Как отключить smbv1 в windows 7



Боремся с вирусами и инфраструктурой, или отключение SMB v1

В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети снова появились советы по отключению этого протокола. Более того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где после борьбы с SMB перестали играть беспроводные колонки Sonos.

Специально для минимизации вероятности «выстрела в ногу» я хочу напомнить об особенностях SMB и подробно рассмотреть, чем грозит непродуманное отключение его старых версий.

SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через \servername\sharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.

Помимо удаленного доступа к ресурсам протокол используется еще и для межпроцессорного взаимодействия через «именованные потоки» – named pipes. Обращение к процессу производится по пути \.\pipe\name.

Первая версия протокола, также известная как CIFS (Common Internet File System), была создана еще в 1980-х годах, а вот вторая версия появилась только с windows Vista, в 2006. Третья версия протокола вышла с windows 8. Параллельно с Microsoft протокол создавался и обновлялся в его открытой имплементации Samba.

В каждой новой версии протокола добавлялись разного рода улучшения, направленные на увеличение быстродействия, безопасности и поддержки новых функций. Но при этом оставалась поддержка старых протоколов для совместимости. Разумеется, в старых версиях было и есть достаточно уязвимостей, одной из которых и пользуется WannaCry.

Под спойлером вы найдете сводную таблицу изменений в версиях SMB.
Версия Операционная система Добавлено, по сравнению с предыдущей версией
SMB 2.0 windows Vista/2008 Изменилось количество команд протокола со 100+ до 19
Возможность «конвейерной» работы – отправки дополнительных запросов до получения ответа на предыдущий
Поддержка символьных ссылок
Подпись сообщений HMAC SHA256 вместо MD5
Увеличение кэша и блоков записи\чтения
SMB 2.1 windows 7/2008R2 Улучшение производительности
Поддержка большего значения MTU
Поддержка службы BranchCache – механизм, кэширующий запросы в глобальную сеть в локальной сети
SMB 3.0 windows 8/2012 Возможность построения прозрачного отказоустойчивого кластера с распределением нагрузки
Поддержка прямого доступа к памяти (RDMA)
Управление посредством командлетов Powershell
Поддержка VSS
Подпись AES–CMAC
Шифрование AES–CCM
Возможность использовать сетевые папки для хранения виртуальных машин HyperV
Возможность использовать сетевые папки для хранения баз Microsoft SQL
SMB 3.02 windows 8.1/2012R2 Улучшения безопасности и быстродействия
Автоматическая балансировка в кластере
SMB 3.1.1 windows 10/2016 Поддержка шифрования AES–GCM
Проверка целостности до аутентификации с использованием хеша SHA512
Обязательные безопасные «переговоры» при работе с клиентами SMB 2.x и выше

Считаем условно пострадавших

Посмотреть используемую в текущий момент версию протокола довольно просто, используем для этого командлет Get–SmbConnection:

Вывод командлета при открытых сетевых ресурсах на серверах с разной версией windows.

Из вывода видно, что клиент, поддерживающий все версии протокола, использует для подключения максимально возможную версию из поддерживаемых сервером. Разумеется, если клиент поддерживает только старую версию протокола, а на сервере она будет отключена – соединение установлено не будет. Включить или выключить поддержку старых версий в современных системах windows можно при помощи командлета Set–SmbServerConfiguration, а посмотреть состояние так:

Get–SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Выключаем SMBv1 на сервере с windows 2012 R2.

Результат при подключении с windows 2003.

Таким образом, при отключении старого, уязвимого протокола можно лишиться работоспособности сети со старыми клиентами. При этом помимо windows XP и 2003 SMB v1 используется и в ряде программных и аппаратных решений (например NAS на GNU\Linux, использующий старую версию samba).

Под спойлером приведу список производителей и продуктов, которые полностью или частично перестанут работать при отключении SMB v1.
Производитель Продукт Комментарий
Barracuda SSL VPN
Web Security Gateway backups
Canon Сканирование на сетевой ресурс
Cisco WSA/WSAv
WAAS Версии 5.0 и старше
F5 RDP client gateway
Microsoft Exchange Proxy
Forcepoint (Raytheon) «Некоторые продукты»
HPE ArcSight Legacy Unified Connector Старые версии
IBM NetServer Версия V7R2 и старше
QRadar Vulnerability Manager Версии 7.2.x и старше
Lexmark МФУ, сканирование на сетевой ресурс Прошивки Firmware eSF 2.x и eSF 3.x
Linux Kernel Клиент CIFS С 2.5.42 до 3.5.x
McAfee Web Gateway
Microsoft windows XP/2003 и старше
MYOB Accountants
NetApp ONTAP Версии до 9.1
NetGear ReadyNAS
Oracle Solaris 11.3 и старше
Pulse Secure PCS 8.1R9/8.2R4 и старше
PPS 5.1R9/5.3R4 и старше
QNAP Все устройства хранения Прошивка старше 4.1
RedHat RHEL Версии до 7.2
Ricoh МФУ, сканирование на сетевой ресурс Кроме ряда моделей
RSA Authentication Manager Server
Samba Samba Старше 3.5
Sonos Беспроводные колонки
Sophos Sophos UTM
Sophos XG firewall
Sophos Web Appliance
SUSE SLES 11 и старше
Synology Diskstation Manager Только управление
Thomson Reuters CS Professional Suite
Tintri Tintri OS, Tintri Global Center
VMware Vcenter
ESXi Старше 6.0
Worldox GX3 DMS
Xerox МФУ, сканирование на сетевой ресурс Прошивки без ConnectKey Firmware

