Как закрыть smb в windows

Хотя проблемы безопасности с системами не новы, беспорядок, вызванный вымогателями Wannacrypt, побудил к немедленным действиям среди пользователей сети. Ransomware предназначается для распространения уязвимостей службы SMB операционной системы Windows.

SMB или Блок сообщений сервера – это сетевой протокол обмена файлами, предназначенный для обмена файлами, принтерами и т. д. между компьютерами. Существует три версии: версия 1 блока сообщений сервера (SMBv1), версия 2 SMB (SMBv2) и версия 3 SMB (SMBv3). Microsoft рекомендует отключить SMB1 по соображениям безопасности – и это не более важно в связи с эпидемией WannaCrypt или NotPetya Ransomware.

Отключить SMB1 в Windows

Чтобы защитить себя от вымогателей WannaCrypt, необходимо отключить SMB1 , а также установить исправления , выпущенные Microsoft. Давайте рассмотрим некоторые способы отключения SMB1.

Выключите SMB1 через панель управления

Откройте Панель управления> Программы и компоненты> Включение или отключение функций Windows.

В списке параметров одним из вариантов будет Поддержка общего доступа к файлам SMB 1.0/CIFS . Снимите флажок, связанный с ним, и нажмите ОК.

Перезагрузите компьютер.

Отключить SMBv1 с помощью Powershell

Откройте окно PowerShell в режиме администратора, введите следующую команду и нажмите Enter, чтобы отключить SMB1:

 Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Тип DWORD -Значение 0 –Force

Если по какой-то причине вам нужно временно отключить SMB версии 2 и 3, используйте эту команду:

 Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Тип DWORD -Значение 0 –Force 

Рекомендуется отключить SMB версии 1, поскольку она устарела и использует технологию, которой уже почти 30 лет.

Microsoft утверждает, что при использовании SMB1 вы теряете ключевые средства защиты, предлагаемые более поздними версиями протокола SMB, такими как:

1. Целостность до проверки подлинности (SMB 3.1.1+) – защищает от атак с понижением уровня безопасности.
2. Небезопасная гостевая блокировка аутентификации (SMB 3.0+ в Windows 10+) – защищает от атак MiTM.
3. Безопасное согласование диалектов (SMB 3.0, 3.02) – защищает от атак с понижением уровня безопасности.
4. Улучшенная подпись сообщений (SMB 2.02+) – HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования в SMB 2.02, SMB 2.1 и AES-CMAC заменяет алгоритм в SMB 3.0+. Производительность подписи увеличивается в SMB2 и 3.
5. Шифрование (SMB 3.0+) – предотвращает проверку данных на проводе, атаки MiTM. В SMB 3.1.1 производительность шифрования даже лучше, чем подписывание.

Если вы захотите включить их позже (не рекомендуется для SMB1), команды будут следующими:

Для включения SMB1:

 Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Тип DWORD -Значение 1 -Force 

Для включения SMB2 и SMB3:

 Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Тип DWORD -Значение 1 –Force 

Отключить SMB1 с помощью реестра Windows

Вы также можете настроить реестр Windows, чтобы отключить SMB1.

Запустите regedit и перейдите к следующему разделу реестра:

 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Параметры 

С правой стороны DWORD SMB1 не должен присутствовать или должен иметь значение 0 .

Значения для его включения и отключения следующие:

• 0 = отключено
• 1 = включено

Для получения дополнительных возможностей и способов отключения протоколов SMB на сервере SMB и клиенте SMB посетите веб-сайт Microsoft.

По-умолчанию в Windows Server 2016/2019 и Windows 10 (начиная с билда 1709) отключена поддержка сетевого протокола для общего доступа к файлам в сетевых папках Server Message Block 1.0 (SMBv1). Этот протокол в большинстве случаев нужно только для обеспечения работы устаревших систем, например снятых с поддержки Windows XP, Windows Server 2003 и т.д. В этой статье мы рассмотрим, как включить или корректно отключить поддержку клиента и сервера SMBv1 в Windows 10 и Windows Server 2016/2019.

В одной из предыдущих статей мы приводили таблицу совместимости версий протокола SMB на стороне клиента и сервера. Согласно этой таблице, старые версии клиентов (XP, Server 2003 и некоторые устаревшие *nix клиенты) могут использовать для доступа к файловым ресурсам только протокол SMB 1.0. Если таких клиентов в сети не осталось, можно полностью отключить SMB 1.0 на стороне файловых серверов (в том числе контролерах домена AD) и клиентских станциях.

