në këtë rast, ne do ta shpërfillim këtë informacion, por duhet të kemi parasysh faktin se në të ardhmen klienti i dhënë nuk do të jetë në gjendje të lidhet me këtë server SMB.
Çaktivizimi i SMB 1.0 në anën e serverit
SMB 1.0 mund të çaktivizohet si në anën e klientit ashtu edhe në anën e serverit. Nga ana e serverit, SMB 1.0 siguron akses në dosjet e rrjetit SMB (ndarjet e skedarëve) përmes rrjetit, dhe nga ana e klientit, nevojitet për t'u lidhur me burime të tilla.
Përdorni komandën e mëposhtme PowerShell për të kontrolluar nëse SMB1 është aktivizuar në anën e serverit:
Siç mund ta shihni, vlera e ndryshores EnableSMB1Protocol = True.
Pra, le të çaktivizojmë mbështetjen për këtë protokoll:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false -Force
Dhe duke përdorur cmdlet Get-SmbServerConfiguration, sigurohuni që protokolli SMB1 tani është i çaktivizuar.
Për të hequr plotësisht drejtuesin që trajton aksesin e klientit SMB v1, ekzekutoni komandën e mëposhtme:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Hiq
Mbetet të rindizni sistemin dhe të siguroheni që mbështetja e protokollit SMB1 është plotësisht e çaktivizuar.
Get-WindowsOptionalFeature –Online -FeatureName SMB1Protocol
Çaktivizimi i SMB 1.0 në anën e klientit
Duke çaktivizuar SMB 1.0 në anën e serverit, ne siguruam që klientët nuk do të mund të lidhen me të duke përdorur këtë protokoll. Megjithatë, ata mund të përdorin një protokoll të vjetëruar për të hyrë në burime të palëve të treta (përfshirë jashtëm). Për të çaktivizuar mbështetjen e klientit SMB v1, ekzekutoni komandat:
konfigurimi sc.exe lanmanworkstation varet = bowser / mrxsmb20 / nsi
konfigurimi sc.exe mrxsmb10 start = i çaktivizuar
Pra, duke çaktivizuar mbështetjen për SMB 1.0 të vjetëruar në anën e klientit dhe serverit, ju do të mbroni plotësisht rrjetin tuaj nga të gjitha dobësitë e njohura dhe të pa gjetura ende në të. Dhe dobësitë në Serveri i Microsoft Blloku i mesazheve 1.0 gjendet mjaft rregullisht. Dobësia e fundit e rëndësishme në SMBv1, e cila mund të lejonte një sulmues të ekzekutonte nga distanca kodin arbitrar, u rregullua në mars 2017.
Lexo, Si të çaktivizoni protokollin e vjetëruar të sigurisë në Windows 10 për më shumë mbrojtje të PC nga programet malware dhe ransomware. Në rrjetet lokale, skedarët transmetohen, më së shpeshti përmes " Protokolli FTP"(Dosja Protokolli i transferimit), i cili nuk është gjithmonë i përshtatshëm për LAN të mëdha ose të korporatave. Sigurisht, sistemet e shtrenjta të menaxhimit të dokumenteve mund të vijnë në shpëtim, të cilat thjeshtojnë shumë punë të njëkohshme dhe transferimin e skedarëve. Por këto programe kërkojnë kosto shtesë, cilësimet dhe koha, prandaj, është më e lehtë të përdorni një server të rregullt skedarësh që funksionon në protokollin "SMB" (Blloku i mesazheve të serverit).
Shpërthime të tëra të shkaktuara nga malware "WannaCry" dhe "Petya", të përhapur me shpejtësi marramendëse në internet, ata shfrytëzojnë një boshllëk në një protokoll të lashtë "SMBv1". Ky protokollështë ende i instaluar në Windows si parazgjedhje, për disa arsye qesharake. Nëse jeni duke përdorur Windows 10, 8 ose 7, atëherë duhet të siguroheni "SMBv1"çaktivizuar në kompjuterin tuaj.
Përmbajtja:
Çfarë është SMBv1 dhe pse është aktivizuar si parazgjedhje?
"SMBv1"Është një version i vjetër i protokollit të mesazheve të serverit që përdor Windows ndarjen skedarë në rrjet lokal... Më pas u zëvendësua nga "SMBv2" dhe "SMBv3"... Këto versione mund të lihen të aktivizuara pasi kanë më shumë mbrojtja më e mirë nga hakerimi se versioni i parë.
Protokolli më i vjetër "SMBv1" aktivizuar vetëm sepse kanë mbetur ende disa aplikacione të vjetra që nuk përdoren "SMBv2" ose "SMBv3"... Zhvilluesit e kompanisë Microsoft duke përditësuar vazhdimisht listën e softuerëve të tillë.
