Sistemlerle ilgili güvenlik endişeleri hiçbir yerde yeni olmasa da, Wannacrypt fidye yazılımının neden olduğu karmaşa, netizenler arasında anında harekete geçilmesine neden oldu. Ransomware, Windows işletim sisteminin SMB hizmetinin güvenlik açıklarının yayılmasını hedefler.
SMB veya Sunucu Mesaj Bloğu , bilgisayarlar arasında dosya, yazıcı vb. Paylaşmak için tasarlanmış bir ağ dosya paylaşım protokolüdür. Üç sürüm vardır - Sunucu Mesaj Bloğu (SMB) sürüm 1 (SMBv1), SMB sürüm 2 (SMBv2) ve SMB sürüm 3 (SMBv3). Microsoft, güvenlik nedenleriyle SMB1'i devre dışı bırakmanızı önerir - ve bunu WannaCrypt veya NotPetya fidye yazılımı salgını açısından yapmanız daha önemli değildir.
Windows'ta SMB1'i devre dışı bırakın
Kendinizi WannaCrypt fidye yazılımına karşı savunmak için SMB1'i devre dışı bırakmanız ve Microsoft tarafından yayınlanan yamaları yüklemeniz zorunludur . Windows 10/8 / 7'de SMB1'i devre dışı bırakmanın bazı yollarına bir göz atalım.
SMB1'i Kontrol Panelinden Kapatın
Denetim Masası> Programlar ve Özellikler> Windows özelliklerini açın veya kapatın.
Seçenekler listesinde bir seçenek SMB 1.0 / CIFS Dosya Paylaşımı Desteği olacaktır . Bununla ilişkili onay kutusunun işaretini kaldırın ve Tamam'a basın.
Bilgisayarı yeniden başlatın.
Powershell kullanarak SMBv1'i devre dışı bırakın
Yönetici modunda bir PowerShell penceresi açın, aşağıdaki komutu yazın ve SMB1'i devre dışı bırakmak için Enter tuşuna basın:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force
Herhangi bir nedenle, SMB sürüm 2 ve sürüm 3'ü geçici olarak devre dışı bırakmanız gerekirse, bu komutu kullanın:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 –Force
Güncel olmadığı ve neredeyse 30 yıllık bir teknolojiyi kullandığı için SMB sürüm 1'in devre dışı bırakılması önerilir.
Microsoft'a göre SMB1'i kullandığınızda, daha sonraki SMB protokolü sürümleri tarafından sunulan temel korumaları kaybedersiniz:
- Ön kimlik doğrulama Bütünlüğü (SMB 3.1.1+) - Güvenlik düzeyini düşürme saldırılarına karşı korur.
- Güvenli olmayan konuk kimlik doğrulama engelleme (Windows 10+ üzerinde SMB 3.0+) - MiTM saldırılarına karşı koruma sağlar.
- Secure Dialect Negotiation (SMB 3.0, 3.02) - Güvenlik düzeyini düşürme saldırılarına karşı korur.
- Daha iyi mesaj imzalama (SMB 2.02+) - HMAC SHA-256, SMB 2.02, SMB 2.1'de karma algoritma olarak MD5'in yerini alır ve AES-CMAC, SMB 3.0+ sürümünün yerini alır. SMB2 ve 3'te imza performansı artar.
- Şifreleme (SMB 3.0+) - Kablodaki verilerin incelenmesini, MiTM saldırılarını önler. SMB 3.1.1'de şifreleme performansı imzalamadan bile daha iyidir.
Daha sonra etkinleştirmek istemeniz durumunda (SMB1 için önerilmez), komutlar aşağıdaki gibi olacaktır:
SMB1'i etkinleştirmek için:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force
SMB2 & SMB3'ü etkinleştirmek için:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 –Force
Windows kayıt defterini kullanarak SMB1'i devre dışı bırakın
SMB1'i devre dışı bırakmak için Windows Kayıt Defterini de değiştirebilirsiniz.
Run regedit Aşağıdaki kayıt defteri anahtarına ve gezinmek:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
Sağ tarafta, DWORD SMB1 bulunmamalı veya 0 değerine sahip olmalıdır .
Etkinleştirme ve devre dışı bırakma değerleri aşağıdaki gibidir:
- 0 = Devre Dışı
- 1 = Etkin
SMB sunucusunda ve SMB istemcisinde SMB protokollerini devre dışı bırakmanın daha fazla seçeneği ve yolu için Microsoft'u ziyaret edin.