Πρόσβαση σε κοινόχρηστους πόρους ενός υπολογιστή MS Windows (πρωτόκολλο SAMBA). Καταπολέμηση ιών και υποδομής ή απενεργοποίηση SMB v1 Αναγκαστική δημιουργία σύνδεσης σε φάκελο δικτύου από την πλευρά STB

Πρόσφατες επιθέσεις ιών μεγάλης κλίμακας έχουν εξαπλωθεί χρησιμοποιώντας τρύπες και ελλείψεις του παλιού πρωτοκόλλου SMB1. Για έναν από τους ασήμαντους λόγους, το λειτουργικό σύστημα Windows εξακολουθεί να του επιτρέπει να λειτουργεί από προεπιλογή. Αυτή η παλαιότερη έκδοση του πρωτοκόλλου χρησιμοποιείται για την κοινή χρήση αρχείων σε ένα τοπικό δίκτυο. Οι νεότερες εκδόσεις 2 και 3 είναι πιο ασφαλείς και αξίζει να τις αφήσετε ενεργοποιημένες. Έτσι, καθώς χρησιμοποιείτε το νέο λειτουργικό σύστημα με αριθμό 10 ή το προηγούμενο - 8 ή ακόμα και το ήδη ξεπερασμένο - 7, πρέπει να απενεργοποιήσετε αυτό το πρωτόκολλο στον υπολογιστή σας.

Περιλαμβάνεται μόνο επειδή εξακολουθούν να υπάρχουν ορισμένοι χρήστες που χρησιμοποιούν παλαιότερες εφαρμογές που δεν ενημερώθηκαν εγκαίρως για να εργαστούν με SMB2 ή SMB3. Η Microsoft έχει συντάξει μια λίστα με αυτά. Εάν είναι απαραίτητο, βρείτε και δείτε το στο Διαδίκτυο.

Εάν διατηρείτε όλα τα προγράμματά σας εγκατεστημένα στον υπολογιστή σας σε καλή κατάσταση (ενημερωμένα εγκαίρως), πιθανότατα πρέπει να απενεργοποιήσετε αυτό το πρωτόκολλο. Αυτό θα αυξήσει την ασφάλεια του λειτουργικού σας συστήματος και των εμπιστευτικών δεδομένων ένα βήμα παραπέρα. Παρεμπιπτόντως, ακόμη και ειδικοί από την ίδια την εταιρεία συνιστούν να το απενεργοποιήσετε, εάν είναι απαραίτητο.

Είστε έτοιμοι να κάνετε αλλαγές; Τότε ας συνεχίσουμε.

SMB1

Ανοίξτε τον Πίνακα Ελέγχου, μεταβείτε στα «Προγράμματα» και επιλέξτε «Ενεργοποίηση/απενεργοποίηση δυνατοτήτων των Windows».

Στη λίστα, βρείτε την επιλογή "Υποστήριξη για κοινή χρήση αρχείων SMB 1.0/CIFS", καταργήστε την επιλογή και κάντε κλικ στο "OK".

Κάντε επανεκκίνηση του λειτουργικού συστήματος, αφού αποθηκεύσετε όλα τα αρχεία που έχετε επεξεργαστεί προηγουμένως, όπως έγγραφα κ.λπ.

ΓΙΑ WINDOWS 7

Η επεξεργασία του μητρώου συστήματος θα σας βοηθήσει εδώ. Είναι ένα ισχυρό εργαλείο συστήματος και εάν εισαχθούν λανθασμένα δεδομένα σε αυτό, μπορεί να οδηγήσει σε ασταθή λειτουργία του ΛΣ. Χρησιμοποιήστε το με προσοχή και φροντίστε να δημιουργήσετε ένα αντίγραφο ασφαλείας για επαναφορά πριν το κάνετε.

Ανοίξτε το πρόγραμμα επεξεργασίας πατώντας το συνδυασμό πλήκτρων Win + R στο πληκτρολόγιό σας και πληκτρολογώντας "regedit" στο πεδίο εισαγωγής. Στη συνέχεια, ακολουθήστε την ακόλουθη διαδρομή:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Δημιουργήστε μια νέα τιμή DWORD 32-bit και ονομάστε την "SMB1" με την τιμή "0". Επανεκκινήστε το σύστημά σας.

Προσοχή! Αυτές οι μέθοδοι λειτουργούν για να απενεργοποιήσετε το πρωτόκολλο μόνο σε έναν υπολογιστή, αλλά όχι σε ολόκληρο το δίκτυο. Ανατρέξτε στην επίσημη τεκμηρίωση της Microsoft για τις πληροφορίες που σας ενδιαφέρουν.

Σήμερα θα σας πούμε πώς να ανοίξετε έναν φάκελο σε ένα τοπικό δίκτυο (συνήθως "κοινή χρήση") και να δώσετε σε άλλους υπολογιστές πρόσβαση στα αρχεία σας. Οδηγίες που χρησιμοποιούν τα Windows 10 ως παράδειγμα.

