แม้ว่าความกังวลด้านความปลอดภัยของระบบจะไม่ใช่เรื่องใหม่ แต่ความยุ่งเหยิงที่เกิดจาก Wannacrypt ransomware ได้กระตุ้นให้ชาวเน็ตดำเนินการทันที Ransomware กำหนดเป้าหมายไปที่ช่องโหว่ของบริการ SMB ของระบบปฏิบัติการ Windows เพื่อเผยแพร่
SMBหรือServer Message Blockคือโปรโตคอลการแชร์ไฟล์บนเครือข่ายที่มีไว้สำหรับแชร์ไฟล์เครื่องพิมพ์ ฯลฯ ระหว่างคอมพิวเตอร์ มีสามเวอร์ชัน - Server Message Block (SMB) เวอร์ชัน 1 (SMBv1), SMB เวอร์ชัน 2 (SMBv2) และ SMB เวอร์ชัน 3 (SMBv3) Microsoft ขอแนะนำให้คุณปิดใช้งาน SMB1 ด้วยเหตุผลด้านความปลอดภัย - และการดำเนินการดังกล่าวไม่สำคัญไปกว่าเมื่อพิจารณาจากการแพร่ระบาดของ ransomware WannaCrypt หรือ NotPetya
ปิดใช้งาน SMB1 บน Windows
ในการป้องกันตัวเองจาก WannaCrypt ransomware มีความจำเป็นที่คุณจะต้องปิดการใช้งาน SMB1รวมทั้งติดตั้งโปรแกรมแก้ไขที่ Microsoft ออก ลองมาดูวิธีปิดการใช้งาน SMB1 บน Windows 10/8/7
ปิด SMB1 ผ่านแผงควบคุม
เปิดแผงควบคุม> โปรแกรมและคุณสมบัติ> เปิดหรือปิดคุณสมบัติของ Windows
ในรายการของตัวเลือกหนึ่งในตัวเลือกที่จะเป็นSMB 1.0 / CIFS ไฟล์ร่วมกันสนับสนุน ยกเลิกการเลือกช่องทำเครื่องหมายที่เกี่ยวข้องแล้วกดตกลง
รีสตาร์ทคอมพิวเตอร์ของคุณ
ปิดใช้งาน SMBv1 โดยใช้ Powershell
เปิดหน้าต่าง PowerShell ในโหมดผู้ดูแลระบบพิมพ์คำสั่งต่อไปนี้แล้วกด Enter เพื่อปิดใช้งาน SMB1:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force
หากด้วยเหตุผลบางประการคุณต้องปิดใช้งาน SMB เวอร์ชัน 2 และเวอร์ชัน 3 ชั่วคราวโดยใช้คำสั่งนี้:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 - ประเภท DWORD -Value 0 –Force
ขอแนะนำให้ปิดใช้งาน SMB เวอร์ชัน 1 เนื่องจากล้าสมัยและใช้เทคโนโลยีที่มีอายุเกือบ 30 ปี
Microsoft กล่าวว่าเมื่อคุณใช้ SMB1 คุณสูญเสียการป้องกันที่สำคัญที่นำเสนอโดยโปรโตคอล SMB รุ่นหลัง ๆ เช่น:
- Pre-authentication Integrity (SMB 3.1.1+) - ป้องกันการโจมตีลดระดับความปลอดภัย
- การปิดกั้นการตรวจสอบสิทธิ์ของผู้เยี่ยมชมที่ไม่ปลอดภัย (SMB 3.0+ บน Windows 10+) - ป้องกันการโจมตีของ Mi ™
- Secure Dialect Negotiation (SMB 3.0, 3.02) - ป้องกันการโจมตีลดระดับความปลอดภัย
- การลงนามข้อความที่ดีขึ้น (SMB 2.02+) - HMAC SHA-256 แทนที่ MD5 เป็นอัลกอริทึมการแฮชใน SMB 2.02, SMB 2.1 และ AES-CMAC แทนที่ใน SMB 3.0+ ประสิทธิภาพการลงนามเพิ่มขึ้นใน SMB2 และ 3
- การเข้ารหัส (SMB 3.0+) - ป้องกันการตรวจสอบข้อมูลบนสายการโจมตี MiTM ในประสิทธิภาพการเข้ารหัส SMB 3.1.1 นั้นดีกว่าการเซ็นชื่อ
ในกรณีที่คุณต้องการเปิดใช้งานในภายหลัง (ไม่แนะนำสำหรับ SMB1) คำสั่งจะเป็นดังนี้:
สำหรับการเปิดใช้งาน SMB1:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force
สำหรับการเปิดใช้งาน SMB2 & SMB3:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 –Force
ปิดใช้งาน SMB1 โดยใช้ Windows Registry
คุณยังสามารถปรับแต่ง Windows Registry เพื่อปิดใช้งาน SMB1
เรียกใช้regeditและไปที่คีย์รีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
อยู่ทางด้านขวาที่ DWORD SMB1ไม่ควรจะอยู่หรือควรจะมีค่าเป็น0
ค่าสำหรับการเปิดใช้งานและการปิดใช้งานมีดังนี้:
- 0 = ปิดใช้งาน
- 1 = เปิดใช้งาน
สำหรับตัวเลือกเพิ่มเติมและวิธีปิดใช้งานโปรโตคอล SMB บนเซิร์ฟเวอร์ SMB และไคลเอนต์ SMB โปรดไปที่ Microsoft