Список взят с сайта Microsoft, где он регулярно пополняется.

Перечень продуктов, использующих старую версию протокола, достаточно велик – перед отключением SMB v1 обязательно нужно подумать о последствиях.

Все-таки отключаем

Если программ и устройств, использующих SMB v1 в сети нет, то, конечно, старый протокол лучше отключить. При этом если выключение на SMB сервере windows 8/2012 производится при помощи командлета Powershell, то для windows 7/2008 понадобится правка реестра. Это можно сделать тоже при помощи Powershell:

Set–ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Type DWORD –Value 0 –Force

Или любым другим удобным способом. При этом для применения изменений понадобится перезагрузка.

Для отключения поддержки SMB v1 на клиенте достаточно остановить отвечающую за его работу службу и поправить зависимости службы lanmanworkstation. Это можно сделать следующими командами:

sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start=disabled

Для удобства отключения протокола по всей сети удобно использовать групповые политики, в частности Group Policy Preferences. С помощью них можно удобно работать с реестром.

Создание элемента реестра через групповые политики.

Чтобы отключить протокол на сервере, достаточно создать следующий параметр:

  • путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;

  • новый параметр: REG_DWORD c именем SMB1;

  • значение: 0.

Создание параметра реестра для отключения SMB v1 на сервере через групповые политики.

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров.

Сначала отключим службу протокола SMB v1:

  • путь: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;

  • параметр: REG_DWORD c именем Start;

  • значение: 4.

Обновляем один из параметров.

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

  • путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;

  • параметр: REG_MULTI_SZ с именем DependOnService;

  • значение: три строки – Bowser, MRxSmb20 и NSI.

И заменяем другой.

После применения групповой политики необходимо перезагрузить компьютеры организации. После перезагрузки SMB v1 перестанет использоваться.

Работает – не трогай

Как ни странно, эта старая заповедь не всегда полезна – в редко обновляемой инфраструктуре могут завестись шифровальщики и трояны. Тем не менее, неаккуратное отключение и обновление служб могут парализовать работу организации не хуже вирусов.

Расскажите, а вы уже отключили у себя SMB первой версии? Много было жертв?

habrahabr.ru

Отключение SMB 1.0 в windows 10 / Server 2016

По-умолчанию в windows 10 и в windows Server 2016 все-еще включена  поддержка SMB 1.0.  В большинстве случаев он требуется только для обеспечения работы устаревших систем: снятых с поддержки windows XP, windows Server 2003 и старше. В том случае, если в вашей сети не осталось таких клиентов, в новых версиях windows желательно отключить протокол SMB 1.x, либо полностью удалить драйвер. Тем самым вы оградитесь от большого количества уязвимостей, которые свойственны этому устаревшему протоколу (о чем лишний раз свидетельствует последняя атака шифровальщика WannaCry) , и все клиенты при доступе к SMB шарам будут использовать новые более производительные, безопасные и функциональные  версии протокола SMB.

В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD)  и клиентских станциях.

Аудит доступа к файловому серверу по SMB v1.0

Перед отключением и полным удалением драйвера SMB 1.0.на стороне файлового SMB сервера желательно убедится, что в сети не осталось устаревших клиентов, подключающихся к нему по SMB v1.0. Для этого, включим аудит доступа к файловому серверу по этому протоколу с помощью команды  PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $true

Через некоторое время изучите события в  журнале Applications and Services -> Microsoft -> windows -> SMBServer -> Audit на предмет доступа клиентов с помощью протокола SMB1.

В нашем примере в журнале зафиксировался доступ с клиента 192.168.1.10 по протоколу SMB1. Об этом свидетельствуют события с EventID 3000 от источника SMBServer и описанием:

SMB1 access Client Address: 192.168.1.10 Guidance:

This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the windows PowerShell cmdlet Set-SmbServerConfiguration.

В данном случае, мы проигнорируем эту информацию, но нужно учитывать тот факт, что в дальнейшем данный клиент не сможет подключаться к данному SMB серверу.