Κοινόχρηστος φάκελος

1. Ρυθμίσεις στην καρτέλα Γενική πρόσβαση

Για να δημιουργήσετε έναν πόρο δικτύου σε έναν υπολογιστή με Windows 10, δημιουργήστε έναν φάκελο ή επιλέξτε έναν υπάρχοντα, κάντε δεξί κλικ σε αυτόν και καλέστε Ιδιότητες:

Μεταβείτε στην καρτέλα Γενική πρόσβαση.

Επιλέγω Προηγμένη ρύθμιση:

Επιλέξτε το πλαίσιο Μοιράσου αυτόν το φάκελο.

Κάντε κλικ στο κουμπί Άδειες:

Διαμόρφωση αδειών για διαφορετικούς χρήστες ή ομάδες. Στις περισσότερες περιπτώσεις εδώ θα χρειαστείτε άδεια ανάγνωσης για την ομάδα Ολα. Στο παράδειγμά μας, επιτρέψαμε την πλήρη πρόσβαση στο φάκελο δικτύου: ανάγνωση και εγγραφή.

Μετά τη ρύθμιση, κάντε κλικ Εντάξει:

2. Ρυθμίσεις στην καρτέλα Ασφάλεια

Μεταβείτε στην καρτέλα Ασφάλεια.

Κάντε κλικ στο κουμπί Αλλαγή:

Εδώ πρέπει να καθορίσετε σε ποιους χρήστες επιτρέπεται η πρόσβαση σε επίπεδο δικαιωμάτων NTFS. Και πάλι, στις περισσότερες περιπτώσεις θα πρέπει να το επιτρέψετε για όλους. Για να το κάνετε αυτό, κάντε κλικ στο κουμπί Προσθήκη:

Εισαγάγετε τη λέξη "Όλοι" με κεφαλαίο γράμμα στο πεδίο και κάντε κλικ Εντάξει:

Τώρα η ομάδα Ολαεμφανίστηκε στη λίστα. Κάντε κλικ Αποθηκεύσετε:

Τώρα, για να έχετε πρόσβαση όχι μόνο στον ίδιο τον φάκελο, αλλά και σε υποφακέλους και αρχεία, πρέπει να αλλάξετε τις ρυθμίσεις NTFS.

Κάντε κλικ Επιπροσθέτως:

Επιλέξτε το πλαίσιο Αντικαταστήστε όλες τις εγγραφές δικαιωμάτων ενός θυγατρικού αντικειμένου με αυτές που κληρονομήθηκαν από αυτό το αντικείμενο.

Κάντε κλικ Εντάξει:

Κάντε κλικ Ναί:

Περιμένετε μέχρι να εφαρμοστούν τα δικαιώματα σε όλα τα ένθετα αντικείμενα. Όσο περισσότερα αρχεία και φάκελοι υπάρχουν μέσα σε έναν δεδομένο κατάλογο, τόσο περισσότερο μπορεί να διαρκέσει η διαδικασία εφαρμογής.

Προσοχή! Ενδέχεται να προκύψει σφάλμα κατά την εφαρμογή των παραμέτρων:

Αν το συναντήσετε, διαβάστε πώς να το διορθώσετε.

3. Διαμορφώστε τις επιλογές κοινής χρήσης

Στα Windows 10, κάντε κλικ Έναρξη - Επιλογέςκαι επιλέξτε Δίκτυο και διαδίκτυο:

ΕΠΕΛΕΞΕ ΕΝΑ ΑΝΤΙΚΕΙΜΕΝΟ Αλλάξτε τις σύνθετες επιλογές κοινής χρήσης:

Στα Windows 7 και 8.1, είναι καλύτερο να κάνετε δεξί κλικ στο εικονίδιο δικτύου κοντά στο ρολόι, επιλέξτε Κέντρο δικτύου και κοινής χρήσης:

Ανάπτυξη ενότητας Ιδιωτικός.

Ενεργοποιήστε την κοινή χρήση αρχείων και εκτυπωτών:

Τώρα αναπτύξτε την ενότητα Όλα τα δίκτυα.

Ρυθμίστε το διακόπτη στη θέση Απενεργοποιήστε την κοινή χρήση με προστασία κωδικού πρόσβασης.

4. Ρύθμιση τείχους προστασίας

Για να συνδεθείτε στον υπολογιστή σας μέσω δικτύου, πρέπει να επιτρέψετε τις εισερχόμενες συνδέσεις στο Τείχος προστασίας των Windows.

