Включение/отключение протоколов SMB в Windows
Windows 8, 10 и Windows Server 2012, 2016
В Windows 8, 10 и Windows Server 2012, 2016 представлен командлет Windows PowerShell Set-SMBServerConfiguration. Он дозволяет включать либо отключать протоколы SMB версии 1, 2, 3.
При включении либо выключении протокола SMB версии 2 в Windows либо Windows Server также происходит включение либо отключение протокола SMB версии 3. Это соединено с внедрением общего стека для этих протоколов.
После выполнения командлета Set-SMBServerConfiguration не требуется перезагрузка компьютера.
Узнать состояние
- Чтобы получить текущее состояние конфигурации протокола SMB-сервера, выполните последующий командлет:
|
Get-SmbServerConfiguration
Боремся с вирусами и инфраструктурой, либо отключение SMB v1
В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети опять возникли советы по отключению этого протокола. Наиболее того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где опосля борьбы с SMB закончили играться беспроводные колонки Sonos. Специально для минимизации вероятности «выстрела в ногу» я желаю напомнить о особенностях SMB и тщательно разглядеть, чем угрожает непродуманное отключение его старенькых версий. SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Конкретно он употребляется при подключении ресурсов через servernamesharename. Протокол вначале работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать впрямую, используя порт TCP 445. SMB употребляется также для входа в домен Active Directory и работы в нем.
Первая версия протокола, также популярная как CIFS (Common Internet File System), была сотворена еще в 1980-х годах, а вот 2-ая версия возникла лишь с Windows Vista, в 2006. 3-я версия протокола вышла с Windows 8. Параллельно с Microsoft протокол создавался и обновлялся в его открытой имплементации Samba. В каждой новейшей версии протокола добавлялись различного рода улучшения, направленные на повышение быстродействия, сохранности и поддержки новейших функций. Но при этом оставалась поддержка старенькых протоколов для сопоставимости. Очевидно, в старенькых версиях было и есть довольно уязвимостей, одной из которых и пользуется WannaCry. Под спойлером вы отыщите сводную таблицу конфигураций в версиях SMB.
Посмотреть используемую в текущий момент версию протокола достаточно просто, используем для этого командлет Get–SmbConnection:
Вывод командлета при открытых сетевых ресурсах на серверах с разной версией Windows. Из вывода видно, что клиент, поддерживающий все версии протокола, употребляет для подключения очень возможную версию из поддерживаемых сервером. Очевидно, ежели клиент поддерживает лишь старенькую версию протокола, а на сервере она будет отключена – соединение установлено не будет. Включить либо выключить поддержку старенькых версий в современных системах Windows можно при помощи командлета Set–SmbServerConfiguration, а поглядеть состояние так:
Выключаем SMBv1 на сервере с Windows 2012 R2.
Результат при подключении с Windows 2003. Таким образом, при выключении старенького, уязвимого протокола можно лишиться работоспособности сети со старенькыми клиентами. При этом кроме Windows XP и 2003 SMB v1 употребляется и в ряде программных и аппаратных решений (например NAS на GNULinux, использующий старенькую версию samba). Под спойлером приведу перечень производителей и товаров, которые вполне либо отчасти не станут работать при выключении SMB v1.
Список взят с веб-сайта Microsoft, где он часто пополняется. Перечень товаров, использующих старенькую версию протокола, довольно велик – перед отключением SMB v1 непременно необходимо пошевелить мозгами о последствиях. Если программ и устройств, использующих SMB v1 в сети нет, то, естественно, старенькый протокол лучше отключить. При этом ежели выключение на SMB сервере Windows 8/2012 делается при помощи командлета Powershell, то для Windows 7/2008 пригодится правка реестра. Это можно сделать тоже при помощи Powershell: Или хоть каким остальным комфортным методом. При этом для внедрения конфигураций пригодится перезагрузка. Для отключения поддержки SMB v1 на клиенте довольно приостановить отвечающую за его работу службу и поправить зависимости службы lanmanworkstation. Это можно сделать последующими командами: Для удобства отключения протокола по всей сети комфортно применять групповые политики, в частности Group Policy Preferences. С помощью их можно комфортно работать с реестром.
Создание элемента реестра через групповые политики. Чтобы отключить протокол на сервере, довольно сделать последующий параметр:
Создание параметра реестра для отключения SMB v1 на сервере через групповые политики. Для отключения поддержки SMB v1 на клиентах пригодится поменять значение 2-ух параметров. Сначала отключим службу протокола SMB v1:
Обновляем один из параметров. Потом поправим зависимость службы LanmanWorkstation, чтобы она не зависела от SMB v1:
И заменяем другой. После внедрения групповой политики нужно перезагрузить компы организации. Опосля перезагрузки SMB v1 не станет использоваться. Как ни удивительно, эта древняя заповедь не постоянно полезна – в изредка обновляемой инфраструктуре могут завестись шифровальщики и трояны. Тем не наименее, неаккуратное отключение и обновление служб могут обездвиживать работу организации не ужаснее вирусов. Расскажите, а вы уже отключили у себя SMB первой версии? Много было жертв? |