Отключение SMB 1.0 на стороне сервера

Протокол SMB 1.0 может быть отключен как на стороне клиента, так и на стороне сервера. На стороне сервера  протокол SMB 1.0 обеспечивает доступ к сетевым папкам SMB (файловым шарам) по сети, а на стороне клиента – нужен для подключения к таким ресурсам.

С помощью следующей команды PowerShell  проверим включен ли протокол SMB1 на стороне сервера:

Get-SmbServerConfiguration

Как вы видите, значение переменной EnableSMB1Protocol = True.

Итак, отключим поддержку данного протокола:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

И с помощью командлета Get-SmbServerConfiguration убедимся, что протокол SMB1 теперь выключен.

Чтобы полностью удалить драйвер, обрабатывающий доступ клиентов по протоколу SMB v1, выполните следующую команду:

Disable-windowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Осталось перезагрузить систему и убедиться, что поддержка протокола SMB1 полностью отключена.

Get-windowsOptionalFeature –Online -FeatureName SMB1Protocol

Отключение SMB 1.0 на стороне клиента

Отключив SMB 1.0 на стороне сервера, мы добились того, что клиенты не смогут подключаться к нему по этому протоколу. Однако, они могут использовать устаревший протокол для доступа к сторонним (в том числе внешним) ресурсам. Чтобы отключить поддержку SMB v1 на стороне клиента, выполните команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled

Итак, отключив поддержку устаревшего SMB 1.0 на стороне клиентов и серверов вы полостью защитите свою сеть от всех известных  и пока не найденных уязвимостей в нем. А уязвимости в Microsoft Server Message Block 1.0 находят довольно регулярно. Последняя существенная уязвимость в SMBv1, позволяющая злоумышленнику удаленно выполнить произвольный код, была исправлена в марте 2017 года.

winitpro.ru

Улучшения безопасности SMB

Шифрование SMB предоставляет комплексные шифрование данных SMB и защищает данные от перехвата в недоверенных сетях. Шифрование SMB можно развернуть с минимальными усилиями, но она может потребовать небольшой дополнительные затраты для специального оборудования или программного обеспечения. Он не имеет требований безопасности протокола IP (IPsec) или ускорители WAN. Можно настроить шифрование SMB на отдельных ресурсов или всего файлового сервера, и его можно включить в различных сценариях, где данные проходят через недоверенные сети.

Примечание

Шифрование SMB не рассматривается безопасность на уровне rest, который обычно обрабатываются с помощью шифрования диска BitLocker.

Шифрование SMB для любого сценария, в котором требуется защита от атак в середине конфиденциальные данные должны быть рассмотрены. Вот возможные сценарии.

  • Информационный работник конфиденциальные данные перемещаются с помощью протокола SMB. Шифрование SMB обеспечивает конфиденциальность и целостность гарантия начала до конца между файлового сервера и клиента, независимо от сети, просматривать, например соединения глобальной сети (WAN), поддерживаемые сторонних поставщиков.

  • SMB 3.0 включает файловых серверов для предоставления постоянно доступное хранилище для серверных приложений, таких как SQL Server или Hyper-V. Включение шифрования SMB дает возможность защитить от атак. Шифрование SMB проще в использовании, чем специальные аппаратные решения, которые требуются для большинства сетей хранения данных (SAN).

Важно

Следует отметить, что является важным производительности эксплуатационные расходы с начала до конца шифрования защиту по сравнению с без шифрования.

Включить шифрование SMB

Можно включить шифрование SMB для всего файлового сервера или только для определенных файловых ресурсов. Для включения шифрования SMB, используйте одну из следующих процедур:

  1. Чтобы включить шифрование SMB для отдельных общей папки, введите следующий сценарий на сервере:

    Set-SmbShare –Name -EncryptData $true
  2. Чтобы включить шифрование SMB для всего файлового сервера, введите следующий сценарий на сервере:

    Set-SmbServerConfiguration –EncryptData $true
  3. Создание общей папки SMB включено шифрование SMB, введите следующий сценарий:

    New-SmbShare –Name -Path –EncryptData $true
  1. В диспетчере сервера откройтефайловых служб и служб хранилища.

  2. Щелкнитедолейоткрыть страницу управления общих ресурсов.

  3. Щелкните правой кнопкой мыши общий ресурс, на котором требуется включить шифрование SMB, а затем нажмите кнопкуСвойства.

  4. На вкладке "Общие" измените отображаемое имя шаблона на "Шаблон SSL Сертификата" или аналогичное. Удаленный доступ к этому общему ресурсу шифруется.