Εδώ έχετε δύο επιλογές:

απενεργοποιήστε το εντελώς (κάτι που ΔΕΝ συνιστάται).
δημιουργήστε έναν κανόνα που επιτρέπει την κυκλοφορία δικτύου (σε ξεχωριστό άρθρο)

Σε σχέση με το πρόσφατο ξέσπασμα του ransomware WannaCry, το οποίο εκμεταλλεύεται την ευπάθεια SMB v1, συμβουλές για την απενεργοποίηση αυτού του πρωτοκόλλου εμφανίστηκαν ξανά στο δίκτυο. Επιπλέον, η Microsoft συνέστησε έντονα την απενεργοποίηση της πρώτης έκδοσης του SMB τον Σεπτέμβριο του 2016. Αλλά μια τέτοια αποσύνδεση μπορεί να οδηγήσει σε απροσδόκητες συνέπειες, ακόμα και σε αστεία πράγματα: Προσωπικά συνάντησα μια εταιρεία όπου, μετά από μάχη με την SMB, τα ασύρματα ηχεία Sonos σταμάτησαν να παίζουν.

Ειδικά για να ελαχιστοποιήσω την πιθανότητα «πυροβολισμού στο πόδι», θέλω να σας υπενθυμίσω τα χαρακτηριστικά του SMB και να εξετάσω λεπτομερώς τις συνέπειες της λανθασμένης απενεργοποίησης των παλαιότερων εκδόσεων του.

SMBΤο (Server Message Block) είναι ένα πρωτόκολλο δικτύου για απομακρυσμένη πρόσβαση σε αρχεία και εκτυπωτές. Αυτό χρησιμοποιείται κατά τη σύνδεση πόρων μέσω του \servername\sharename. Το πρωτόκολλο αρχικά λειτουργούσε πάνω από το NetBIOS, χρησιμοποιώντας τις θύρες UDP 137, 138 και TCP 137, 139. Με την κυκλοφορία των Windows 2000, άρχισε να λειτουργεί απευθείας, χρησιμοποιώντας τη θύρα TCP 445. Το SMB χρησιμοποιείται επίσης για σύνδεση και εργασία σε Τομέας Active Directory.

Εκτός από την απομακρυσμένη πρόσβαση σε πόρους, το πρωτόκολλο χρησιμοποιείται επίσης για επικοινωνία μεταξύ των επεξεργαστών μέσω "ονομασμένων ροών" - αγωγών με όνομα. Η πρόσβαση στη διαδικασία γίνεται κατά μήκος της διαδρομής \.\pipe\name.

Η πρώτη έκδοση του πρωτοκόλλου, επίσης γνωστή ως CIFS (Common Internet File System), δημιουργήθηκε τη δεκαετία του 1980, αλλά η δεύτερη έκδοση εμφανίστηκε μόνο με τα Windows Vista, το 2006. Η τρίτη έκδοση του πρωτοκόλλου κυκλοφόρησε με τα Windows 8. Το πρωτόκολλο δημιουργήθηκε παράλληλα με τη Microsoft και ενημερώθηκε στην ανοιχτή εφαρμογή Samba.

Με κάθε νέα έκδοση του πρωτοκόλλου, προστέθηκαν διάφορες βελτιώσεις για αύξηση της απόδοσης, της ασφάλειας και της υποστήριξης για νέες λειτουργίες. Αλλά την ίδια στιγμή, η υποστήριξη για παλιά πρωτόκολλα παρέμεινε για συμβατότητα. Φυσικά, υπήρχαν και υπάρχουν αρκετά τρωτά σημεία σε παλαιότερες εκδόσεις, ένα από τα οποία εκμεταλλεύεται το WannaCry.

Κάτω από το spoiler θα βρείτε έναν συνοπτικό πίνακα των αλλαγών στις εκδόσεις SMB.

Εκδοχή	λειτουργικό σύστημα	Προστέθηκε σε σύγκριση με την προηγούμενη έκδοση
SMB 2.0	Windows Vista/2008	Ο αριθμός των εντολών πρωτοκόλλου έχει αλλάξει από 100+ σε 19
		Δυνατότητα εργασίας «μεταφορέα» – αποστολή επιπλέον αιτημάτων πριν λάβετε απάντηση στο προηγούμενο
		Υποστήριξη συμβολικής σύνδεσης
		Υπογραφή μηνυμάτων HMAC με SHA256 αντί για MD5
		Αύξηση της κρυφής μνήμης και των μπλοκ εγγραφής/ανάγνωσης
SMB 2.1	Windows 7/2008R2	Βελτίωση απόδοσης
		Μεγαλύτερη υποστήριξη MTU
		Υποστήριξη για την υπηρεσία BranchCache - ένας μηχανισμός που αποθηκεύει αιτήματα στο παγκόσμιο δίκτυο στο τοπικό δίκτυο
SMB 3.0	Windows 8/2012	Δυνατότητα δημιουργίας διαφανούς συμπλέγματος ανακατεύθυνσης με κατανομή φορτίου
		Υποστήριξη για άμεση πρόσβαση στη μνήμη (RDMA)
		Διαχείριση μέσω cmdlet Powershell
		Υποστήριξη VSS
		Υπογραφή AES–CMAC
		Κρυπτογράφηση AES–CCM
		Δυνατότητα χρήσης φακέλων δικτύου για αποθήκευση εικονικών μηχανών HyperV
		Δυνατότητα χρήσης φακέλων δικτύου για αποθήκευση βάσεων δεδομένων Microsoft SQL
SMB 3.02	Windows 8.1/2012R2	Βελτιώσεις ασφάλειας και απόδοσης
		Αυτόματη εξισορρόπηση σε ένα σύμπλεγμα
SMB 3.1.1	Windows 10/2016	Υποστήριξη κρυπτογράφησης AES–GCM
		Έλεγχος ακεραιότητας πριν από τον έλεγχο ταυτότητας με χρήση κατακερματισμού SHA512
		Υποχρεωτικές ασφαλείς «διαπραγματεύσεις» όταν εργάζεστε με πελάτες SMB 2.x και άνω

