Отключение SMB 1.0 в Windows 10 / Server 2016 | Windows для системных администраторов

Отключение SMB 1.0 в Windows 10 / Server 2016

По-умолчанию в Windows 10 и в Windows Server 2016 все-еще включена  поддержка SMB 1.0.  В большинстве случаев он требуется только для обеспечения работы устаревших систем: снятых с поддержки Windows XP, Windows Server 2003 и старше. В том случае, если в вашей сети не осталось таких клиентов, в новых версиях Windows желательно отключить протокол SMB 1.x, либо полностью удалить драйвер. Тем самым вы оградитесь от большого количества уязвимостей, которые свойственны этому устаревшему протоколу (о чем лишний раз свидетельствует последняя атака шифровальщика WannaCry) , и все клиенты при доступе к SMB шарам будут использовать новые более производительные, безопасные и функциональные  версии протокола SMB.

В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD)  и клиентских станциях.

Аудит доступа к файловому серверу по SMB v1.0


Перед отключением и полным удалением драйвера SMB 1.0.на стороне файлового SMB сервера желательно убедится, что в сети не осталось устаревших клиентов, подключающихся к нему по SMB v1.0. Для этого, включим аудит доступа к файловому серверу по этому протоколу с помощью команды  PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $true

Через некоторое время изучите события в  журнале Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit на предмет доступа клиентов с помощью протокола SMB1.

Совет. Список событий из данного журнала можно вывести командой:

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

В нашем примере в журнале зафиксировался доступ с клиента 192.168.1.10 по протоколу SMB1. Об этом свидетельствуют события с EventID 3000 от источника SMBServer и описанием:

SMB1 access
Client Address: 192.168.1.10
Guidance:
This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.

Аудит доступа к шарам по SMB 1.0

В данном случае, мы проигнорируем эту информацию, но нужно учитывать тот факт, что в дальнейшем данный клиент не сможет подключаться к данному SMB серверу.

Отключение SMB 1.0 на стороне сервера


Протокол SMB 1.0 может быть отключен как на стороне клиента, так и на стороне сервера. На стороне сервера  протокол SMB 1.0 обеспечивает доступ к сетевым папкам SMB (файловым шарам) по сети, а на стороне клиента – нужен для подключения к таким ресурсам.

С помощью следующей команды PowerShell  проверим включен ли протокол SMB1 на стороне сервера:

Get-SmbServerConfiguration

Get-SmbServerConfigurationКак вы видите, значение переменной EnableSMB1Protocol = True.

Итак, отключим поддержку данного протокола:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

И с помощью командлета Get-SmbServerConfiguration убедимся, что протокол SMB1 теперь выключен.

Отключить SMB 1.0 в Windows 10/ Server 2016

Чтобы полностью удалить драйвер, обрабатывающий доступ клиентов по протоколу SMB v1, выполните следующую команду:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Осталось перезагрузить систему и убедиться, что поддержка протокола SMB1 полностью отключена.

Get-WindowsOptionalFeature –Online -FeatureName SMB1Protocol

Get-WindowsOptionalFeature –Online FeatureName SMB1Protocol

Отключение SMB 1.0 на стороне клиента

Отключив SMB 1.0 на стороне сервера, мы добились того, что клиенты не смогут подключаться к нему по этому протоколу. Однако, они могут использовать устаревший протокол для доступа к сторонним (в том числе внешним) ресурсам. Чтобы отключить поддержку SMB v1 на стороне клиента, выполните команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Отключить SMB 1.0 на клиентеИтак, отключив поддержку устаревшего SMB 1.0 на стороне клиентов и серверов вы полостью защитите свою сеть от всех известных  и пока не найденных уязвимостей в нем. А уязвимости в Microsoft Server Message Block 1.0 находят довольно регулярно. Последняя существенная уязвимость в SMBv1, позволяющая злоумышленнику удаленно выполнить произвольный код, была исправлена в марте 2017 года.

Еще записи по теме: Windows 10, Windows Server 2016
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 22

Оставить комментарий
  1. Sergey | 13.05.2017

    Как раз прочитал до масштабной атаки)

    Ответить
  2. Аноним | 14.05.2017

    Автор будто знал про будущую атаку «wannacry», и решил подстраховать своих читателей выпустив статью.) Причем за 2 дня до вторжения! Совпадение?

    Ответить
    • itpro | 15.05.2017
      Ответить
      • itpro | 16.05.2017

        На правах рекламы.
        Не хочешь пропустить очередную атаку и сохранить свой офис? Подписывайся на обновления на сайте winitpro.ru !
        Форма справа

        Ответить
        • Hackod | 22.05.2017

          Реклама работает.)

          Ответить
    • Сергей | 16.05.2017

      Да тут не надо было быть семи пядей во лбу что бы это предвидеть. Для тех кто следит за новостями кибербезопасности всё было заранее понятно. Вот например аналитики Касперского предсказывали это еще 25-го апреля (пруф: https://threatpost.ru/nsas-doublepulsar-kernel-exploit-in-use-internet-wide/21627/). Причём именно тот сценарий который произошел.

      Ответить
  3. Dimitry | 14.05.2017

    По команде:
    Get-WindowsOptionalFeature –Online FeatureName SMB1Protocol
    Выходит сообщение:
    Get-WindowsOptionalFeature : Не удается найти позиционный параметр, принимающий аргумент «FeatureName».
    строка:1 знак:1
    + Get-WindowsOptionalFeature –Online FeatureName SMB1Protocol
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : InvalidArgument: (:) [Get-WindowsOptionalFeature], ParameterBindingException
    + FullyQualifiedErrorId : PositionalParameterNotFound,Microsoft.Dism.Commands.GetWindowsOptionalFeatureCommand

    Остальные команды прошли успешно, в чем может быть проблема?