В Windows 10 и Windows Server 2016 протокол SMBv1 разделен на два отдельных компонента – SMB клиент и SMB сервер, которые можно включать/отключать отдельно.

Аудит доступа к файловому серверу по SMB v1.0

Перед отключением и полным удалением драйвера SMB 1.0 на стороне файлового SMB сервера желательно убедится, что в сети не осталось устаревших клиентов, которые используют для подключения протокол SMB v1.0. Для этого, нужно включить аудит доступа к файловому серверу по SMB1 протоколу с помощью команды PowerShell:

Set-SmbServerConfiguration –AuditSmb1Access $true

Через пару дней откройте на сервере журнал событий Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit и проверьте, были ли зафиксированы попытки доступа к ресурсам сервера по протоколу SMB1.

В нашем примере в журнале обнаружено событие с EventID 3000 от источника SMBServer, в котором указано что клиент 192.168.1.10 пытается обратиться к сервереу по протоколу SMB1.

SMB1 access Client Address: 192.168.1.10  

Guidance: This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.

Вам нужно найти в сети этот компьютер или устройство, при необходимости обновить ОС или прошивку, до версии поддерживающий, более новые протоколы SMB: SMBv2 или SMBv3.

В данном случае, мы проигнорируем эту информацию, но нужно учитывать тот факт, что в дальнейшем данный клиент не сможет получить SMB доступ к общим папкам на этом сервере.

Включение/отключение SMB 1.0 в Windows Server 2016/2019

В Windows Server 2016, начиная с билда 1709, и Windows Server 2019 по умолчанию отключен протокол SMBv1. Чтобы включить поддержку клиентского протокола SMBv1в новых версиях Windows Server, нужно установить отдельный компонент SMB 1.0/CIFS File Sharing Support.

Вы можете установить компонент поддержки клиента SMBv1 с помощью Server Manager, или через PowerShell.

Проверить, что SMBv1 включен можно командой PowerShell:

Get-WindowsFeature | Where-Object {$_.name -eq "FS-SMB1"} | ft Name,Installstate

Чтобы установить компонент FS-SMB1, выполните:

Install-WindowsFeature FS-SMB1

Для удаления SMBv1 клиента (понадобится перезагрузка), выполните:

Uninstall-WindowsFeature –Name FS-SMB1 –Remove

Чтобы ваш сервер мог обрабатывать доступ клиентов по протоколу SMBv1, кроме компонента FS-SMB1 нужно, чтобы поддержка протокола SMBv1 была включена на уровне файлового сервера SMB. Чтобы проверить, что на вашем сервере включен доступ по SMBv1 к сетевым папкам, выполните:

Get-SmbServerConfiguration

Строка “
EnableSMB1Protocol: True
” говорит о том, что у вас разрешен доступ по протоколу SMBv1 к сетевым папкам на сервере. Чтобы отключить поддержку сервера SMBv1 в Windows Server, выполните команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Теперь с помощью командлета
Get-SmbServerConfiguration
убедитесь, что протокол SMB1 отключен.

Чтобы включить поддержку протокола SMBv1 на сервере, выполните команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $True -Force

Включить/отключить SMB 1.0 в Windows 10

Как мы уже говорили, начиная с Windows 10 1709, во всех новых билдах поддержка протокола SMB1 отключена (также отключен гостевой доступ по протоколу SMBv2).

В Windows 10 вы можете проверить статус компонентов SMBv1 протокола командой DISM:

Dism /online /Get-Features /format:table | find "SMB1Protocol"

В нашем примере видно, что все компоненты SMBv1 отключены:

SMB1Protocol                                | Disabled
SMB1Protocol-Client                         | Disabled
 SMB1Protocol-Server                         | Disabled
SMB1Protocol-Deprecation                    | Disabled

В Windows 10 также можно управлять компонентами SMB 1 из панели управления компонентами (
optionalfeatures.exe
). Разверните ветку Поддержка общего доступа к файлам SMB 1.0 /CIFS. Как вы видите здесь также доступны 3 компонента:

• Клиент SMB0/CIFS
• Сервер SMB0/CIFS
• Автоматическое удаление протокола SMB0/CIFS

Вы можете включить клиент и сервер SMBv1 в Windows 10 из окна управления компонентами или командой:

Dism /online /Enable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"

Если после включения SMBv1 клиента, он не используется более 15 дней, он автоматически отключается.