Θεωρούμε θύματα υπό όρους

Είναι πολύ εύκολο να δείτε την τρέχουσα χρησιμοποιούμενη έκδοση πρωτοκόλλου· χρησιμοποιούμε το cmdlet για αυτό Get-SmbConnection:

Έξοδος Cmdlet όταν οι πόροι δικτύου είναι ανοιχτοί σε διακομιστές που εκτελούν διαφορετικές εκδόσεις των Windows.

Η έξοδος δείχνει ότι ένας πελάτης που υποστηρίζει όλες τις εκδόσεις του πρωτοκόλλου χρησιμοποιεί τη μέγιστη δυνατή έκδοση που υποστηρίζεται από τον διακομιστή για να συνδεθεί. Φυσικά, εάν ο πελάτης υποστηρίζει μόνο την παλιά έκδοση του πρωτοκόλλου και είναι απενεργοποιημένη στον διακομιστή, η σύνδεση δεν θα δημιουργηθεί. Μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε την υποστήριξη για παλαιότερες εκδόσεις σε σύγχρονα συστήματα Windows χρησιμοποιώντας το cmdlet Set–SmbServerConfiguration, και δείτε την κατάσταση ως εξής:

Get–SmbServerConfiguration | Επιλέξτε EnableSMB1Protocol, EnableSMB2Protocol

Απενεργοποιήστε το SMBv1 σε διακομιστή με Windows 2012 R2.

Αποτέλεσμα κατά τη σύνδεση με Windows 2003.

Έτσι, εάν απενεργοποιήσετε το παλιό, ευάλωτο πρωτόκολλο, μπορείτε να χάσετε τη λειτουργικότητα του δικτύου με παλιούς πελάτες. Επιπλέον, εκτός από τα Windows XP και το 2003, το SMB v1 χρησιμοποιείται επίσης σε μια σειρά από λύσεις λογισμικού και υλικού (για παράδειγμα, NAS στο GNU\Linux που χρησιμοποιεί μια παλιά έκδοση της samba).

Κάτω από το σπόιλερ, θα παράσχω μια λίστα κατασκευαστών και προϊόντων που θα σταματήσουν εντελώς ή εν μέρει να λειτουργούν εάν το SMB v1 είναι απενεργοποιημένο.

Κατασκευαστής	Προϊόν	Ενα σχόλιο
Σφυραίνα	SSL VPN
	Αντίγραφα ασφαλείας Web Security Gateway
Κανόνας	Σάρωση σε πόρο δικτύου
Cisco	WSA/WSAv
	WAAS	Εκδόσεις 5.0 και παλαιότερες
F5	Πύλη πελάτη RDP
	Διακομιστής διακομιστής Microsoft Exchange
Σημείο δύναμης (Raytheon)	"Μερικά προϊόντα"
HPE	ArcSight Legacy Unified Connector	Παλιές εκδόσεις
IBM	NetServer	Έκδοση V7R2 και παλαιότερη
	Διαχείριση ευπάθειας QRadar	Εκδόσεις 7.2.x και παλαιότερες
Lexmark		Firmware eSF 2.x και eSF 3.x
Πυρήνας Linux	Πελάτης CIFS	Από 2.5.42 έως 3.5.χ
McAfee	Web Gateway
Microsoft	Windows	XP/2003 και παλαιότερα
MYOB	Λογιστές
NetApp	ΟΝΤΑΠ	Εκδόσεις έως 9.1
NetGear	ReadyNAS
Μαντείο	Σολάρις	11,3 και άνω
Pulse Secure	PCS	8.1R9/8.2R4 και άνω
	Π.Π.Σ.	5.1R9/5.3R4 και άνω
QNAP	Όλες οι συσκευές αποθήκευσης	Υλικολογισμικό παλαιότερο από 4.1
Κόκκινο καπέλο	RHEL	Εκδόσεις έως 7.2
Ρίκο	MFP, σάρωση σε πόρο δικτύου	Εκτός από μια σειρά από μοντέλα
RSA	Διακομιστής διαχείρισης ταυτότητας
Σάμπα	Σάμπα	Πάνω από 3,5
Σόνος	Ασύρματα ηχεία
Σοφός	Sophos UTM
	Τείχος προστασίας Sophos XG
	Sophos Web Appliance
SUSE	SLES	11 και άνω
Συνολογία	Diskstation Manager	Έλεγχος μόνο
Thomson Reuters	CS Professional Suite
Tintri	Tintri OS, Tintri Global Center
VMware	Vcenter
	ESXi	Παλαιότερο από 6,0
Worldox	GX3 DMS
φωτοτυπία	MFP, σάρωση σε πόρο δικτύου	Υλικολογισμικό χωρίς υλικολογισμικό ConnectKey