Nëse nuk jeni duke përdorur asnjë nga këto programe, atëherë, prandaj, duhet ta çaktivizoni "SMBv1" në kompjuterin tuaj Windows. Këshillohet që ta bëni këtë për të mbrojtur kompjuterin nga çdo sulm i ardhshëm me një cenueshmëri protokolli. "SMBv1"... Edhe specialistë Microsoft rekomandon çaktivizimin e këtij protokolli nëse nuk ju nevojitet.
Si të çaktivizoni protokollin SMBv1 në Windows 8, 8.1 dhe 10
Që nga përditësimi Windows Autodesk për Windows 10, protokoll "SMBv1" do të çaktivizohet si parazgjedhje. Fatkeqësisht, për të bërë këtë ndryshim në sistemi operativ, përdoruesit duhej të ngrinin një stuhi të madhe pakënaqësie, por gjithsesi më mirë vonë se kurrë.
Në të njëjtën kohë, mbështetja e protokollit "SMBv1" mund të çaktivizohet lehtësisht vetë dhe në Windows 8, 8.1 dhe 10. Hap "Paneli i kontrollit"-> shkoni te "Programet"-> klikoni në lidhje.
Ju gjithashtu mund të çaktivizoni mbështetjen e protokollit "SMBv1" thjesht duke hapur menunë "Fillimi", hyni fjala e kërkimit "Komponent" në kutinë e kërkimit dhe klikoni mbi.
Lëvizni poshtë listës dhe gjeni opsionin "Mbështetje akses të përgjithshëm te skedarët SMB 1.0 / CIFS "... Zgjidh kutinë për të çaktivizuar këtë veçori dhe kliko "NE RREGULL".
Pas kryerjes së ndryshimeve, sistemi do t'ju kërkojë të rinisni kompjuterin tuaj.
Si të çaktivizoni SMBv1 në Windows 7 duke përdorur regjistrin e Windows
Për të çaktivizuar protokollin "SMBv1" në Windows 7, do t'ju duhet të redaktoni Regjistrin e Windows.
Paralajmërim standard: ndryshimi i hyrjeve regjistri i Windows përmes një redaktuesi standard, mund të rezultojë në punë e paqëndrueshme OS, dhe madje edhe një dështim i plotë ose i pjesshëm i sistemit operativ. Përdorimi i redaktorit është mjaft i thjeshtë dhe për sa kohë që ndiqni këto udhëzime, nuk duhet të keni asnjë problem. Dhe padyshim, krijoni rezervë regjistri dhe të gjitha informacion i rendesishem i cili ruhet në diskun e sistemit operativ përpara se të bëhet ndonjë ndryshim.
Së pari, hapni redaktorin e regjistrit, klikoni në butonin "Fillimi" dhe lloji "Regedit" në kutinë e kërkimit, pastaj klikoni klikoni me të djathtën vendoseni miun mbi aplikacion dhe hapni redaktorin e regjistrit si administrator.
Në redaktorin e regjistrit përdorni të majtën panel anësor për të shkuar te çelësi tjetër:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanServer \ Parametrat
Atëherë ju duhet të krijoni parametër i ri brenda nënseksionit "Parametrat"... Klikoni me të djathtën në ikonën "Parametrat"-> lëvizni kursorin e miut sipër "Krijoni"-> pastaj zgjidhni "Parametri DWORD (32 bit)".
Emërtoni parametrin e ri "SMB1".
"DWORD" do të krijohet me vlerën «0» dhe kjo është perfekte. «0» do të thotë se "SMBv1" me aftësi të kufizuara. Nuk keni nevojë të redaktoni vlerën e dhënë pas krijimit të tij.
Tani mbyllni redaktorin e regjistrit. Ju gjithashtu do të duhet të rinisni kompjuterin tuaj që ndryshimet të hyjnë në fuqi. Nëse dëshironi të zhbëni këtë ndryshim, kthehuni në këtë dritare dhe hiqni parametrin "SMB1".
informacion shtese
Hapat e mësipërm janë të shkëlqyera për të çaktivizuar mbështetjen e protokollit "SMBv1" në një kompjuter të caktuar, por ka mënyra për ta çaktivizuar atë në të gjithë rrjetin. Ju duhet t'i referoheni dokumentacionit zyrtar « Microsoft Windows» per informacion shtese për mundësi të tilla. Për shembull, në dokumentacion, do të gjeni një zgjidhje se si të ekspozoni ndryshimin e mësipërm të regjistrit duke përdorur politikën e grupit sigurinë, nëse duhet ta çaktivizoni "SMB1" në të gjithë rrjetin në një kompjuter Windows 7.