Автоматическое отключение клиента SMBv1 это разовая операция. Если администратор включит SMBv1 вручную еще раз, он не будет отключаться автоматически.

Чтобы отключить поддержку клиента и сервера SMB1 в Windows 10, выполните следующие команды DISM:

Dism /online /Disable-Feature /FeatureName:"SMB1Protocol"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client"
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"

Если вы отключили поддержку SMBv1 клиента в Windows 10, то при доступе к сетевой папке на файловом сервере, который поддерживает только SMBv1 (протоколы SMBv2 и v3 отключены или не поддерживаются), появятся ошибки вида:

• 0x80070035 — не найден сетевой путь;

• Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.

   Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks

  ;

• Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколуSMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию.

  You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher).

Также при отключении клиента SMBv1 на компьютере перестает работать служба Computer Browser (Обозреватель компьютеров), которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети. Для корректгого отобрражения соседних компьютеров в сети Windows 10 нужно настроить службу Function Discovery Provider Host (см. статью).

Отключение SMBv1 с помощью групповых политик

В доменной среде Active Directory вы можете отключить протокол SMBv1 на всех серверах и компьютеров с помощью групповой политики. Т.к. в стандартных политиках Windows нет политики настройки компонентов SMB, придется отключать его через политику реестра.

1. Откройте консоль управления Group Policy Management (gpmc.msc), создайте новый объект GPO (disableSMBv1) и назначьте его на OU с компьютерами, на которых нужно отключить SMB1;
2. Перейдите в режим редактирования политики. Выберите Computer Configuration -> Preferences -> Windows Settings -> Registry;
3. Создайте новый параметр реестра (Registry Item) со следующими настройками:
   Action:
   Update
   
   Hive:
   HKEY_LOCAL_MACHINE
   
   Key Path:
   SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
   
   Value name:
   SMB1
   
   Value type:
   REG_DWORD
   
   Value data:
   0
   
   Данная политика отключит через реестр поддержку компонента сервер SMBv1 на всех компьютерах.

   Если в вашем домене остались компьютеры с Windows XP/Server 2003, можно использовать отдельный WMI фильтр политики, чтобы исключить эти версии Windows из-под действия политики.

Если вы хотите через GPO отключить на компьютерах SMB клиент, создайте дополнительно два параметра реестра:

• Параметр Start (типа REG_DWORD) со значением 4 в ветке реестра HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10;
• Параметр DependOnService (типа REG_MULTI_SZ) со значением Bowser, MRxSmb20, NSI (каждое значение с новой строки) в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation.

Осталось обновить настройки групповых политик на клиентах и после перезагрузки проверить, что компоненты SMBv1 полностью отключены.

В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети снова появились советы по отключению этого протокола. Более того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где после борьбы с SMB перестали играть беспроводные колонки Sonos.

Специально для минимизации вероятности «выстрела в ногу» я хочу напомнить об особенностях SMB и подробно рассмотреть, чем грозит непродуманное отключение его старых версий.

SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через \servername\sharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.

Помимо удаленного доступа к ресурсам протокол используется еще и для межпроцессорного взаимодействия через «именованные потоки» – named pipes. Обращение к процессу производится по пути \.\pipe\name.

Первая версия протокола, также известная как CIFS (Common Internet File System), была создана еще в 1980-х годах, а вот вторая версия появилась только с Windows Vista, в 2006. Третья версия протокола вышла с Windows 8. Параллельно с Microsoft протокол создавался и обновлялся в его открытой имплементации Samba.

В каждой новой версии протокола добавлялись разного рода улучшения, направленные на увеличение быстродействия, безопасности и поддержки новых функций. Но при этом оставалась поддержка старых протоколов для совместимости. Разумеется, в старых версиях было и есть достаточно уязвимостей, одной из которых и пользуется WannaCry.

Считаем условно пострадавших

Посмотреть используемую в текущий момент версию протокола довольно просто, используем для этого командлет Get–SmbConnection:

Вывод командлета при открытых сетевых ресурсах на серверах с разной версией Windows.

