Γιατί και πώς να απενεργοποιήσετε το SMB1 στα Windows 10

Αν και οι ανησυχίες σχετικά με την ασφάλεια με τα συστήματα δεν είναι πουθενά καινούργιες, το χάος που προκαλείται από το Wannacrypt ransomware προκάλεσε άμεση δράση μεταξύ των netizens. Το Ransomware στοχεύει τις ευπάθειες της υπηρεσίας SMB του λειτουργικού συστήματος Windows να διαδώσει.

SMB ή Server Message Block είναι ένα πρωτόκολλο κοινής χρήσης αρχείων δικτύου που προορίζεται για κοινή χρήση αρχείων, εκτυπωτών κ.λπ., μεταξύ υπολογιστών. Υπάρχουν τρεις εκδόσεις - Έκδοση διακομιστή μπλοκ μηνυμάτων (SMB) 1 (SMBv1), SMB έκδοση 2 (SMBv2) και SMB έκδοση 3 (SMBv3). Η Microsoft συνιστά να απενεργοποιήσετε το SMB1 για λόγους ασφαλείας - και δεν είναι πιο σημαντικό να το κάνετε ενόψει της επιδημίας WannaCrypt ή NotPetya ransomware.

Απενεργοποιήστε το SMB1 στα Windows

Για να υπερασπιστείτε τον εαυτό σας από το WannaCrypt ransomware, είναι απαραίτητο να απενεργοποιήσετε το SMB1 καθώς και να εγκαταστήσετε τις ενημερώσεις κώδικα που κυκλοφόρησε η Microsoft. Ας ρίξουμε μια ματιά σε μερικούς από τους τρόπους απενεργοποίησης του SMB1 στα Windows 10/8/7.

Απενεργοποιήστε το SMB1 μέσω του Πίνακα Ελέγχου

Ανοίξτε τον Πίνακα Ελέγχου> Προγράμματα και δυνατότητες> Ενεργοποιήστε ή απενεργοποιήστε τις δυνατότητες των Windows.

Στη λίστα επιλογών, μία επιλογή θα ήταν η υποστήριξη κοινής χρήσης αρχείων SMB 1.0 / CIFS . Καταργήστε την επιλογή του πλαισίου ελέγχου που σχετίζεται με αυτό και πατήστε OK.Απενεργοποιήστε το SMB1 στα Windows

Επανεκκινήστε τον υπολογιστή σας.

Απενεργοποιήστε το SMBv1 χρησιμοποιώντας το Powershell

Ανοίξτε ένα παράθυρο PowerShell στη λειτουργία διαχειριστή, πληκτρολογήστε την ακόλουθη εντολή και πατήστε Enter για να απενεργοποιήσετε το SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force 

Σενάριο Powershell

Εάν για κάποιο λόγο, πρέπει να απενεργοποιήσετε προσωρινά την έκδοση 2 SMB και την έκδοση 3, χρησιμοποιήστε αυτήν την εντολή:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 –Force

Συνιστάται να απενεργοποιήσετε την έκδοση 1 SMB, καθώς είναι ξεπερασμένη και χρησιμοποιεί τεχνολογία που είναι σχεδόν 30 ετών.

Λέει η Microsoft, όταν χρησιμοποιείτε SMB1, χάνετε βασικές προστασίες που προσφέρονται από μεταγενέστερες εκδόσεις πρωτοκόλλου SMB όπως:

  1. Ακεραιότητα πριν από τον έλεγχο ταυτότητας (SMB 3.1.1+) - Προστατεύει από επιθέσεις υποβάθμισης ασφαλείας.
  2. Ασφαλής αποκλεισμός επισκεπτών επισκεπτών (SMB 3.0+ σε Windows 10+) - Προστατεύει από επιθέσεις MiTM.
  3. Secure Dialect Negotiation (SMB 3.0, 3.02) - Προστατεύει από επιθέσεις υποβάθμισης ασφαλείας.
  4. Καλύτερη υπογραφή μηνυμάτων (SMB 2.02+) - Το HMAC SHA-256 αντικαθιστά το MD5 ως αλγόριθμο κατακερματισμού στα SMB 2.02, SMB 2.1 και το AES-CMAC αντικαθιστά αυτό στο SMB 3.0+. Η απόδοση υπογραφής αυξάνεται σε SMB2 και 3.
  5. Κρυπτογράφηση (SMB 3.0+) - Αποτρέπει την επιθεώρηση δεδομένων στο καλώδιο, επιθέσεις MiTM. Στο SMB 3.1.1 η απόδοση κρυπτογράφησης είναι ακόμη καλύτερη από την υπογραφή.

Σε περίπτωση που θέλετε να τα ενεργοποιήσετε αργότερα (δεν συνιστάται για SMB1), οι εντολές θα έχουν ως εξής:

Για ενεργοποίηση του SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force

Για ενεργοποίηση SMB2 & SMB3:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 –Force

Απενεργοποιήστε το SMB1 χρησιμοποιώντας το μητρώο των Windows

Μπορείτε επίσης να τροποποιήσετε το μητρώο των Windows για να απενεργοποιήσετε το SMB1.

Εκτελέστε regedit και μεταβείτε στο ακόλουθο κλειδί μητρώου:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Παράμετροι

Στη δεξιά πλευρά, το DWORD SMB1 δεν πρέπει να υπάρχει ή πρέπει να έχει τιμή 0 .

Οι τιμές για την ενεργοποίηση και την απενεργοποίησή τους έχουν ως εξής:

  • 0 = Απενεργοποιημένο
  • 1 = Ενεργοποιημένο

Για περισσότερες επιλογές και τρόπους απενεργοποίησης πρωτοκόλλων SMB στον διακομιστή SMB και στον πελάτη SMB επισκεφθείτε τη Microsoft.

Απενεργοποιήστε το SMB1 στα Windows