Për shkak të epidemisë së fundit ransomware WannaCry, duke shfrytëzuar cenueshmërinë SMB v1, rrjeti ka përsëri këshilla për çaktivizimin e këtij protokolli. Për më tepër, Microsoft rekomandoi me forcë çaktivizimin e versionit të parë të SMB në shtator 2016. Por një mbyllje e tillë mund të çojë në pasoja të papritura, deri në dhe duke përfshirë kuriozitete: Unë personalisht hasa në një kompani ku, pas luftës kundër SMB, ata ndaluan së luajturi altoparlantët me valë Sonos.
Sidomos për të minimizuar gjasat e një "të shtënë në këmbë", dua t'ju kujtoj për tiparet e SMB dhe të shqyrtojmë në detaje se çfarë kërcënon paaftësimin e konceptuar keq të versioneve të tij më të vjetra.
SMB(Blloku i mesazheve të serverit) - protokolli i rrjetit për akses në distancë te skedarët dhe printerët. Është ai që përdoret kur lidh burimet përmes \ emri i serverit \ emri i përbashkët. Protokolli fillimisht funksiononte në krye të NetBIOS duke përdorur portat UDP 137, 138 dhe TCP 137, 139. Lëshimi i Windows 2000 filloi të punojë drejtpërdrejt duke përdorur Porta TCP 445. SMB përdoret gjithashtu për të hyrë në Domeni aktiv Drejtori dhe punoni në të.
Përveç aksesit në distancë në burime, protokolli përdoret gjithashtu për komunikimin ndërprocesor përmes tubave të emërtuar. Procesi adresohet përgjatë rrugës \. \ Emri i tubit.
Versioni i parë i protokollit, i njohur gjithashtu si CIFS (Common Internet Sistemi i skedarëve), u krijua në vitet 1980, por versioni i dytë u shfaq vetëm me Windows Vista, në vitin 2006. Versioni i tretë i protokollit u lëshua me Windows 8. Paralelisht me Microsoft, protokolli u krijua dhe u përditësua në zbatimin e tij të hapur Samba.
Në secilin version i ri u shtuan protokolle lloje te ndryshme përmirësime për të përmirësuar performancën, sigurinë dhe mbështetjen për veçoritë e reja. Por në të njëjtën kohë, mbështetja për protokollet e vjetra mbeti për pajtueshmërinë. Sigurisht, versionet e vjetra kishin dhe kanë ende dobësi të mjaftueshme, njëra prej të cilave përdoret nga WannaCry.
Nën spoiler do të gjeni Tabela strumbullar ndryshimet në versionet SMB.
| Version | Sistemi operativ | Shtuar në krahasim me versionin e mëparshëm |
| SMB 2.0 | Windows Vista / 2008 | Ndryshoi numrin e komandave të protokollit nga 100+ në 19 |
| Mundësia e punës "tubacioni" - dërgimi i kërkesave shtesë përpara se të merrni një përgjigje për të mëparshmen | ||
| Mbështetje për lidhjen simbolike | ||
| Nënshkrimi i mesazhit HMAC SHA256 në vend të MD5 | ||
| Rritni cache dhe blloqet e shkrimit/leximit | ||
| SMB 2.1 | Windows 7 / 2008R2 | Përmirësimi i performancës |
| Mbështetje me rëndësi më të madhe MTU | ||
| Mbështetja e Shërbimit të BranchCache - Një mekanizëm që ruan kërkesat brenda rrjeti global në rrjetin lokal | ||
| SMB 3.0 | Windows 8/2012 | Aftësia për të ndërtuar transparente grupi i dështimit me ndarje të ngarkesës |
| Mbështetje akses direkt në kujtesë (RDMA) | ||
| Menaxhimi i cmdlet Powershell | ||
| Mbështetje VSS | ||
| Nënshkrimi AES – CMAC | ||
| Kriptimi AES-CCM | ||
| Aftësia për të përdorur dosjet e rrjetit për ruajtje makina virtuale HyperV | ||
| Aftësia për të përdorur dosjet e rrjetit për ruajtje Bazat e Microsoft SQL | ||
| SMB 3.02 | Windows 8.1 / 2012R2 | Përmirësime në siguri dhe performancë |
| Balancimi automatik në grup | ||
| SMB 3.1.1 | Windows 10/2016 | Mbështetje për kriptim AES-GCM |
| Kontrolli i integritetit përpara vërtetimit duke përdorur hash SHA512 | ||
| "Negociatat" e detyrueshme të sigurta kur punoni me klientët SMB 2.x dhe më të lartë |
Konsiderojmë të lënduar me kusht
Është mjaft e thjeshtë për të parë versionin e përdorur aktualisht të protokollit, ne përdorim cmdlet për këtë Merr – SmbConnection:
Dalja Cmdlet kur është e hapur burimet e rrjetit në serverët me version të ndryshëm Dritaret.