Η λίστα προέρχεται από τον ιστότοπο της Microsoft, όπου ενημερώνεται τακτικά.

Η λίστα των προϊόντων που χρησιμοποιούν την παλιά έκδοση του πρωτοκόλλου είναι αρκετά μεγάλη - πριν απενεργοποιήσετε το SMB v1, θα πρέπει οπωσδήποτε να σκεφτείτε τις συνέπειες.

Ακόμα το απενεργοποιεί

Εάν δεν υπάρχουν προγράμματα και συσκευές που χρησιμοποιούν SMB v1 στο δίκτυο, τότε, φυσικά, είναι καλύτερο να απενεργοποιήσετε το παλιό πρωτόκολλο. Επιπλέον, εάν ο τερματισμός λειτουργίας σε διακομιστή SMB Windows 8/2012 εκτελείται χρησιμοποιώντας το Powershell cmdlet, τότε για τα Windows 7/2008 θα χρειαστεί να επεξεργαστείτε το μητρώο. Αυτό μπορεί επίσης να γίνει χρησιμοποιώντας το Powershell:

Set–ItemProperty –Διαδρομή "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Τύπος DWORD –Τιμή 0 –Force

Ή με οποιονδήποτε άλλο βολικό τρόπο. Ωστόσο, θα χρειαστεί επανεκκίνηση για να εφαρμοστούν οι αλλαγές.

Για να απενεργοποιήσετε την υποστήριξη SMB v1 στον πελάτη, απλώς σταματήστε την υπηρεσία που είναι υπεύθυνη για τη λειτουργία της και διορθώστε τις εξαρτήσεις της υπηρεσίας lanmanworkstation. Αυτό μπορεί να γίνει με τις ακόλουθες εντολές:

config sc.exe lanmanworkstation depend=bowser/mrxsmb20/nsi config sc.exe mrxsmb10 start=disabled

Για να απενεργοποιήσετε εύκολα το πρωτόκολλο σε όλο το δίκτυο, είναι βολικό να χρησιμοποιείτε πολιτικές ομάδας, ιδίως Προτιμήσεις πολιτικής ομάδας. Χρησιμοποιώντας τα, μπορείτε να εργαστείτε άνετα με το μητρώο.

Δημιουργία στοιχείου μητρώου μέσω πολιτικών ομάδας.

Για να απενεργοποιήσετε το πρωτόκολλο στον διακομιστή, απλώς δημιουργήστε την ακόλουθη παράμετρο:

διαδρομή: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;

νέα παράμετρος: REG_DWORD με το όνομα SMB1.

τιμή: 0.

Δημιουργήστε μια ρύθμιση μητρώου για να απενεργοποιήσετε το SMB v1 στο διακομιστή μέσω πολιτικών ομάδας.

Για να απενεργοποιήσετε την υποστήριξη SMB v1 σε πελάτες, θα χρειαστεί να αλλάξετε την τιμή δύο παραμέτρων.

Αρχικά, απενεργοποιήστε την υπηρεσία πρωτοκόλλου SMB v1:

διαδρομή: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;

παράμετρος: REG_DWORD με το όνομα Έναρξη.

αξία: 4.

Ενημερώνουμε μία από τις παραμέτρους.

Στη συνέχεια θα διορθώσουμε την εξάρτηση της υπηρεσίας LanmanWorkstation έτσι ώστε να μην εξαρτάται από το SMB v1:

διαδρομή: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;

παράμετρος: REG_MULTI_SZ με όνομα DependOnService.

τιμή: τρεις γραμμές – Bowser, MRxSmb20 και NSI.

Και το αντικαθιστούμε με άλλο.

Αφού εφαρμόσετε την Πολιτική ομάδας, πρέπει να επανεκκινήσετε τους υπολογιστές του οργανισμού σας. Μετά από επανεκκίνηση, το SMB v1 δεν θα χρησιμοποιείται πλέον.

