Sistemlerdeki güvenlik sorunları yeni olmasa da, Wannacrypt Ransom yazılımının neden olduğu karışıklık netizenler arasında hemen harekete geçmesine neden oldu. Fidye yazılımı, Windows işletim sistemindeki SMB hizmeti açıklarını hedefler.
SMB or Sunucu İleti Bloğu bilgisayarlar arasında dosya, yazıcı vb. paylaşmak için bir ağ dosya paylaşım protokolüdür. Üç sürüm vardır: Sunucu Mesaj Bloğu (SMB) Sürüm 1 (SMBv1), SMB Sürüm 2 (SMBv2) ve SMB Sürüm 3 (SMBv3). Microsoft, güvenlik nedeniyle SMB1'i devre dışı bırakmanızı önerir - ve WannaCrypt veya NotPetya'nın fidye salgını göz önüne alındığında bunu yapmak artık önemli değil.
Windows'ta SMB1'i Devre Dışı Bırak
WannaCrypt Ransomware'e karşı savunmak, devre dışı bırakmak zorunludur SMB1 ve yamalar Microsoft tarafından yayınlandı. SMB1'i devre dışı bırakmanın bazı yollarına bir göz atalım
SMB1'i sistem kontrolü ile kapatın
Denetim Masası> Programlar ve Özellikler'i açın> Windows Özelliklerini Etkinleştirme veya Devre Dışı Bırakma
Seçenekler listesinde bir seçenek olurdu SMB 1.0 / CIFS Dosya Paylaşımı Desteği. Onay kutusunu temizleyin ve Tamam'a basın.
Bilgisayarı yeniden başlatın.
Powershell ile SMBv1’i devre dışı bırakın
Yönetici modunda bir PowerShell penceresi açın, aşağıdaki komutu yazın ve SMB1 özelliğini devre dışı bırakmak için Enter tuşuna basın:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanmanServerParameters 'SMB1 tipi DWORD değeri 0 -force
Herhangi bir nedenle SMB sürüm 2 ve sürüm 3'ü geçici olarak devre dışı bırakmanız gerekirse, şu komutu kullanın:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 tipi DWORD değeri 0 -Force
SMB sürüm 1'in eski olduğundan ve neredeyse 30 yaşında olan teknolojiyi kullandığından devre dışı bırakılması önerilir.
Microsoft, SMB1 kullanıyorsanız, SMB protokolünün sonraki sürümleriyle temel korumayı kaybedeceğinizi söylüyor:
- Ön kimlik doğrulama bütünlüğü (SMB 3.1.1.1+) - Hizmetten çıkarma saldırılarına karşı korur.
- Güvenli olmayan konuk kimlik doğrulaması (Windows 3.0+ üzerinde SMB 10+) - MiTM saldırılarına karşı korur.
- Secure Dialogue Negotiation (SMB 3.0, 3.02) - Güvenlik bozulması saldırılarına karşı korur.
- Daha İyi Mesaj İmzalama (SMB 2.02+) - HMAC SHA-256, SMB 5, SMB 2.02 ve AES-CMAC'deki karma algoritma SMB 2.1+ ile değiştirildiği için MD3.0'in yerini alır. SMB2 ve 3'te (14) artırılmış imza performansı
- (SMB 3.0+) şifreleme - Hattaki MiTM saldırılarında veri doğrulamayı önler. SMB 3.1.1.1'de, şifreleme performansı imzalamadan bile daha iyidir.
Bunları daha sonra etkinleştirmek istiyorsanız (SMB1 için önerilmez), komutlar aşağıdaki gibi olacaktır:
SMB1'i etkinleştirmek için:
Set-ItemProperty path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB1 türü DWORD değeri 1 -Force
SMB2 & SMB3'ü etkinleştirmek için:
Set-ItemProperty path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 Türü DWORD Değeri 1 -Force
SMB1 dosyasını Windows kayıt defterinden devre dışı bırakın
SMB1'i devre dışı bırakmak için Windows kayıt defterini de özelleştirebilirsiniz
Başlama regedit ve bir sonraki kayıt defteri anahtarına gidin:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter daha fazla oku