Mund të shihet nga dalja që një klient që mbështet të gjitha versionet e protokollit përdor maksimumin version i mundshëm nga ato të mbështetura nga serveri. Sigurisht, nëse klienti mbështet vetëm version i vjeter protokoll, dhe në server do të çaktivizohet - lidhja nuk do të vendoset. Aktivizo ose çaktivizo mbështetjen e vjetër në moderne Sistemet Windows duke përdorur cmdlet Set – SmbServerConfiguration, dhe shikoni gjendjen si kjo:
Merr – SmbServerConfiguration | Zgjidhni EnableSMB1Protocol, EnableSMB2Protocol
Çaktivizoni SMBv1 në një server me Windows 2012 R2.
Rezultati kur lidheni nga Windows 2003.
Kështu, nëse çaktivizoni protokollin e vjetër, të cenueshëm, mund të humbni funksionalitetin e rrjetit me klientët e vjetër. Në të njëjtën kohë, përveç Windows XP dhe 2003, SMB v1 përdoret gjithashtu në një numër zgjidhjesh softuerësh dhe harduerësh (për shembull, NAS në GNU \ Linux, duke përdorur një version të vjetër të samba).
Nën spoiler, unë do të jap një listë të prodhuesve dhe produkteve që do të ndalojnë plotësisht ose pjesërisht punën kur çaktivizoni SMB v1.
| Prodhuesi | Produkt | Një koment |
| Barrakuda | SSL VPN | |
| Rezervimet e portës së sigurisë në ueb | ||
| Canon | Skanoni në ndarjen e rrjetit | |
| Cisco | WSA / WSAv | |
| WAAS | Versionet 5.0 dhe më të vjetër | |
| F5 | Porta e klientit RDP | |
| Proxy Microsoft Exchange | ||
| Forcepoint (Raytheon) | "Disa produkte" | |
| HPE | Lidhës i unifikuar i trashëgimisë ArcSight | Versione të vjetra |
| IBM | NetServer | Versioni V7R2 dhe më i vjetër |
| Menaxheri i dobësisë së QRadar | Versionet 7.2.x dhe më të vjetër | |
| Lexmark | Firmware eSF 2.x dhe eSF 3.x | |
| Kernel Linux | klient CIFS | Nga 2.5.42 në 3.5.x |
| McAfee | Porta e internetit | |
| Microsoft | Dritaret | XP / 2003 dhe më të vjetër |
| MYOB | Kontabilistë | |
| NetApp | NË RUBINET | Versionet para 9.1 |
| NetGear | ReadyNAS | |
| Orakulli | Solaris | 11.3 dhe më të vjetër |
| Pulse Secure | PC | 8.1R9 / 8.2R4 dhe më të vjetër |
| PPS | 5.1R9 / 5.3R4 dhe më të vjetër | |
| QNAP | Të gjitha pajisjet e ruajtjes | Firmware më i vjetër se 4.1 |
| Kapele e kuqe | RHEL | Versionet para 7.2 |
| Ricoh | MFP, skanoni në burimin e rrjetit | Përveç një numri modelesh |
| RSA | Serveri i menaxherit të vërtetimit | |
| Samba | Samba | Më e vjetër se 3.5 |
| Sonos | Altoparlantët me valë | |
| Sophos | Sophos UTM | |
| Firewall i Sophos XG | ||
| Aplikacioni ueb Sophos | ||
| SUSE | SLES | 11 vjeç e lart |
| Sinologjia | Menaxher i Diskstacionit | Vetëm kontroll |
| Thomson Reuters | Suite Profesionale CS | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Më e vjetër se 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | MFP, skanoni në burimin e rrjetit | Firmware pa Firmware ConnectKey |
Lista është marrë nga faqja e internetit e Microsoft, ku përditësohet rregullisht.
Lista e produkteve që përdorin versionin e vjetër të protokollit është mjaft e madhe - përpara se të çaktivizoni SMB v1, duhet patjetër të mendoni për pasojat.
