Відключення smb v1 або як захиститися від wannacrypt, настройка серверів windows і linux
Відключення smb v1 або як захиститися від wannacrypt
Відключення smb v1 або як захиститися від wannacrypt
Добрий день шановні Новомосковсктелі, в минулий раз я вам докладно розповів, як захиститися від шифрувальника. якщо він уже потрапив до вас на комп'ютер, сьогодні ж я хочу розглянути питання, як не дати йому до вас потрапити із зовні, ми розберемо відключення smb v1 або як захиститися від wannacrypt і вірусу petya. Упевнений, що описаний тут матеріал виявиться для вас дуже корисним і актуальним, так як різновидів даної зарази, буде ще дуже багато в майбутньому.
Що таке протокол SMB v1
Перш, ніж почати перекривати кисень для вірусів шифрувальників, я хочу вас познайомити з джерелом, через який вони лізуть і називається він протокол Server Message Block (SMB).
Server Message Block - це мережевий протокол, який працює на прикладному рівні моделі OSI, для доступу до мережевих ресурсів, принтерів, тек, для взаємодії процесів. Напевно, багато хто з вас знають, таке поняття як UNC шляху, виду \\ server \ share, коли ви звертаєтеся до мережевої папці або принтеру, так наприклад, сервер друку Windows. расшарівать їх.
Кожна нова версія реалізації протоколу, привносила нові можливості, і це логічно, необхідно було збільшувати швидкість передачі даних, так як локальні мережі, вже перетворювалися в гігабітні і дуже часто стали з'являтися твердотільні накопичувачі. Нові версії по-старому, підтримували попередні, для забезпечення сумісності операційних систем і пристроїв, це і є Ахіллесовою п'ятою у нього, через який лізуть wannacrypt і petya.
Нижче ви можете подивитися, еволюцію протоколу SMB v1 з виходом нових операційних систем.
Для чого відключати smb v1
Ось подивіться як виглядає екран блокування після вірусу petya. У потерпілого комп'ютера просять 300 доларів в біткоіни, ні в якому разі не відправляйте гроші, ви нічого не отримаєте, тому що спочатку дана зараза не включала в себе розблокування.
А ось як виглядає екран після зараження wannacrypt. Як і у випадку з Петром, всі дані зашифровані і вже є цифровим сміттям.
Що потрібно щоб не стати жертвою шифрувальників
Давайте я наведу невеликий чек лист, який вам допоможе зробити вашу систему більш захищеною:
- Своєчасно встановлюйте оновлення в системі. так як це основна проблема більшості уражених комп'ютерів
- Не встановлюйте неперевіреної софт
- Відвідуйте тільки перевірені веб ресурси
- Закрийте зайві порти на фаерволе
- Не відкривайте електронні листи від невідомих людей.
Як перевірити чи можна заразити ваш комп'ютер
Як я і писав вище, жертвами стають ті комп'ютери у кого працює протокол smb v1, який вимагає відключення. Нижче я вам надам утиліту, за допомогою якої ви зможете перевірити чи задовольняє ваш або інший комп'ютер в мережі, вимогам з безпеки.
KB поновлення захищають від wannacrypt і Petya
Ось докладний список KB для різних операційних систем Windows:
Тепер знаючи потрібні KB ми легко можемо перевірити, де не вистачає оновлень і включений протокол smb v1. Нижче я вам надам два методи пошуку проломи.
- утиліта SecurityChecker.v2
- Power shell
утиліта SecurityChecker.v2
Дана утиліта може показати, де включений smb v1 і 2.0, а так само перевірити комп'ютер або комп'ютери локальної мережі на наявність потрібного оновлення.
У відкрилася програмі, вам необхідно натиснути кнопку "Add" і додати комп'ютер або комп'ютери, які потребують перевірки. Через кнопку KB ви можете довантажити файл знаходиться в корені утиліти з потрібними KB для перевірки, після чого натискаєте "Check". За результатом перевірки, ви побачите, чи варто вам виконати відключення smb v1 або ж немає. На моєму прикладі, ви бачите, що і перша і друга версії включені.
Перевірити протокол smb v1 можна і через powershell. Відкриваємо його від імені адміністратора і вводимо таку команду:
get-hotfix -ComputerName ім'я вашого комп'ютера -Id потрібна kb
Якщо у вас є UNC з'єднання до вашого комп'ютера, то ви можете подивитися їх версії командою
Як відключити smb v1
Я вам хочу розповісти про методи деактивуються протокол SMB старої версії:
- Через компоненти Windows
- через PowerShell
- Через реєстр Windows
- Через групову політику
- Залишити і встановити оновлення
- Через команду sc.exe config
Відключаємо smb v1 через компоненти системи
Даний метод підійде для будь-який не серверної версії Windows, починаючи з Wista і закінчуючи Windows 10.Вам необхідно відкрити панель управління Windows. Натискаєте одночасно Win + R і у вікні, вводите control panel, це такий універсальний метод, відпрацює в будь-який винде.
Знаходимо пункт "Програми та засоби"
Натискаємо "Включення і відключення компонентів Windows" саме тут, ми приберемо доступ для wannacrypt і petya
Знімаємо галку "Підтримка загального доступу до файлів SMB 1.0 / CIFS"
Розпочнеться видалення компонента.
Все, тепер буде потрібно перезавантаження.
Тепер якщо зі старого комп'ютера, по типу Windpws XP ви спробуєте потрапити на UNC кулі, ви побачите помилку
Якщо ж вам необхідно зберегти його функціональність і бути захищеним, то встановлюємо потрібні KB.
