Chociaż problemy bezpieczeństwa w systemach nie są nigdzie nowe, zamieszanie spowodowane przez oprogramowanie okupowe Wannacrypt doprowadziło do natychmiastowego działania wśród internautów. Ransomware atakuje luki w usługach SMB w systemie operacyjnym Windows.
SMB or Server Message Block to sieciowy protokół udostępniania plików służący do udostępniania plików, drukarek itp. między komputerami. Istnieją trzy wersje: Server Message Block (SMB) Version 1 (SMBv1), SMB Version 2 (SMBv2) i SMB Version 3 (SMBv3). Firma Microsoft zaleca wyłączenie SMB1 ze względów bezpieczeństwa - i nie jest to ważniejsze, biorąc pod uwagę epidemię okupu WannaCrypt lub NotPetya.
Wyłącz SMB1 w systemie Windows
Aby bronić się przed WannaCrypt ransomware, konieczne jest wyłączenie SMB1 i łaty opublikowane przez Microsoft. Przyjrzyjmy się niektórym sposobom wyłączenia SMB1
Wyłącz SMB1 poprzez sterowanie systemem
Otwórz Panel sterowania> Programy i funkcje> Włącz lub wyłącz funkcje systemu Windows
Na liście opcji będzie opcja Wsparcie udostępniania plików SMB 1.0 / CIFS. Usuń zaznaczenie pola wyboru i naciśnij OK.
Zrestartuj swój komputer.
Wyłącz SMBv1 za pomocą Powershell
Otwórz okno PowerShell w trybie administratora, wpisz następujące polecenie i naciśnij klawisz Enter, aby wyłączyć SMB1:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanmanServerParameters 'SMB1 -type DWORD-wartość 0 -force
Jeśli z jakiegoś powodu musisz tymczasowo wyłączyć SMB w wersji 2 i 3, użyj tego polecenia:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 -type Wartość DWORD 0 -Force
Zaleca się dezaktywację wersji SMB 1, ponieważ jest ona przestarzała i używa technologii, która jest prawie 30 lat.
Microsoft twierdzi, że jeśli używasz SMB1, tracisz kluczową ochronę w późniejszych wersjach protokołu SMB, takich jak:
- Integralność przed uwierzytelnieniem (SMB 3.1.1.1+) - chroni przed atakami związanymi z wycofaniem z eksploatacji.
- Niezabezpieczone uwierzytelnianie gościa (SMB 3.0+ w systemie Windows 10+) - Chroni przed atakami MiTM.
- Secure Dialogue Negotiation (SMB 3.0, 3.02) - Chroni przed atakami obniżającymi bezpieczeństwo.
- Lepsze podpisywanie wiadomości (SMB 2.02+) - HMAC SHA-256 zastępuje MD5, ponieważ algorytm skrótu w SMB 2.02, SMB 2.1 i AES-CMAC zastępuje SMB 3.0+. Zwiększona wydajność podpisu w SMB2 i 3 (14)
- Szyfrowanie (SMB 3.0+) - zapobiega weryfikacji danych na linii, atakom MiTM. W SMB 3.1.1.1 wydajność szyfrowania jest nawet lepsza niż podczas podpisywania.
Jeśli chcesz je później włączyć (niezalecane dla SMB1), polecenia będą następujące:
Aby włączyć SMB1:
Ścieżka Set-ItemProperty'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'Typ SMB1 Wartość DWORD 1 -Force
Aby włączyć SMB2 i SMB3:
Set-ItemProperty path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 Typ Wartość DWORD 1 -Force
Wyłącz SMB1 przez rejestr systemu Windows
Możesz także dostosować rejestr systemu Windows, aby wyłączyć SMB1
Start regedit i przejdź do następnego klucza rejestru:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter Czytaj więcej