Çaktivizo
Nëse nuk ka programe dhe pajisje që përdorin SMB v1 në rrjet, atëherë, natyrisht, është më mirë të çaktivizoni protokollin e vjetër. Në këtë rast, nëse mbyllet në SMB Serveri Windows 8/2012 bëhet duke përdorur cmdlet Powershell, më pas për Windows 7/2008 do t'ju duhet të redaktoni regjistrin. Kjo mund të bëhet edhe me Ndihmë Powershell:
Set – Property Artikull – Shtegu "HKLM: \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanServer \ Parametrat" SMB1 - Lloji DWORD - Vlera 0 - Forca
Ose ndonjë tjetër në një mënyrë të përshtatshme... Megjithatë, kërkohet një rindezje për të zbatuar ndryshimet.
Për të çaktivizuar mbështetjen e SMB v1 në një klient, thjesht ndaloni shërbimin përgjegjës për funksionimin e tij dhe rregulloni varësitë e shërbimit lanmanworkstation. Kjo mund të bëhet me komandat e mëposhtme:
konfigurimi sc.exe lanmanworkstation varet = bowser / mrxsmb20 / nsi konfigurimi sc.exe mrxsmb10 start = i çaktivizuar
Për lehtësinë e çaktivizimit të protokollit në të gjithë rrjetin, është e përshtatshme të përdoren politikat e grupit, veçanërisht Preferencat e Politikave të Grupit. Me ndihmën e tyre, ju mund të punoni me lehtësi me regjistrin.
Krijimi i një hyrje në regjistër përmes politikave të grupit.
Për të çaktivizuar protokollin në server, thjesht krijoni parametrin e mëposhtëm:
- vlera: 0.
rruga: HKLM: \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanServer \ Parametrat;
parametër i ri: REG_DWORD me emrin SMB1;
Krijo një çelës regjistri për të çaktivizuar SMB v1 në server përmes Politikës së Grupit.
Për të çaktivizuar mbështetjen e SMB v1 për klientët, duhet të ndryshoni vlerën e dy parametrave.
Së pari, çaktivizoni shërbimin e protokollit SMB v1:
- vlera: 4.
rruga: HKLM: \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10;
parametri: REG_DWORD me emrin Fillimi;
Ne përditësojmë një nga parametrat.
Pastaj do të rregullojmë varësinë e shërbimit LanmanWorkstation në mënyrë që të mos varet nga SMB v1:
- do të thotë: tre rreshta - Bowser, MRxSmb20 dhe NSI.
rruga: HKLM: \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanWorkstation;
parametri: REG_MULTI_SZ me emrin DependOnService;
Dhe zëvendësoni me një tjetër.
Pas aplikimit të Politikës së Grupit, duhet të rinisni kompjuterët në organizatën tuaj. Pas rindezjes, SMB v1 nuk do të përdoret më.
Punon - mos prek
Mjaft e çuditshme, ky urdhërim i vjetër nuk është gjithmonë i dobishëm - ransomware dhe Trojans mund të funksionojnë në infrastrukturën e përditësuar rrallë. Megjithatë, mbyllja dhe përditësimi i pasaktë i shërbimeve mund të paralizojë një organizatë ashtu si viruset.
Na tregoni, a e keni çaktivizuar tashmë SMB të versionit të parë? Kishte shumë viktima?
Kohët e fundit në shkallë të gjerë sulmet e virusit përhapur duke përdorur vrimat dhe të metat e protokollit të vjetër SMB1. Për një arsye të vogël, sistemi operativ Windows ende e lejon atë të funksionojë si parazgjedhje. Ky version i vjetër i protokollit përdoret për ndarjen e skedarëve në një rrjet lokal. Versionet e tij më të reja 2 dhe 3 janë më të sigurta dhe duhet të lihen të aktivizuara. Meqenëse po përdorni një sistem të ri operativ me numër 10 ose të mëparshmin - 8 ose edhe atë tashmë të vjetëruar - 7, duhet ta çaktivizoni këtë protokoll në kompjuterin tuaj.
Përfshihet vetëm sepse disa përdorues përdorin ende aplikacione të vjetra që nuk janë përditësuar në kohë për të punuar me SMB2 ose SMB3. Microsoft ka përpiluar një listë të tyre. Gjeni dhe shikojeni në internet, nëse është e nevojshme.
Nëse i mbani të gjitha programet tuaja të instaluara në kompjuterin tuaj në gjendje të mirë (përditësoni në kohë), ka shumë të ngjarë që të duhet ta çaktivizoni këtë protokoll. Duke bërë këtë, rrisni sigurinë e sistemit tuaj operativ dhe të dhënave konfidenciale me një hap. Nga rruga, edhe specialistët e vetë korporatës rekomandojnë ta fikni nëse është e nevojshme.
A jeni gati për të bërë ndryshime? Le të vazhdojmë atëherë.