Установка KB проти wannacrypt і petya
Вище ви знайдете список виправлень для протоколу smb v1, завантажуєте їх з центру обновленій.Ето будуть файли формату msu.
Встановлюйте KB.
Ось так виглядає процес установки KB.
Вам буде потрібно зробити перезавантаження системи. тепер, коли всі оновлення у вас встановлені вам не страшні віруси wannacrypt і petya.
Відключаємо smb v1 через powershell
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
Після її виконання smb v1 буде вимкнений.
Для відключення SMB версії 2 і 3 виконайте:
Set-SmbServerConfiguration -EnableSMB2Protocol $ false
Якщо захочете включити, то поміняйте $ false на $ true.
- Щоб відключити протокол SMB версії 1 на SMB-сервері, виконайте наступний командлет:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
- Щоб відключити протоколи SMB версії 2 і 3 на SMB-сервері, виконайте наступний командлет:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force
- Щоб включити протокол SMB версії 1 на SMB-сервері, виконайте наступний командлет:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force
- Щоб включити протоколи SMB версії 2 і 3 на SMB-сервері, виконайте наступний командлет:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force
Відключаємо smb v1 через реєстр
Перед тим як правити реєстр Windows я раджу вам зробити резервну копію, так на всякий випадок. Відкриваємо реєстр, робиться це через натискання кнопок Win + R і введення команди regedit.
Тут буде параметр SMB1. за замовчуванням там стоїть 1, значить включено, міняємо його на 0 і закриваємо, після перезавантаження все буде вимкнено. Wannacrypt вас тепер не потурбує.
Якщо потрібно відключити SMB2, то знаходимо гілку і міняємо там параметр SMB2, так само на нуль.
Відключити через DISM
Відкрийте командний стоку від імені адміністратора і введіть команду:
dism / online / norestart / disable-feature / featurename: SMB1Protocol
Як бачите ще один метод захиститися від wannacrypt.
Відключення через sc.exe config
Починаючи з Windows 7 ви можете виконати всередині системи ось такі команди через cmd запущеного від імені адміністратора:
- Щоб відключити протокол SMB версії 1 на SMB-клієнта, виконайте наступні команди:
sc.exe config lanmanworkstation depend = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = disabled
- Щоб включити протокол SMB версії 1 на SMB-клієнта, виконайте наступні команди:
sc.exe config lanmanworkstation depend = bowser / mrxsmb10 / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = auto
- Щоб відключити протоколи SMB версії 2 і 3 на SMB-клієнта, виконайте наступні команди:
sc.exe config lanmanworkstation depend = bowser / mrxsmb10 / nsi
sc.exe config mrxsmb20 start = disabled
- Щоб включити протоколи SMB версії 2 і 3 на SMB-клієнта, виконайте наступні команди:
sc.exe config lanmanworkstation depend = bowser / mrxsmb10 / mrxsmb20 / nsi
sc.exe config mrxsmb20 start = auto
Як захиститися від wannacrypt в Active Directory
Політика для серверних ОС
Нас буде цікавити об'єкт "Конфігурація комп'ютера - Налаштування - Конфігурація Windows - Реєстр", створюємо елемент реєстру.
Політика для клієнтських ОС
Для відключення підтримки SMB v1 на клієнтах знадобиться змінити значення двох параметрів. Спочатку відключимо службу протоколу SMB v1:
- шлях: HKLM: \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10;
- параметр: REG_DWORD c ім'ям Start;
- значення: 4.
Потім поправимо залежність служби LanmanWorkstation, щоб вона не залежала від SMB v1:
- шлях: HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation;
- параметр: REG_MULTI_SZ з ім'ям DependOnService;
- значення: три рядки - Bowser, MRxSmb20 і NSI.
Клієнтським комп'ютерам залишилося тільки перезавантажитися і все буде відключено
Врахуйте, що вимкнувши smb v1, ви захиститеся звичайно від wannacrypt і petya, але будьте обережні, якщо у вас в локальній мережі залишилися старі комп'ютери, вони не зможуть зв'язатися з контролерами домену і не зможуть пройти аутентифікацію, так як не вміють працювати по SMB 2
Популярні Схожі записи:
11 Responses to Відключення smb v1 або як захиститися від wannacrypt
А у вас контролери на який ОС крутяться? Windows 7 за умовчанням використовує SMB 2 і перший ні як не повинен її турбувати і ще питання файлові кулі не чим зроблені?
1 Стенд дві машини під Win7X64
Експеримент номер 1 з розшарений папками:
Застосовані параметри на обох
HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
DependOnService - Bowser, MRxSmb20 і NSI
і
SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
SMB1 - REG_DWORD - 0
Видимість ПК в браузері є, доступ до куль є, SecurityChecker інформує про відключеному SMB V1Експеримент номер 2:
Застосовані параметри на обох
HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
DependOnService - Bowser, MRxSmb20 і NSI
HKLM: \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10
REG_DWORD - Start - 4
Пк в браузері не доступні, доступ до куль немає. Служба робоча станція відключена, залежна Брауер ПК не працює через залежності від першої. SecurityChecker інформує про включений SMB V1Чи є сенс в окремому застосуванні змін розділяючи на серверні ос і клієнтські або краще одночасно застосувати як на сервері так і на клієнті?
HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ ParametersДякую за допомогу!
Я б розділив політики, у мене особисто вони розділені в AD по OU. Взагалі W7 і вище, все повинно використовувати smb2.0 і відключення першої версії не повинно впливати, а рівні лісу і домена у вас які?