Рекомендации по развертыванию шифрования SMB

По умолчанию при включении шифрования SMB для общей папки или сервера, только клиенты SMB 3.0 могут получать доступ к общим папкам указанного файла. Это обеспечивает намерения администратора для защиты данных для всех клиентов, получающих доступ к общим папкам. Однако в некоторых случаях администратор может потребоваться разрешить незашифрованный доступ для клиентов, не поддерживающих SMB 3.0 (например, во время переходного периода, при использовании версии смешанного клиентских операционных систем). Чтобы разрешить незашифрованный доступ для клиентов, не поддерживающих SMB 3.0, введите следующий сценарий в windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Возможность согласования безопасного диалект, описанные в следующем разделе предотвращает атаки в середине понижения подключение SMB 3.0 SMB 2.0 (который будет использовать незашифрованный доступ). Однако он запрещает понижение версии SMB 1.0, которая также приведет к появлению незашифрованный доступ. Чтобы гарантировать всегда использовать клиенты SMB 3.0 шифрования SMB для доступа к общим ресурсам зашифрованные, необходимо отключить сервер SMB 1.0. (Инструкции в разделеОтключение SMB 1.0.) Если–RejectUnencryptedAccessпараметр остается в значения по умолчанию$trueтолько поддержкой шифрования SMB 3.0 клиенты могут получать доступ к общие папки (SMB 1.0 клиенты будут также отклонены).

Примечание
  • Расширенный стандарт шифрования (AES) использует шифрование SMB-CCM алгоритм шифрования и расшифровки данных. AES CCM также обеспечивает проверку целостности данных (подпись) для общих зашифрованных файлов, независимо от параметров подписывания SMB. Если вы хотите включить подписи без шифрования SMB, можно сделать это. Дополнительные сведения см. в следующей записи блога: Основы подписывание SMB.

  • Проблемы могут возникнуть при попытке доступа к общей папки или сервера, если ваша организация использует устройства ускорение глобальной сети (WAN).

  • В конфигурации по умолчанию (где отсутствует незашифрованный доступ разрешается зашифрованные файловые ресурсы), если клиенты, не поддерживающие SMB 3.0 попытка доступа к зашифрованной общей папке, 1003 идентификатор события заносится в журнал событий Microsoft-windows-SmbServer/Operational, и он получитОтказано в доступесообщение об ошибке.

  • Шифрование SMB и шифрованной файловой системы (EFS) в файловой системе NTFS не связаны, а шифрование SMB не требует и не зависят от того, с помощью EFS.

  • Шифрование SMB и шифрование диска BitLocker не связаны, а шифрование SMB не требует и не зависят от того, с помощью шифрования диска BitLocker.

technet.microsoft.com

Как защититься от вируса-вымогателя

12 мая стало известно о массовом заражении криптовирусом. Компьютеры Министерства внутренних дел РФ, сотовых операторов и нескольких крупных иностранных организаций оказались заблокированы программой, которая закрыла доступ к файлам и требовала за их расшифровку выплатить выкуп в биткоинах.

Вирус Wana Decrypt0r 2.0 чаще всего попадает на компьютер через электронную почту, при загрузке пиратского контента с торрентов и при скачивании подложных обновлений. Поэтому эксперты рекомендуют избегать файлы с расширениями js и exe, документы с макросами (в Excel или Word), которые скачаны из ненадежных источников.

Инфекция Wana Decrypt0r 2.0 обходит стороной пользователей macOS и вредит в первую очередь компьютерам с windows самых популярных версий (начиная от Vista, 7 и до 10), а также windows Server.

Карта распространения вируса Wana Decrypt0r 2.0

Как обезопасить свой компьютер

Если у вас windows 7 или windows 8

Для операционной системы следует установить ежемесячный набор исправлений в соответствии с текущей версией. Ссылки можно найти на сайте Microsoft — здесь и здесь.

Также рекомендуется отключить блок сообщений сервера (SMB) версии 1 (SMBv1). Для этого нажмите кнопку Start, в поле поиска наберите PowerShell и запустите расширяемое средство с правами администратора. Введите команду:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Дождитесь сообщения «Выполнено» в левом нижнем углу.

Если у вас windows 10

Установите для windows обновление MS17-010 с сайта Microsoft.

Отключите блок сообщений сервера (SMB) версии 1 (SMBv1). Для этого зайдите в «Панель управления», в раздел «Включение или отключение компонентов windows» и снимите галку с пункта «Поддержка общего доступа к файлам SMB 1.0/CIFS».

Как избавиться от вируса

Если обновить систему вовремя не удалось, а компьютер все-таки оказался заражен, не нужно платить злоумышленникам. Нет никакой гарантии, что система вернется в исходное состояние. Кроме того, нет гарантии, что шантаж не продолжится, и в другой раз от вас не потребуют еще больше денег.

Конечно, самый действенный и надежный способ — откатить или переустановить систему. Если, разумеется, вы регулярно копируете все важные данные на резервный жесткий диск или в облако. Если бэкапа нет, следуйте инструкции.

wi-fi.ru


Смотрите также