SMB1
Hapni panelin e kontrollit, ku shkoni te seksioni "Programet" dhe zgjidhni nënseksionin "Aktivizo / çaktivizo veçoritë e Windows".
Në listë, gjeni opsionin "Mbështetje për ndarjen e skedarëve SMB 1.0 / CIFS", zgjidhni atë dhe klikoni "OK".
Rinisni sistemin operativ pasi të keni ruajtur të gjithë skedarët tuaj të redaktuar më parë, si dokumentet, etj.
PËR WINDOWS 7
Redaktimi do t'ju ndihmojë këtu regjistri i sistemit... Ai eshte mjet i fuqishëm sistemi dhe në rast të futjes së të dhënave të pasakta në të, mund të çojë në funksionim të paqëndrueshëm të OS. Përdoreni me kujdes, sigurohuni që ta bëni kopje rezervë përpara se ta bëni këtë.
Hapni redaktorin, për të cilin shtypni kombinimin Çelësat e fitores+ R në tastierën tuaj dhe shkruani "regedit" në fushën e hyrjes. Pastaj ndiqni rrugën vijuese:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanServer \ Parametrat
krijoni një DWORD të ri 32-bit dhe emërtoni "SMB1" me vlerën "0". Rinisni sistemin tuaj.
Kujdes! Këto metoda funksionojnë për të çaktivizuar protokollin vetëm në një PC, por jo në të gjithë rrjetin. Referojuni dokumentacionit zyrtar të Microsoft-it për informacionin që ju intereson.
Në lidhje me shpërthimin e fundit të ransomware WannaCry që shfrytëzon cenueshmërinë SMB v1, këshilla për çaktivizimin e këtij protokolli janë shfaqur sërish në rrjet. Për më tepër, Microsoft rekomandoi me forcë çaktivizimin e versionit të parë të SMB në shtator 2016. Por një mbyllje e tillë mund të çojë në pasoja të papritura, deri në kuriozitete: Unë personalisht hasa në një kompani ku, pas luftës kundër SMB, altoparlantët me valë Sonos pushuan së luajturi.
Sidomos për të minimizuar gjasat e një "të shtënë në këmbë", dua t'ju kujtoj për tiparet e SMB dhe të shqyrtojmë në detaje se çfarë kërcënon paaftësimin e konceptuar keq të versioneve të tij më të vjetra.
SMB(Server Message Block) është një protokoll rrjeti për qasje në distancë te skedarët dhe printerët. Është ai që përdoret kur lidh burimet përmes \ emri i serverit \ emri i përbashkët. Protokolli fillimisht funksionoi në krye të NetBIOS duke përdorur portat UDP 137, 138 dhe TCP 137, 139. Me lëshimin e Windows 2000, ai filloi të funksionojë drejtpërdrejt duke përdorur portin TCP 445. SMB përdoret gjithashtu për t'u kyçur në një domen Active Directory dhe punoni në të.
Përveç aksesit në distancë në burime, protokolli përdoret gjithashtu për komunikimin ndërprocesor përmes tubave të emërtuar. Procesi adresohet përgjatë rrugës \. \ Emri i tubit.
Versioni i parë i protokollit, i njohur gjithashtu si CIFS (Common Internet File System), u krijua në vitet 1980, por versioni i dytë u shfaq vetëm me Windows Vista, në vitin 2006. Versioni i tretë i protokollit doli me Windows 8. Paralelisht me Microsoft-in, protokolli u krijua dhe u përditësua në zbatimin e tij Samba me burim të hapur.
Në çdo version të ri të protokollit, u shtuan përmirësime të ndryshme për të rritur performancën, sigurinë dhe mbështetjen për funksione të reja. Por në të njëjtën kohë, mbështetja për protokollet e vjetra mbeti për pajtueshmërinë. Sigurisht, versionet e vjetra kishin dhe kanë ende dobësi të mjaftueshme, njëra prej të cilave përdoret nga WannaCry.