Из вывода видно, что клиент, поддерживающий все версии протокола, использует для подключения максимально возможную версию из поддерживаемых сервером. Разумеется, если клиент поддерживает только старую версию протокола, а на сервере она будет отключена – соединение установлено не будет. Включить или выключить поддержку старых версий в современных системах Windows можно при помощи командлета Set–SmbServerConfiguration, а посмотреть состояние так:

Get–SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Выключаем SMBv1 на сервере с Windows 2012 R2.

Результат при подключении с Windows 2003.

Таким образом, при отключении старого, уязвимого протокола можно лишиться работоспособности сети со старыми клиентами. При этом помимо Windows XP и 2003 SMB v1 используется и в ряде программных и аппаратных решений (например NAS на GNU\Linux, использующий старую версию samba).

Перечень продуктов, использующих старую версию протокола, достаточно велик – перед отключением SMB v1 обязательно нужно подумать о последствиях.

Все-таки отключаем

Если программ и устройств, использующих SMB v1 в сети нет, то, конечно, старый протокол лучше отключить. При этом если выключение на SMB сервере Windows 8/2012 производится при помощи командлета Powershell, то для Windows 7/2008 понадобится правка реестра. Это можно сделать тоже при помощи Powershell:

Set–ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Type DWORD –Value 0 –Force

Или любым другим удобным способом. При этом для применения изменений понадобится перезагрузка.

Для отключения поддержки SMB v1 на клиенте достаточно остановить отвечающую за его работу службу и поправить зависимости службы lanmanworkstation. Это можно сделать следующими командами:

sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi 

sc.exe config mrxsmb10 start=disabled

Для удобства отключения протокола по всей сети удобно использовать групповые политики, в частности Group Policy Preferences. С помощью них можно удобно работать с реестром.

Создание элемента реестра через групповые политики.

Чтобы отключить протокол на сервере, достаточно создать следующий параметр:

• путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;

• новый параметр: REG_DWORD c именем SMB1;

• значение: 0.

Создание параметра реестра для отключения SMB v1 на сервере через групповые политики.

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров.

Сначала отключим службу протокола SMB v1:

• путь: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;

• параметр: REG_DWORD c именем Start;

• значение: 4.

Обновляем один из параметров.

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

• путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;

• параметр: REG_MULTI_SZ с именем DependOnService;

• значение: три строки – Bowser, MRxSmb20 и NSI.

И заменяем другой.

После применения групповой политики необходимо перезагрузить компьютеры организации. После перезагрузки SMB v1 перестанет использоваться.

Работает – не трогай

Как ни странно, эта старая заповедь не всегда полезна – в редко обновляемой инфраструктуре могут завестись шифровальщики и трояны. Тем не менее, неаккуратное отключение и обновление служб могут парализовать работу организации не хуже вирусов.

Расскажите, а вы уже отключили у себя SMB первой версии? Много было жертв?

Читайте, как отключить устарелый протокол безопасности в Windows 10, для большей защиты ПК от вредоносных программ и программ шифровальщиков.
В локальных сетях файлы передаются, чаще всего по «FTP- протоколу» (File Transfer Protocol), что не всегда удобно для больших или корпоративных локальных сетей. Конечно, на помощь могут прийти дорогостоящие системы документооборота, которые существенно упрощают одновременную работу и передачу файлов. Но эти программы требуют дополнительных расходов, настройки и времени, поэтому, легче всего пользоваться обычным файловым сервером, работающим по протоколу «SMB» (Server Message Block).

Целые эпидемии, вызванные вредоносными программами «WannaCry» и «Petya», распространяются с бешеной скоростью в сети Интернет, они используют лазейку в древнем протоколе «SMBv1». Данный протокол по-прежнему устанавливается в ОС Windows по умолчанию, по неизвестно какой нелепой причине. Если вы пользуетесь Windows 10, 8 или 7, то вам следует убедиться, что «SMBv1» отключен на вашем ПК.

Содержание

• Что такое протокол «SMBv1» и почему он включен по умолчанию?
• Как отключить протокол SMBv1 в Windows 8, 8.1 и 10
• Как отключить SMBv1 в Windows 7, с помощью реестра Windows
• Дополнительная информация
• Вопросы и ответы
• Комментарии

Перейти к просмотру

Нужен Ransomware дешифратор? Вирус Petya зашифровал файлы? Как восстановить зашифрованные файлы☣️📁

Что такое протокол «SMBv1» и почему он включен по умолчанию?