Λειτουργεί - μην το αγγίζετε

Παραδόξως, αυτή η παλιά εντολή δεν είναι πάντα χρήσιμη - ransomware και Trojans μπορούν να εμφανιστούν σε σπάνια ενημερωμένη υποδομή. Ωστόσο, ο απρόσεκτος τερματισμός λειτουργίας και ενημέρωση των υπηρεσιών μπορεί να παραλύσει το έργο ενός οργανισμού όπως ακριβώς και οι ιοί.

Πες μου, έχεις ήδη απενεργοποιήσει την πρώτη έκδοση του SMB; Υπήρξαν πολλά θύματα;

SMBή Μπλοκ μηνυμάτων διακομιστήείναι ένα πρωτόκολλο επικοινωνίας δικτύου σχεδιασμένο για κοινή χρήση αρχείων, εκτυπωτών και διαφόρων άλλων συσκευών. Υπάρχουν τρεις εκδόσεις του SMB – SMBv1, SMBv2 και SMBv3. Για λόγους ασφαλείας, η Microsoft συνιστά την απενεργοποίηση της έκδοσης 1 για SMB, καθώς είναι ξεπερασμένη και χρησιμοποιεί τεχνολογία που είναι σχεδόν 30 ετών. Για να αποφύγετε τη μόλυνση από ιούς ransomware όπως το WannaCrypt, πρέπει να απενεργοποιήσετε το SMB1 και να εγκαταστήσετε ενημερώσεις για το λειτουργικό σύστημα. Αυτό το πρωτόκολλο χρησιμοποιείται από τα Windows 2000, Windows XP, Windows Server 2003 και Windows Server 2003 R2 - επομένως η πρόσβαση σε αρχεία δικτύου σε αυτές τις εκδόσεις του λειτουργικού συστήματος δεν θα είναι διαθέσιμη. Το ίδιο ισχύει για ορισμένες αποθήκες δικτύου, σαρωτές κ.λπ.

Απενεργοποίηση SMB1 από τον Πίνακα Ελέγχου

Έναρξη -> Πίνακας Ελέγχου -> Προγράμματα και δυνατότητες -> Ενεργοποίηση ή απενεργοποίηση των λειτουργιών των Windows

Απενεργοποίηση "Υποστήριξη για κοινή χρήση αρχείων SMB 1.0/CIFS"

Απενεργοποίηση SMB1 μέσω Powershell

Ανοίξτε μια κονσόλα Powershell με δικαιώματα διαχειριστή και πληκτρολογήστε την ακόλουθη εντολή:

Set-ItemProperty -Διαδρομή "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Τύπος DWORD -Τιμή 0 -Force

Απενεργοποιήστε το SMB1 χρησιμοποιώντας το μητρώο των Windows

Μπορείτε επίσης να απενεργοποιήσετε το SMBv1 εκτελώντας regedit.exeκαι προχωράμε στην επόμενη ενότητα:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Δημιουργήστε ένα DWORD σε αυτήν την ενότητα SMB1με νόημα 0 .

Τιμές για ενεργοποίηση και απενεργοποίηση SMB1:

0 = Απενεργοποίηση
1 = Ενεργοποιημένο

Μετά από αυτό, πρέπει να εγκαταστήσετε την ενημέρωση MS17-010.Η ενημέρωση κυκλοφόρησε για όλες τις εκδόσεις των Windows, συμπεριλαμβανομένων των Windows XP και Windows Server 2003, οι οποίες δεν υποστηρίζονται πλέον.

Και εν κατακλείδι, θα ήθελα να πω ότι, παρά τα εγκατεστημένα προγράμματα προστασίας από ιούς και τις τακτικές ενημερώσεις του λειτουργικού συστήματος, εάν εκτιμάτε τα δεδομένα σας, πρέπει πρώτα να σκεφτείτε τη δημιουργία αντιγράφων ασφαλείας.

Γιατί και πώς πρέπει να απενεργοποιήσετε το SMB1 στα Windows 10/8/7

σχόλιο

Αυτό το άρθρο περιγράφει τις διαδικασίες για την ενεργοποίηση και απενεργοποίηση Μπλοκ μηνυμάτων διακομιστή (SMB) έκδοση 1, έκδοση SMB 2 (SMBv2) και έκδοση SMB 3 (SMBv3) σε στοιχεία πελάτη και διακομιστή SMB.

Προειδοποίηση. Δεν συνιστάται η απενεργοποίηση της έκδοσης 2 ή 3 του SMB. Η απενεργοποίηση της έκδοσης 2 ή 3 του SMB θα πρέπει να χρησιμοποιείται μόνο ως προσωρινό μέτρο αντιμετώπισης προβλημάτων. Μην αφήνετε την έκδοση 2 ή 3 SMB απενεργοποιημένη.