Poshtë spoilerit, do të gjeni një tabelë përmbledhëse të ndryshimeve në versionet SMB.
| Version | Sistemi operativ | Shtuar në krahasim me versionin e mëparshëm |
| SMB 2.0 | Windows Vista / 2008 | Ndryshoi numrin e komandave të protokollit nga 100+ në 19 |
| Mundësia e punës "tubacioni" - dërgimi i kërkesave shtesë përpara se të merrni një përgjigje për të mëparshmen | ||
| Mbështetje për lidhjen simbolike | ||
| Nënshkrimi i mesazhit HMAC SHA256 në vend të MD5 | ||
| Rritni cache dhe blloqet e shkrimit/leximit | ||
| SMB 2.1 | Windows 7 / 2008R2 | Përmirësimi i performancës |
| Mbështetje më e lartë MTU | ||
| Mbështetja e BranchCache - një mekanizëm që ruan kërkesat WAN në një rrjet lokal | ||
| SMB 3.0 | Windows 8/2012 | Aftësia për të ndërtuar një grup transparent failover me balancimin e ngarkesës |
| Mbështetje për Qasjen e Memories direkte (RDMA). | ||
| Menaxhimi i cmdlet Powershell | ||
| Mbështetje VSS | ||
| Nënshkrimi AES – CMAC | ||
| Kriptimi AES-CCM | ||
| Aftësia për të përdorur dosjet e rrjetit për të ruajtur makinat virtuale HyperV | ||
| Aftësia për të përdorur dosjet e rrjetit për të ruajtur bazat e të dhënave të Microsoft SQL | ||
| SMB 3.02 | Windows 8.1 / 2012R2 | Përmirësime në siguri dhe performancë |
| Balancimi automatik në grup | ||
| SMB 3.1.1 | Windows 10/2016 | Mbështetje për kriptim AES-GCM |
| Kontrolli i integritetit përpara vërtetimit duke përdorur hash SHA512 | ||
| "Negociatat" e detyrueshme të sigurta kur punoni me klientët SMB 2.x dhe më të lartë |
Konsiderojmë të lënduar me kusht
Është mjaft e thjeshtë për të parë versionin e përdorur aktualisht të protokollit, ne përdorim cmdlet për këtë Merr – SmbConnection:
Dalja Cmdlet me burime të hapura të rrjetit në serverë me versione të ndryshme të Windows.
Mund të shihet nga dalja që një klient që mbështet të gjitha versionet e protokollit përdor versionin më të madh të mundshëm të mbështetur nga serveri për t'u lidhur. Sigurisht, nëse klienti mbështet vetëm versionin e vjetër të protokollit dhe ai është i çaktivizuar në server, lidhja nuk do të vendoset. Aktivizo ose çaktivizo mbështetjen e vjetër në sistemet moderne Windows duke përdorur cmdlet Set – SmbServerConfiguration, dhe shikoni gjendjen si kjo:
Merr – SmbServerConfiguration | Zgjidhni EnableSMB1Protocol, EnableSMB2Protocol
Çaktivizoni SMBv1 në një server me Windows 2012 R2.
Rezultati kur lidheni nga Windows 2003.
Kështu, nëse çaktivizoni protokollin e vjetër, të cenueshëm, mund të humbni funksionalitetin e rrjetit me klientët e vjetër. Në të njëjtën kohë, përveç Windows XP dhe 2003, SMB v1 përdoret gjithashtu në një numër zgjidhjesh softuerësh dhe harduerësh (për shembull, NAS në GNU \ Linux, duke përdorur një version të vjetër të samba).
Nën spoiler, unë do të jap një listë të prodhuesve dhe produkteve që do të ndalojnë plotësisht ose pjesërisht punën kur çaktivizoni SMB v1.
| Prodhuesi | Produkt | Një koment |
| Barrakuda | SSL VPN | |
| Rezervimet e portës së sigurisë në ueb | ||
| Canon | Skanoni në ndarjen e rrjetit | |
| Cisco | WSA / WSAv | |
| WAAS | Versionet 5.0 dhe më të vjetër | |
| F5 | Porta e klientit RDP | |
| Proxy Microsoft Exchange | ||
| Forcepoint (Raytheon) | "Disa produkte" | |
| HPE | Lidhës i unifikuar i trashëgimisë ArcSight | Versione të vjetra |
| IBM | NetServer | Versioni V7R2 dhe më i vjetër |
| Menaxheri i dobësisë së QRadar | Versionet 7.2.x dhe më të vjetër | |
| Lexmark | Firmware eSF 2.x dhe eSF 3.x | |
| Kernel Linux | klient CIFS | Nga 2.5.42 në 3.5.x |
| McAfee | Porta e internetit | |
| Microsoft | Dritaret | XP / 2003 dhe më të vjetër |
| MYOB | Kontabilistë | |
| NetApp | NË RUBINET | Versionet para 9.1 |
| NetGear | ReadyNAS | |
| Orakulli | Solaris | 11.3 dhe më të vjetër |
| Pulse Secure | PC | 8.1R9 / 8.2R4 dhe më të vjetër |
| PPS | 5.1R9 / 5.3R4 dhe më të vjetër | |
| QNAP | Të gjitha pajisjet e ruajtjes | Firmware më i vjetër se 4.1 |
| Kapele e kuqe | RHEL | Versionet para 7.2 |
| Ricoh | MFP, skanoni në burimin e rrjetit | Përveç një numri modelesh |
| RSA | Serveri i menaxherit të vërtetimit | |
| Samba | Samba | Më e vjetër se 3.5 |
| Sonos | Altoparlantët me valë | |
| Sophos | Sophos UTM | |
| Firewall i Sophos XG | ||
| Aplikacioni ueb Sophos | ||
| SUSE | SLES | 11 vjeç e lart |
| Sinologjia | Menaxher i Diskstacionit | Vetëm kontroll |
| Thomson Reuters | Suite Profesionale CS | |
| Tintri | Tintri OS, Tintri Global Center | |
| VMware | Vcenter | |
| ESXi | Më e vjetër se 6.0 | |
| Worldox | GX3 DMS | |
| Xerox | MFP, skanoni në burimin e rrjetit | Firmware pa Firmware ConnectKey |
Lista është marrë nga faqja e internetit e Microsoft, ku përditësohet rregullisht.
