Как проверить и отключить SMB1 в Windows?

25 декабрь 2021, Суббота
556
0
0 0
Протокол SMB1 (SMBv1) появился в 1992 году. Он разрабатывался в те годы, когда не было массового использования сети Интернет, и большого количества вредоносного ПО, которое используют вирусы, трояны и злоумышленники. В современных операционных системах Microsoft, протокол SMB1 обычно не требуется, он необходим, только если на предприятии остались ОС Windows XP или Windows Server 2003, либо какое-то другое прикладное ПО, которое требует протокол SMB1. В случае если ваша инфраструктура развивалась по эволюционному пути развития, и вы не можете гарантировать что ни одна из работающих систем не используется протокол SMB1, то перед его отключением стоит воспользоваться функцией Аудита.
Для включения аудита Windows Server 2012-2019 можно использовать следующий командлет PowerShell:
Set-SmbServerConfiguration –AuditSmb1Access $true
в Windows Server 2008 R2 (как и в Windows 7), для включения аудита, необходимо в ветке реестра: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, исправить значение параметра: AuditSmb1Access  на 1. Или выполнить Powershell скрипт:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" AuditSmb1Access -Type DWORD -Value 1 –Force
Выполнив эти настройки, можно узнать используется ли в данный момент SMB1, для этого просто стоит контролировать журнал событий Microsoft -> Windows -> SMB Server -> Audit.
SMB Server - Audit
Если ваша инфраструктура достаточно свежая, и вы заведомо не знаете, включен ли у вас протокол SMB1, то прежде чем приступать к каким-либо действия, следует проверить использования протокола.

Как проверить что на сервере включен SMBv1?

В зависимости от версии операционной системы, будет разные команды. Чтобы определить включен ли SMBv1 для версии ОС Windows Server 2008 R2 команда будет выглядеть так: 
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Если резульльтат запроса 1, то SMBv1 включен. Значение 0 - отключен. По умолчанию SMBv1 включен.

Для ОС Windows Server 2012, команда будет выглядеть так:
Get-SmbServerConfiguration | Select EnableSMB1Protocol
True - SMBv1 включен, а False - не включен.

Для Windows Server 2012 R2 и новее: 
(Get-WindowsFeature FS-SMB1).Installed 
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Первая команда возвращает значение установлени ли в системе SMBv1, а вторая включен ли данный протокол.

Как отключить протокол SMBv1?

Для отключения протокола SMBv1, также для каждого поколения ОС используется соответствующая команда:
Для Windows Server 2008 R2:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Для ОС Windows Server 2012:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -force

Для Windows Server 2012 R2 и новее: 
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Отключив на свои Windows серверах SMBv1, вы сможете существенно повысить уровень информационной безопасности, сократив потенциальный фронт атаки.
Комментарии:
Прокомментировать
При использовании материалов ссылка на сайт UserMan.ru обязательна.
Политика конфиденциальности
Пользовательское соглашение
UserMan.ru © 2017-2022
Мы в Соцсетях: VK