Proč a jak zakázat SMB1 v systému Windows 10

Ačkoli bezpečnostní problémy se systémy nejsou nikde nové, nepořádek způsobený ransomwarem Wannacrypt vyvolal okamžitou akci mezi uživateli sítě. Ransomware se zaměřuje na chyby zabezpečení služby SMB operačního systému Windows, které se mají šířit.

SMB nebo Server Message Block je síťový protokol pro sdílení souborů určený ke sdílení souborů, tiskáren atd. Mezi počítači. Existují tři verze - Server Message Block (SMB) verze 1 (SMBv1), SMB verze 2 (SMBv2) a SMB verze 3 (SMBv3). Společnost Microsoft doporučuje zakázat SMB1 z bezpečnostních důvodů - a není to tak důležité z hlediska epidemie ransomwaru WannaCrypt nebo NotPetya.

Zakázat SMB1 ve Windows

Abyste se ubránili ransomwaru WannaCrypt, je nutné deaktivovat SMB1 a nainstalovat opravy vydané společností Microsoft. Podívejme se na některé ze způsobů, jak zakázat SMB1 ve Windows 10/8/7.

Vypněte SMB1 pomocí ovládacího panelu

Otevřete Ovládací panely> Programy a funkce> Zapnout nebo vypnout funkce systému Windows.

V seznamu možností by jednou z možností byla podpora sdílení souborů SMB 1.0 / CIFS . Zrušte zaškrtnutí příslušného zaškrtávacího políčka a stiskněte OK.Zakázat SMB1 ve Windows

Restartujte váš počítač.

Zakažte SMBv1 pomocí Powershellu

Otevřete okno PowerShell v režimu správce, zadejte následující příkaz a stisknutím klávesy Enter zakažte SMB1:

Set-ItemProperty - Cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 - typ DWORD - hodnota 0 - síla 

Skript Powershell

Pokud z nějakého důvodu potřebujete dočasně deaktivovat SMB verze 2 a verze 3, použijte tento příkaz:

Set-ItemProperty - Cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 - typ DWORD - hodnota 0 - síla

Doporučuje se deaktivovat SMB verze 1, protože je zastaralá a využívá technologii, která je téměř 30 let stará.

Říká Microsoft, že když používáte SMB1, ztratíte ochranu klíčů nabízenou pozdějšími verzemi protokolu SMB, jako jsou:

  1. Integrita před autentizací (SMB 3.1.1+) - Chrání před útoky na downgrade zabezpečení.
  2. Blokování nezabezpečeného hosta (SMB 3.0+ ve Windows 10+) - Chrání před útoky MiTM.
  3. Secure Dialect Negotiation (SMB 3.0, 3.02) - Chrání před útoky na downgrade zabezpečení.
  4. Lepší podepisování zpráv (SMB 2.02+) - HMAC SHA-256 nahrazuje MD5, protože algoritmus hash v SMB 2.02, SMB 2.1 a AES-CMAC nahrazuje algoritmus v SMB 3.0+. Výkon podepisování se zvyšuje v SMB2 a 3.
  5. Šifrování (SMB 3.0+) - Zabraňuje kontrole dat na kabelu, útokům MiTM. Ve SMB 3.1.1 je výkon šifrování ještě lepší než podepisování.

V případě, že je chcete později povolit (nedoporučuje se pro SMB1), budou příkazy následující:

Pro povolení SMB1:

Set-ItemProperty - cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 - typ DWORD - hodnota 1 - síla

Pro povolení SMB2 a SMB3:

Set-ItemProperty - cesta "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 - typ DWORD - hodnota 1 - síla

Zakažte SMB1 pomocí registru Windows

Můžete také vyladit registr Windows a zakázat SMB1.

Spusťte regedit a přejděte na následující klíč registru:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parametry

Na pravé straně by DWORD SMB1 neměl být přítomen nebo by měl mít hodnotu 0 .

Hodnoty pro jeho povolení a zakázání jsou následující:

  • 0 = deaktivováno
  • 1 = povoleno

Další možnosti a způsoby, jak zakázat protokoly SMB na serveru SMB a klientovi SMB, naleznete na webu Microsoft.

Zakázat SMB1 ve Windows