Ačkoli bezpečnostní problémy se systémy nejsou nikde nové, nepořádek způsobený ransomwarem Wannacrypt vyvolal okamžitou akci mezi uživateli sítě. Ransomware se zaměřuje na chyby zabezpečení služby SMB operačního systému Windows, které se mají šířit.
SMB nebo Server Message Block je síťový protokol pro sdílení souborů určený ke sdílení souborů, tiskáren atd. Mezi počítači. Existují tři verze - Server Message Block (SMB) verze 1 (SMBv1), SMB verze 2 (SMBv2) a SMB verze 3 (SMBv3). Společnost Microsoft doporučuje zakázat SMB1 z bezpečnostních důvodů - a není to tak důležité z hlediska epidemie ransomwaru WannaCrypt nebo NotPetya.
Zakázat SMB1 ve Windows
Abyste se ubránili ransomwaru WannaCrypt, je nutné deaktivovat SMB1 a nainstalovat opravy vydané společností Microsoft. Podívejme se na některé ze způsobů, jak zakázat SMB1 ve Windows 10/8/7.
Vypněte SMB1 pomocí ovládacího panelu
Otevřete Ovládací panely> Programy a funkce> Zapnout nebo vypnout funkce systému Windows.
V seznamu možností by jednou z možností byla podpora sdílení souborů SMB 1.0 / CIFS . Zrušte zaškrtnutí příslušného zaškrtávacího políčka a stiskněte OK.
Restartujte váš počítač.
Zakažte SMBv1 pomocí Powershellu
Otevřete okno PowerShell v režimu správce, zadejte následující příkaz a stisknutím klávesy Enter zakažte SMB1:
Set-ItemProperty - Cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 - typ DWORD - hodnota 0 - síla
Pokud z nějakého důvodu potřebujete dočasně deaktivovat SMB verze 2 a verze 3, použijte tento příkaz:
Set-ItemProperty - Cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 - typ DWORD - hodnota 0 - síla
Doporučuje se deaktivovat SMB verze 1, protože je zastaralá a využívá technologii, která je téměř 30 let stará.
Říká Microsoft, že když používáte SMB1, ztratíte ochranu klíčů nabízenou pozdějšími verzemi protokolu SMB, jako jsou:
- Integrita před autentizací (SMB 3.1.1+) - Chrání před útoky na downgrade zabezpečení.
- Blokování nezabezpečeného hosta (SMB 3.0+ ve Windows 10+) - Chrání před útoky MiTM.
- Secure Dialect Negotiation (SMB 3.0, 3.02) - Chrání před útoky na downgrade zabezpečení.
- Lepší podepisování zpráv (SMB 2.02+) - HMAC SHA-256 nahrazuje MD5, protože algoritmus hash v SMB 2.02, SMB 2.1 a AES-CMAC nahrazuje algoritmus v SMB 3.0+. Výkon podepisování se zvyšuje v SMB2 a 3.
- Šifrování (SMB 3.0+) - Zabraňuje kontrole dat na kabelu, útokům MiTM. Ve SMB 3.1.1 je výkon šifrování ještě lepší než podepisování.
V případě, že je chcete později povolit (nedoporučuje se pro SMB1), budou příkazy následující:
Pro povolení SMB1:
Set-ItemProperty - cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 - typ DWORD - hodnota 1 - síla
Pro povolení SMB2 a SMB3:
Set-ItemProperty - cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 - typ DWORD - hodnota 1 - síla
Zakažte SMB1 pomocí registru Windows
Můžete také vyladit registr Windows a zakázat SMB1.
Spusťte regedit a přejděte na následující klíč registru:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parametry
Na pravé straně by DWORD SMB1 neměl být přítomen nebo by měl mít hodnotu 0 .
Hodnoty pro jeho povolení a zakázání jsou následující:
- 0 = deaktivováno
- 1 = povoleno
Další možnosti a způsoby, jak zakázat protokoly SMB na serveru SMB a klientovi SMB, naleznete na webu Microsoft.