Mặc dù mối quan tâm về bảo mật với các hệ thống không có gì mới mẻ, nhưng sự lộn xộn gây ra bởi chương trình ransomware của Wannacrypt đã thúc đẩy hành động ngay lập tức giữa các cư dân mạng. Ransomware nhắm vào các lỗ hổng của dịch vụ SMB của hệ điều hành Windows để truyền bá.
SMB hoặc là Chặn tin nhắn máy chủ là một giao thức chia sẻ tệp mạng có nghĩa là để chia sẻ tệp, máy in, v.v. giữa các máy tính. Có ba phiên bản - Server Message Block (SMB) phiên bản 1 (SMBv1), SMB phiên bản 2 (SMBv2) và SMB phiên bản 3 (SMBv3). Microsoft khuyến cáo rằng bạn vô hiệu hoá SMB1 vì lý do bảo mật - và nó không quan trọng hơn để làm như vậy theo quan điểm của dịch WansCrypt hoặc NotPetya ransomware.
Tắt SMB1 trên Windows
Để bảo vệ bạn chống lại WannaCrypt ransomware nó là bắt buộc mà bạn tắt SMB1 cũng như cài đặt các bản vá lỗi được phát hành bởi Microsoft. Chúng ta hãy xem xét một số cách để tắt SMB1.
Tắt SMB1 qua Bảng điều khiển
Mở Pa-nen Điều khiển> Chương trình & Tính năng> Bật hoặc tắt các tính năng của Windows.
Trong danh sách tùy chọn, một tùy chọn sẽ là Hỗ trợ chia sẻ tệp SMB 1.0 / CIFS. Bỏ chọn hộp kiểm liên kết với nó và nhấn OK.
Tắt SMBv1 bằng Powershell
Mở một cửa sổ PowerShell trong chế độ quản trị viên, gõ lệnh sau và nhấn Enter để tắt SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 0 –Force
Chúng tôi khuyên bạn nên tắt SMB phiên bản 1 vì nó đã lỗi thời và sử dụng công nghệ gần 30 năm.
Microsoft cho biết, khi bạn sử dụng SMB1, bạn sẽ mất các bảo vệ chính được cung cấp bởi các phiên bản giao thức SMB sau này như:
- Tính toàn vẹn trước khi xác thực (SMB 3.1.1+) - Bảo vệ chống lại các cuộc tấn công hạ cấp bảo mật.
- Chặn auth guest không an toàn (SMB 3.0+ trên Windows 10+) - Bảo vệ chống lại các tấn công MiTM.
- Thỏa thuận đối thoại an toàn (SMB 3.0, 3.02) - Bảo vệ chống lại các cuộc tấn công hạ cấp bảo mật.
- Ký tin nhắn tốt hơn (SMB 2.02+) - HMAC SHA-256 thay thế MD5 như thuật toán băm trong SMB 2.02, SMB 2.1 và AES-CMAC thay thế trong SMB 3.0+. Việc ký hiệu tăng lên trong SMB2 và 3.
- Mã hóa (SMB 3.0+) - Ngăn chặn việc kiểm tra dữ liệu trên dây, tấn công MiTM. Trong SMB 3.1.1 hiệu suất mã hóa thậm chí còn tốt hơn so với ký.
Trong trường hợp bạn muốn kích hoạt chúng sau này (không được đề xuất cho SMB1), các lệnh sẽ như sau:
Để bật SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 1 -Force
Để bật SMB2 và SMB3:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 1 –Force
Tắt SMB1 bằng Windows registry
Bạn cũng có thể tinh chỉnh Windows Registry để tắt SMB1.
Chạy regedit và điều hướng đến khóa đăng ký sau:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
Ở bên phải, DWORD SMB1 không nên có mặt hoặc nên có giá trị 0.
Các giá trị cho phép và vô hiệu hóa nó như sau:
- 0 = Đã tắt
- 1 = Đã bật
Để có thêm tùy chọn và cách tắt giao thức SMB trên máy chủ SMB và ứng dụng khách SMB truy cập Microsoft.