Σε Windows 7 και Windows Server 2008 R2, η απενεργοποίηση της έκδοσης 2 του SMB θα απενεργοποιήσει τις ακόλουθες λειτουργίες:

Συνδυασμός αιτήματος, που επιτρέπει την αποστολή πολλαπλών αιτημάτων SMB 2 ως ένα μόνο αίτημα δικτύου.

Μεγάλοι όγκοι λειτουργιών ανάγνωσης και εγγραφής που επιτρέπουν τη βέλτιστη χρήση γρήγορων δικτύων.

Ιδιότητες προσωρινής αποθήκευσης αρχείων και φακέλων στις οποίες οι πελάτες αποθηκεύουν τοπικά αντίγραφα αρχείων και φακέλων.

Χειρολαβές μεγάλης διάρκειας που σας επιτρέπουν να επανασυνδεθείτε με διαφάνεια στον διακομιστή σε περίπτωση προσωρινής διακοπής λειτουργίας.

Βελτιωμένες υπογραφές μηνυμάτων, όπου ο αλγόριθμος κατακερματισμού HMAC SHA-256 αντικαθιστά τον MD5.

Βελτιωμένη κλιμάκωση για κοινή χρήση αρχείων (αύξησε σημαντικά τον αριθμό των χρηστών, τα κοινόχρηστα στοιχεία και τα ανοιχτά αρχεία ανά διακομιστή).

Υποστήριξη για συμβολικούς συνδέσμους.

Ένα μοντέλο μίσθωσης πελάτη με μαλακό κλείδωμα που περιορίζει την ποσότητα δεδομένων που μεταφέρονται μεταξύ του πελάτη και του διακομιστή, βελτιώνοντας την απόδοση των δικτύων υψηλής καθυστέρησης και αυξάνοντας την επεκτασιμότητα διακομιστή SMB.

Μεγάλη υποστήριξη MTU για πλήρη χρήση 10 Gigabit Ethernet.

Μειωμένη κατανάλωση ενέργειας—Οι πελάτες που έχουν αρχεία ανοιχτά στον διακομιστή μπορούν να βρίσκονται σε κατάσταση αναστολής λειτουργίας.

Σε Windows 8, Windows 8.1, Windows 10, Windows Server 2012και Windows Server 2016, η απενεργοποίηση SMB έκδοσης 3 θα απενεργοποιήσει την ακόλουθη λειτουργικότητα (καθώς και τη λειτουργικότητα SMB έκδοση 2 που περιγράφεται στην προηγούμενη λίστα).

Διαφανής ανακατεύθυνση όπου οι πελάτες αποτυγχάνουν να ομαδοποιήσουν κόμβους κατά τη διάρκεια της συντήρησης ή της αποτυχίας χωρίς διακοπή της υπηρεσίας.

Κλιμάκωση - παροχή παράλληλης πρόσβασης σε κοινόχρηστα δεδομένα σε όλους τους κόμβους συμπλέγματος.

Το Multichannel παρέχει συνάθροιση του εύρους ζώνης του καναλιού δικτύου και της ανοχής σφαλμάτων δικτύου σε διάφορα κανάλια που είναι διαθέσιμα μεταξύ του πελάτη και του διακομιστή.

SMB Direct - Παρέχει υποστήριξη για δίκτυα RDMA για παροχή πολύ υψηλής απόδοσης, χαμηλής καθυστέρησης και χαμηλής χρήσης CPU.

Κρυπτογράφηση - παρέχει κρυπτογράφηση δεδομένων από άκρο σε άκρο και τα προστατεύει από υποκλοπές σε μη αξιόπιστα δίκτυα.

Οι ενοικιάσεις καταλόγου μειώνουν τους χρόνους απόκρισης εφαρμογών στα υποκαταστήματα μέσω της προσωρινής αποθήκευσης.

Βελτιστοποίηση της απόδοσης τυχαίας ανάγνωσης και εγγραφής μικρών ποσοτήτων δεδομένων.

Επιπλέον πληροφορίες

Πώς να ενεργοποιήσετε και να απενεργοποιήσετε τα πρωτόκολλα SMB σε έναν διακομιστή SMB

Windows 8 και Windows Server 2012

Τα Windows 8 και ο Windows Server 2012 παρουσιάζουν ένα νέο Windows PowerShell cmdlet, Set-SMBServerConfiguration. Σας επιτρέπει να ενεργοποιήσετε ή να απενεργοποιήσετε τις εκδόσεις 1, 2 και 3 πρωτοκόλλου SMB στο διακομιστή.
Σημειώσεις. Όταν ενεργοποιείτε ή απενεργοποιείτε την έκδοση 2 του SMB στα Windows 8 ή τον Windows Server 2012, ενεργοποιείτε ή απενεργοποιείτε επίσης την έκδοση 3 του SMB. Αυτό οφείλεται στη χρήση μιας κοινής στοίβας για αυτά τα πρωτόκολλα.
Αφού εκτελέσετε το cmdlet

