Vaikka järjestelmien tietoturvaongelmat eivät ole missään uudessa, Wannacrypt-lunnasohjelman aiheuttama sotku on herättänyt välitöntä toimintaa verkkokäyttäjien keskuudessa. Ransomware kohdistuu Windows-käyttöjärjestelmän SMB-palvelun haavoittuvuuksiin levittääkseen.
SMB tai Server Message Block on verkkotiedostojen jakoprotokolla, joka on tarkoitettu tiedostojen, tulostimien jne. Jakamiseen tietokoneiden välillä. On olemassa kolme versiota - Server Message Block (SMB) -versio 1 (SMBv1), SMB-versio 2 (SMBv2) ja SMB-versio 3 (SMBv3). Microsoft suosittelee SMB1: n poistamista käytöstä turvallisuussyistä - eikä ole tärkeämpää tehdä niin, kun otetaan huomioon WannaCrypt- tai NotPetya-lunnasohjelmaepidemia.
Poista SMB1 käytöstä Windowsissa
Voit puolustautua WannaCrypt-lunnasohjelmilta on välttämätöntä poistaa SMB1 käytöstä ja asentaa Microsoftin julkaisemat korjaustiedostot . Katsotaanpa joitain tapoja poistaa SMB1 käytöstä Windows 10/8/7: ssä.
Sammuta SMB1 ohjauspaneelin kautta
Avaa Ohjauspaneeli> Ohjelmat ja ominaisuudet> Ota Windowsin ominaisuudet käyttöön tai poista ne käytöstä.
Vaihtoehtoluettelossa yksi vaihtoehto olisi SMB 1.0 / CIFS-tiedostojen jakamisen tuki . Poista valinta siihen liittyvästä valintaruudusta ja paina OK.
Käynnistä tietokoneesi uudelleen.
Poista SMBv1 käytöstä Powershellin avulla
Avaa PowerShell-ikkuna järjestelmänvalvojan tilassa, kirjoita seuraava komento ja paina Enter poistaaksesi SMB1: n:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Tyyppi DWORD -Arvo 0 –Force
Jos jostakin syystä sinun on poistettava väliaikaisesti käytöstä SMB-versiot 2 ja 3, käytä tätä komentoa:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Tyyppi DWORD -Arvo 0 –Force
On suositeltavaa poistaa SMB-versio 1 käytöstä, koska se on vanhentunut ja käyttää melkein 30 vuotta vanhaa tekniikkaa.
Microsoft sanoo, että kun käytät SMB1: tä, menetät avaimen suojauksen, jonka tarjoavat uudemmat SMB-protokollaversiot, kuten:
- Pre-authentication Integrity (SMB 3.1.1+) - Suojaa tietoturvapäivityksiä vastaan.
- Turvaton vieraan todennuksen esto (SMB 3.0+ Windows 10+: ssa) - Suojaa MiTM-hyökkäyksiltä.
- Secure Dialect Negotiation (SMB 3.0, 3.02) - Suojaa tietoturvapäivityksiä vastaan.
- Parempi viestin allekirjoittaminen (SMB 2.02+) - HMAC SHA-256 korvaa MD5: n hajautusalgoritmina SMB 2.02: ssa, SMB 2.1: ssä ja AES-CMAC korvaa SMB 3.0+: ssa. Allekirjoituksen suorituskyky kasvaa SMB2: ssa ja 3: ssa.
- Salaus (SMB 3.0+) - Estää langan tietojen tarkastamisen, MiTM-hyökkäykset. SMB 3.1.1: ssä salaus on jopa parempi kuin allekirjoittaminen.
Jos haluat ottaa ne käyttöön myöhemmin (ei suositella SMB1: lle), komennot ovat seuraavat:
SMB1: n ottaminen käyttöön:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Tyyppi DWORD -Arvo 1 -Force
SMB2: n ja SMB3: n käyttöön ottaminen:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Tyyppi DWORD -Arvo 1 –Force
Poista SMB1 käytöstä Windowsin rekisterin avulla
Voit myös säätää Windows-rekisteriä SMB1: n poistamiseksi käytöstä.
Suorita regedit ja siirry seuraavaan rekisteriavaimeen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
Oikealla puolella DWORD SMB1: n ei pitäisi olla läsnä tai sen arvon tulisi olla 0 .
Sen ottamisen ja käytöstä poistamisen arvot ovat seuraavat:
- 0 = Ei käytössä
- 1 = käytössä
Lisää vaihtoehtoja ja tapoja poistaa SMB-protokollat käytöstä SMB-palvelimella ja SMB-asiakkaalla on Microsoftissa.