Lista e produkteve që përdorin versionin e vjetër të protokollit është mjaft e madhe - përpara se të çaktivizoni SMB v1, duhet patjetër të mendoni për pasojat.
Çaktivizo
Nëse nuk ka programe dhe pajisje që përdorin SMB v1 në rrjet, atëherë, natyrisht, është më mirë të çaktivizoni protokollin e vjetër. Për më tepër, nëse mbyllja në serverin SMB Windows 8/2012 kryhet duke përdorur cmdlet Powershell, atëherë për Windows 7/2008 do t'ju duhet të redaktoni regjistrin. Kjo mund të bëhet gjithashtu duke përdorur Powershell:
Set – Property Artikull – Shtegu "HKLM: \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanServer \ Parametrat" SMB1 - Lloji DWORD - Vlera 0 - Forca
Ose në ndonjë mënyrë tjetër të përshtatshme. Megjithatë, kërkohet një rindezje për të zbatuar ndryshimet.
Për të çaktivizuar mbështetjen e SMB v1 në një klient, thjesht ndaloni shërbimin përgjegjës për funksionimin e tij dhe rregulloni varësitë e shërbimit lanmanworkstation. Kjo mund të bëhet me komandat e mëposhtme:
konfigurimi sc.exe lanmanworkstation varet = bowser / mrxsmb20 / nsi konfigurimi sc.exe mrxsmb10 start = i çaktivizuar
Për lehtësinë e çaktivizimit të protokollit në të gjithë rrjetin, është e përshtatshme të përdoren politikat e grupit, veçanërisht Preferencat e Politikave të Grupit. Me ndihmën e tyre, ju mund të punoni me lehtësi me regjistrin.
Krijimi i një hyrje në regjistër përmes politikave të grupit.
Për të çaktivizuar protokollin në server, thjesht krijoni parametrin e mëposhtëm:
- vlera: 0.
rruga: HKLM: \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanServer \ Parametrat;
parametër i ri: REG_DWORD me emrin SMB1;
Krijo një çelës regjistri për të çaktivizuar SMB v1 në server përmes Politikës së Grupit.
Për të çaktivizuar mbështetjen e SMB v1 për klientët, duhet të ndryshoni vlerën e dy parametrave.
Së pari, çaktivizoni shërbimin e protokollit SMB v1:
- vlera: 4.
rruga: HKLM: \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10;
parametri: REG_DWORD me emrin Fillimi;
Ne përditësojmë një nga parametrat.
Pastaj do të rregullojmë varësinë e shërbimit LanmanWorkstation në mënyrë që të mos varet nga SMB v1:
- do të thotë: tre rreshta - Bowser, MRxSmb20 dhe NSI.
rruga: HKLM: \ SYSTEM \ CurrentControlSet \ Shërbimet \ LanmanWorkstation;
parametri: REG_MULTI_SZ me emrin DependOnService;
Dhe zëvendësoni me një tjetër.
Pas aplikimit të Politikës së Grupit, duhet të rinisni kompjuterët në organizatën tuaj. Pas rindezjes, SMB v1 nuk do të përdoret më.
Punon - mos prek
Mjaft e çuditshme, ky urdhërim i vjetër nuk është gjithmonë i dobishëm - Trojans mund të gjenden gjithashtu në infrastrukturën që përditësohet rrallë. Megjithatë, mbyllja dhe përditësimi i pasaktë i shërbimeve mund të paralizojë një organizatë ashtu si viruset.
Na tregoni, a e keni çaktivizuar tashmë SMB të versionit të parë? Kishte shumë viktima?
