Windows 10 ve Server 2016 – SMB 1.0 nasıl devre dışı bırakılır?

Okuma süresi - 3 dk.

Credit: Google Images

Varsayılan olarak, Windows 10 ve Windows Server 2016’da SMB 1.0 desteği etkin durumdadır. WannaCry ve notPetya saldırılarında SMB açığınını kullanıldığı düşünüldüğünde, bu açığı kapatarak ağınızı birçok güvenlik açığına karşı korumuş olacaksınız.

SMB v1.0 üzerinden dosya sunucusuna erişimin denetlenmesi

SMB dosya sunucusunun SMB 1.0 sürücüsünü devre dışı bırakmadan veya tamamen kaldırmadan önce, ağınızda kullanan eski istemciler olmadığından emin olun. Bunu yapmak için, aşağıdaki PowerShell komutunu kullanarak SMB v1.0 üzerinden dosya sunucusu erişimi denetimini etkinleştirin.

Set-SmbServerConfiguration –AuditSmb1Access $true

Bir süre sonra event viewer olaylarını inceleyin ve herhangi bir istemcinin SMB1 üzerinden dosya sunucusuna erişip erişmediğini görün. Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit

Örneğimizde, istemci 192.168.1.10’un SMB1 üzerinden dosya sunucusuna eriştiğini gösterir. SMBServer’dan EventID 3000 ile olay kaydı oluşturulmuştur.

SMB1 access
Client Address: 192.168.1.10
Guidance:
This event indicates that a client attempted to access the server using SMB1. To stop auditing SMB1 access, use the Windows PowerShell cmdlet Set-SmbServerConfiguration.

Sunucu tarafında SMB 1.0’ı devre dışı bırakma

SMB 1.0, hem istemci tarafında hem de sunucu tarafında devre dışı bırakılabilir. Sunucu tarafında, SMB 1.0, ağ üzerinden SMB dosya paylaşımlarına erişim sağlar ve istemci tarafında, bu kaynaklara erişmek için gereklidir.

Aşağıdaki PowerShell komutunu kullanarak, sunucu tarafında SMB1’in etkin olup olmadığını kontrol edebilirsiniz.

Get-SmbServerConfiguration

Gördüğünüz gibi, EnableSMB1Protocol parametresinin değeri True’dir.

Bu protokolün desteğini devre dışı bırakalım.

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Get-SmbServerConfiguration cmdlet’ini kullanarak, SMB1’in devre dışı bırakıldığından emin olun.

SMB v1 erişimi için istemci isteklerini işleyen sürücüyü tamamen kaldırmak için şu komutu çalıştırın.

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

SMB1 desteğinin tamamen devre dışı olduğundan emin olmak için sisteminizi yeniden başlatın.

Get-WindowsOptionalFeature –Online -FeatureName SMB1Protocol

İstemci tarafında SMB 1.0’ı devre dışı bırakma

Sunucu tarafında SMB 1.0’ı devre dışı bıraktığınızda, istemcilerin bu protokole göre sunucuya bağlanmasını engellersiniz.Ancak, erişmek için eski protokolü kullanabilirler. İstemci tarafında SMB v1’i devre dışı bırakmak için şu komutları çalıştırın.

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

SMB 1.0 için desteği devre dışı bırakırsanız, ağınızı içindeki bilinen ve hala bulunmayan güvenlik açıklarından koruyabileceksiniz. Bir saldırganın herhangi bir kodu uzaktan çalıştırmasına izin veren SMBv1’deki son önemli güvenlik açığı Mart 2017’de düzeltildi.”