Vypněte si podporu SMBv1 ve vašich Windows. Dost podstatné pro lepší zabezpečení

WannaCry ransomware (viz Útok WCry ransomware zasáhl na 200 tisíc počítačů v 150 zemích a Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě) měl jeden zásadní nástroj útoku na počítače, první verzi SMB (Server Message Block) protokolu.  Paradoxní na tom všem je to, že aktuálně je používána třetí (SMBv3) verze, takže zachovávat aktivní podporu pro SMBv1 je už poměrně zbytečné.

SMBv1 můžete zakázat a asi je dobrý nápad to udělat. V Ovládacích Panelech (Control Panels) stačí najít Programy/Programs -> Zapnout nebo vypnout funkce systému Windows/Turn WIndows features on or off.  A tam hledejte Podpora pro protokol sdílenou souborů SMB 1.0/CIFS (v angličtině SMB 1.0/CIFS Protocol Support). Pak už stačí jenom odškrtnout aktivní zaškrtávátko. Po vypnutí je bohužel nutný restart počítače.

2017-05-27 10_24_01-Funkce systému Windows.png

Pokud jde o počítače v doméně, tak tam je vhodné využit Group Policy, viz Disable SMB v1 in Managed Environments with Group Policy kde najeete i případnou informaci o klíčich v Registru. Nutno dodat, že jich je více a jde o zákaz jak SMBv1 klienta, tak SMBv1 serveru.

Ve Windows 10 si můžete spustit PowerShell (coby správce) a použít „Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Pokud chcete vědět jak se případně zakazují SMBv2 či SMBv3, tak viz How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server

2017-05-27 10_29_30-Funkce systému Windows.png

SMBv1 můžete kdykoliv znovu zapnout, to pro případ, že zjistíte něco nefunkčního – typicky by mohlo jít o nějaká stará síťová zařízení, poměrně dost často je SMBv1/CIFS nutné pro přístup k některým NAS zařízením (Seagate NAS například, Synology s tímhle problém nemá).

Reklamy