«SMBv1» – это старая версия протокола сообщений сервера, который Windows использует для совместного использования файлов в локальной сети. Впоследствии он был заменен на «SMBv2» и «SMBv3». Эти версии можно оставить включенными, так как у них более лучшая защита от взлома чем у первой версии.

Более старый протокол «SMBv1» включен только потому, что до сих пор остались несколько старых приложений, которые не используют «SMBv2» или «SMBv3». Разработчики компании «Microsoft» постоянно обновляют список такого ПО.

Если вы не пользуетесь ни одной из этих программ, то, следовательно, вы должны отключить «SMBv1» на своем ПК под ОС Windows. Это желательно сделать чтобы защитить компьютер от любых будущих атак с уязвимостью в протоколе «SMBv1». Даже специалисты «Microsoft» рекомендует отключить этот протокол, если он вам не нужен.

Перейти к просмотру

Вирус создал ярлыки вместо файлов и папок на флешке, как вернуть данные и удалить вирус 💥📁💻

Как отключить протокол SMBv1 в Windows 8, 8.1 и 10

Начиная с обновления «Windows Autodesk» для ОС Windows 10, протокол «SMBv1» будет отключен по умолчанию. К сожалению, для того, чтобы внести данное изменение в операционную систему, пользователям потребовалось поднять огромную бурю недовольства, но все же лучше поздно, чем никогда.

В то же время, поддержку протокола «SMBv1» можно легко отключить самостоятельно и в Windows 8, 8.1 и 10. Откройте «Панель управления» – > перейдите в «Программы» – > нажмите на ссылку «Включение или отключение компонентов Windows».

Также можно отключить поддержку протокола «SMBv1» просто открыв меню «Пуск», ввести поисковое слово «Компонент» в поле поиска и нажать на «Включение или отключение компонентов».

Прокрутите список вниз и найдите опцию «Поддержка общего доступа к файлам SMB 1.0 / CIFS». Уберите флажок, чтобы отключить эту функцию, и нажмите «ОК».

После внесения изменений, система предложит вам перезагрузить компьютер.

Перейти к просмотру

Контролируемый доступ к защищенным папкам Windows 10 (бесплатная защита от вирусов) 🐛🛡️🖥️

Как отключить SMBv1 в Windows 7, с помощью реестра Windows

Чтобы отключить протокол «SMBv1» в Windows 7, придется отредактировать реестр Windows.

Стандартное предупреждение: изменение записей реестра Windows через стандартный редактор, может привести к нестабильной работе ОС, и даже к полному или частичному отказу операционной системы. Пользоваться редактором довольно просто, и пока вы придерживаетесь данных инструкций, у вас не должно возникнуть никаких проблем. И определенно, создайте резервную копию реестра и всей важной информации, которая храниться на диске с операционной системой, перед внесением каких-либо изменений.

Для начала, откройте редактор реестра, нажмите на кнопку «Пуск» и наберите «regedit» в окне поиска, далее нажимаем правой кнопкой мыши по приложению, и запускаем редактор реестра от имени администратора.

В редакторе реестра используйте левую боковую панель, чтобы перейти к следующему ключу:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Затем нужно создать новый параметр внутри подраздела «Parameters». Щелкните правой кнопкой мыши по значку «Parameters» — > наводим курсор мыши на «Создать» — > далее выбираем «Параметр DWORD (32 бита)».

Назовите новый параметр «SMB1».

«DWORD» будет создан со значением «0», и это идеально. «0» означает, что «SMBv1» отключен. Вам не понадобиться редактировать данное значение после его создания.

Теперь закройте редактор реестра. Также потребуется перезагрузить компьютер для того, чтобы изменения вступили в силу. Если вы хотите отменить это изменение, вернитесь в это окно и удалите параметр «SMB1».

Дополнительная информация

Вышеупомянутые действия прекрасно подходят для отключения поддержки протокола «SMBv1» на одном конкретном компьютере, но есть способы для его отключения во всей сети. Нужно обратитесь к официальной документации «Microsoft Windows» за дополнительной информацией о таких возможностях. Например, в документации вы найдёте решение, как выставить вышеупомянутое изменение реестра с помощью групповой политики безопасности, если потребуется отключить «SMB1» во всей сети на ПК с Windows 7.