Хоча проблеми безпеки в системах ніде не є новими, плутанина, спричинена програмним забезпеченням Wannacrypt за викуп, призвела до негайної дії серед користувачів мережі. Ransomware орієнтована на уразливості сервісу SMB в операційній системі Windows.
SMB or Сервер Блок повідомлення - це мережевий протокол обміну файлами для обміну файлами, принтерами тощо між комп’ютерами. Існує три версії: Блок повідомлень сервера (SMB), версія 1 (SMBv1), версія SMB 2 (SMBv2) та версія SMB 3 (SMBv3). Корпорація Майкрософт рекомендує вимкнути SMB1 з міркувань безпеки - і це не важливіше, враховуючи епідемію викупу WannaCrypt або NotPetya.
Вимкнути SMB1 у Windows
Щоб захиститися від вимогах WannaCrypt, необхідно відключити його SMB1 та патчі опублікував Microsoft. Давайте розглянемо деякі способи вимкнення SMB1
Вимкніть SMB1 через систему управління
Відкрийте Панель керування> Програми та функції> Увімкнути або вимкнути функції Windows
У списку опцій буде опцією Підтримка спільного використання файлів SMB 1.0 / CIFS. Зніміть прапорець і натисніть OK.
Перезавантажте комп'ютер.
Вимкніть SMBv1 за допомогою Powershell
Відкрийте вікно PowerShell у режимі адміністратора, введіть таку команду та натисніть Enter, щоб вимкнути SMB1:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanmanServerParameters 'тип DWORD -значення 1 -force
Якщо з якихось причин вам потрібно тимчасово вимкнути SMB версії 2 та версії 3, скористайтеся цією командою:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'тип DWORD -значення 2 -Force
Рекомендується деактивувати SMB версію 1, оскільки вона застаріла і використовує технологію, яка вже майже 30 років.
Корпорація Майкрософт стверджує, що якщо ви використовуєте SMB1, ви втрачаєте захист ключа за допомогою більш пізніх версій протоколу SMB, наприклад:
- Цілісність попередньої автентифікації (SMB 3.1.1.1+) - захищає від атак виведення з експлуатації.
- Незахищена аутентифікація гостя (SMB 3.0+ у Windows 10+) - захищає від атак MiTM.
- Переговори щодо безпечного діалогу (SMB 3.0, 3.02) - захищає від атак погіршення безпеки.
- Краще підписання повідомлень (SMB 2.02+) - HMAC SHA-256 замінює MD5, оскільки алгоритм хешування в SMB 2.02, SMB 2.1 та AES-CMAC замінює SMB 3.0+. Підвищена продуктивність підпису в SMB2 та 3 (14)
- Шифрування (SMB 3.0+) - запобігає перевірці даних на лінії, атакам MiTM. У SMB 3.1.1.1 продуктивність шифрування навіть краща, ніж при підписанні.
Якщо ви бажаєте активувати їх пізніше (не рекомендується для SMB1), команди будуть такі:
Щоб увімкнути SMB1:
Шлях Set-ItemProperty'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'Тип SMB1 типу DWORD 1 -Force
Щоб увімкнути SMB2 та SMB3:
Шлях Set-ItemProperty'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'Тип SMB2 типу DWORD Значення 1 -Force
Вимкніть SMB1 за допомогою реєстру Windows
Ви також можете налаштувати реєстр Windows, щоб вимкнути SMB1
Start змерзатися і перейдіть до наступного розділу реєстру:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter читати далі