Για να λάβετε την τρέχουσα κατάσταση της διαμόρφωσης του πρωτοκόλλου διακομιστή SMB, εκτελέστε το ακόλουθο cmdlet:
Get-SmbServerConfiguration | Επιλέξτε EnableSMB1Protocol, EnableSMB2Protocol

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Set-SmbServerConfiguration -EnableSMB1Protocol $true

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Windows 7, Windows Server 2008 R2, Windows Vista και Windows Server 2008

Για να ενεργοποιήσετε ή να απενεργοποιήσετε τα πρωτόκολλα SMB σε διακομιστή SMB με Windows 7, Windows Server 2008 R2, Windows Vista ή Windows Server 2008, χρησιμοποιήστε το Windows PowerShell ή το Registry Editor.

Windows PowerShell 2.0 ή νεότερη έκδοση PowerShell

Για να απενεργοποιήσετε την έκδοση 1 SMB στον διακομιστή SMB, εκτελέστε το ακόλουθο cmdlet:
Set-ItemProperty -Διαδρομή "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB1 -Τύπος DWORD -Τιμή 0 -Force

Για να απενεργοποιήσετε τα πρωτόκολλα SMB έκδοσης 2 και 3 στον διακομιστή SMB, εκτελέστε το ακόλουθο cmdlet:
Set-ItemProperty -Διαδρομή "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB2 -Τύπος DWORD -Τιμή 0 -Force

Για να ενεργοποιήσετε την έκδοση 1 SMB στον διακομιστή SMB, εκτελέστε το ακόλουθο cmdlet:
Set-ItemProperty -Διαδρομή "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB1 -Τύπος DWORD -Τιμή 1 -Force

Για να ενεργοποιήσετε τα πρωτόκολλα έκδοσης 2 και 3 SMB στον διακομιστή SMB, εκτελέστε το ακόλουθο cmdlet:
Set-ItemProperty -Διαδρομή "HKLM:\SYSTEM\CurrentControlSet\Serv ices\LanmanServer\Parameters" SMB2 -Τύπος DWORD -Τιμή 1 -Force

Σημείωση: Αφού κάνετε αυτές τις αλλαγές, πρέπει να επανεκκινήσετε τον υπολογιστή σας.

Επεξεργαστής Μητρώου

Προσοχή ! Αυτό το άρθρο περιέχει πληροφορίες σχετικά με την τροποποίηση του μητρώου. Συνιστάται να δημιουργήσετε ένα αντίγραφο ασφαλείας του μητρώου πριν κάνετε αλλαγές. και μάθετε τη διαδικασία επαναφοράς του σε περίπτωση που παρουσιαστεί πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία αντιγράφων ασφαλείας, την επαναφορά και την επεξεργασία του μητρώου, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft.Για να ενεργοποιήσετε ή να απενεργοποιήσετε την έκδοση 1 SMB σε έναν διακομιστή SMB, διαμορφώστε το ακόλουθο κλειδί μητρώου:

Υποκλειδί μητρώου: Καταχώρηση μητρώου: SMB1
REG_DWORD: 0 = απενεργοποιημένο
REG_DWORD: 1 = ενεργοποιημένο
Προεπιλογή: 1 = ενεργοποιημένο

Για να ενεργοποιήσετε ή να απενεργοποιήσετε SMB έκδοση 2 σε διακομιστή SMB, διαμορφώστε το ακόλουθο κλειδί μητρώου:

Υποκλειδί μητρώου: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanServer\ParametersΚαταχώριση μητρώου: SMB2
REG_DWORD: 0 = απενεργοποιημένο
REG_DWORD: 1 = ενεργοποιημένο
Προεπιλογή: 1 = ενεργοποιημένο

sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= απενεργοποιημένη

Για να ενεργοποιήσετε την έκδοση 1 SMB στον πελάτη SMB, εκτελέστε τις ακόλουθες εντολές:

sc.exe config mrxsmb10 start=auto

Για να απενεργοποιήσετε τα πρωτόκολλα έκδοσης 2 και 3 SMB στον πελάτη SMB, εκτελέστε τις ακόλουθες εντολές:
sc.exe config lanmanworkstation depend=bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= απενεργοποιημένη

Για να ενεργοποιήσετε τα πρωτόκολλα έκδοσης 2 και 3 SMB στον πελάτη SMB, εκτελέστε τις ακόλουθες εντολές:
sc.exe config lanmanworkstation depend=bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start=auto

Σημειώσεις

Αυτές οι εντολές πρέπει να εισαχθούν σε μια ανυψωμένη γραμμή εντολών.

Αφού κάνετε αυτές τις αλλαγές, πρέπει να επανεκκινήσετε τον υπολογιστή σας.