    Ответить
    • Alexander | 15.05.2017

      Get-WindowsOptionalFeature –Online -FeatureName SMB1Protocol
      Дефис пропущен перед FeatureName.

      Ответить
  4. Влад | 15.05.2017

    Здравствуйте! Подскажите, если я на своём компьютере расшарил ресурс, через вкладку «Доступ» то используется smb, если да то какой версии? Я сейчас отключил для клиента, но в компонентах Windows всё равно вижу что установлена птичка против smb v1. Есть ещё команда dism /online /norestart /disable-feature /featurename:SMB1Protocol, она отключает что сервера и клиента или что? Я так понял чтоб зараза которая сейчас идёт опасна для клиента? У меня в сети есть устройства (медиапроигрыватели), которые по самбе могут читать/проигрывать файлы, боюсь что там может быть старая версия клиента и отключать для сервера не вариант. Да правильно ли я понял, если каталог расшарен через «Доступ», то мой ПК работает как сервер? Или там не smb используется

    Ответить
    • Сергей | 15.05.2017

      Влад, если ты задаешь такие вопросы, то видно, что ты не очень в тебе разбираешься (без обид). На самом деле все эти технические подробности (сервер, клиент, протоколы…) не надо знать обычному человеку. Надо знать одну простую вещь — уязвимость, которую использует WannaCry для проникновения, была закрыта Майкрософтом _еще в марте_. Поэтому надо установить на винду все обновления и жить спокойно дальше. И впредь оперативно ставить все выходящие обновления. Если скажешь какая у тебя конкретно версия винды, то мы тебе подскажем какое конкретно обновления нужно поставить (но лучше поставить все).

      Ответить
    • itpro | 16.05.2017

      Уязвимость на стороне SMB сервера. Расшарен ли у вас каталог или нет, не имеет значения, в Windows все равно запущен сервис, слушающий 445 порт. При доступе клиента к серверу они согласуют и используют максимальную версия SMB, поддерживаемую одновременно и клиентом и сервером (ссылка есть в статье).
      А в общем, Сергей прав, все зависит от версии ОС на сервере и прошивок медиапроигрывателей.

      Ответить
  5. Sasha Odarchuk | 16.05.2017

    А что делать если файлопомойка на Вин2003 а клиенты как ХР так и Вин7.
    Вин2003 умеет выше SMBv1 ??

    Ответить
    • itpro | 16.05.2017

      Мигрировать. Windows 2003 и XP умеют только SMBv1

      Ответить
    • Сергей | 16.05.2017

      Народ! Вы хоть бы комментарии почитали. MS ВЫПУСТИЛА ПАТЧ ДЛЯ XP И 2003 (ссылка есть выше).
      А в целом itpro прав — пора уже мигрировать на более современную версию.

      Ответить
      • Sasha Odarchuk | 16.05.2017

        Про патч знаю.
        Речь о том что на всех ПК был отключен СМБв1
        и лишь потом оказалось что есть некий файловый сервер на Вин2003 и к нему нужен ВСЕМ доступ :)

        Ответить
        • Сергей | 16.05.2017

          Накатить на сервер патч и жить дальше. Или речь о том, что везде отключили клиентскую часть SMB1? Лично на мой взгляд отключение клиентской части бессмысленно, т.к. атаки идут через серверную часть (я имею в виду не конкретно эту атаку, а вообще). Хотя можно гипотетически представить сценарий атаки через клиентскую часть. Но это надо заставить пользователя зайти по какой-то ссылке. Т.е. это уже не так просто провернуть.
          Лучше конечно переустановить сервер на новую ОС. В принципе задача сисадмина вовремя слезать с ОС поддержка которой прекратилась. Я понимаю конечно, что лень :) Ну а что делать?

          Ответить
          • Sasha Odarchuk | 16.05.2017

            Да, на всех ПК отключили клиентскую часть SMB1.
            Патч на сервере установлен.

            Ответить
            • Сергей | 16.05.2017

              Включай обратно, обновляй сервер, потом выключишь опять.
              Или включи и на этом остановись. Как я уже написал, что бы атаковать через клиентскую часть нужно заставить пользователя зайти по ссылке. Очевидно, что ссылка будет внешняя (потому что иначе надо внутри сети развернуть сервер). Но пользователи по умолчанию не должны иметь возможность заходить на внешние ссылки по SMB. Ну надо по крайней мере стремиться к тому что бы это было так :)

  6. Сергей | 25.05.2017

    Правильно ли я понимаю, что АНБ использовало эту уязвимость со времен появление SMBv1. Оно могло подключиться к любому компьютеру по 445 порту, зная его лишь ip-адрес.

    Ответить
    • Сергей | 25.05.2017

      Не «использовало» а «могло использовать».. со времён появления SMBv1. Широкой общественности ведь не известно когда именно уязвимость была найдена. А может конечно уязвимость была сделана специально в качестве бэкдора.
      И всё таки не к любому компьютеру, а нужно что бы оный компьютер имел белый IP + открытый порт + SMBv1. Само это сочетание факторов не является нормальным априори. Белый IP конечно не обязательный фактор, но тогда предварительно нужно попасть в сеть где компьютер стоит, т.е. атака уже не напрямую из интернета.

      Ответить
  7. АНдрей | 29.06.2017

    Добрый день! Подскажите не работает команда повершелл
    Set-SmbServerConfiguration –AuditSmb1Access $true
    на 2012 r2 сервере ?

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.28MB/0.00178 sec