Отключить SMBv1 с помощью Powershell

По отчетам антивирусных компаний, wcrypt проникает на компьютеры через порты SMB (Server Message Block).

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора (для Windows 8 и выше):

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Откройте окно PowerShell в режиме администратора, введите следующую команду и нажмите Enter, чтобы отключить SMB1:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 –Force
Рекомендуется отключить версию SMB версии 1, поскольку она устарела и использует технологию, которой уже почти 30 лет.

Says Microsoft, when you use SMB1, you lose key protections offered by later SMB protocol versions like:

Pre-authentication Integrity (SMB 3.1.1+) – Protects against security downgrade attacks.
Insecure guest auth blocking (SMB 3.0+ on Windows 10+) – Protects against MiTM attacks.
Secure Dialect Negotiation (SMB 3.0, 3.02) – Protects against security downgrade attacks.
Better message signing (SMB 2.02+) – HMAC SHA-256 replaces MD5 as the hashing algorithm in SMB 2.02, SMB 2.1 and AES-CMAC replaces that in SMB 3.0+. Signing performance increases in SMB2 and 3.
Encryption (SMB 3.0+) – Prevents inspection of data on the wire, MiTM attacks. In SMB 3.1.1 encryption performance is even better than signing.

Проверено: Windows 7×64, Windows Server 2012R2

Disable SMB1 using Windows registry

You can also tweak the Windows Registry to disable SMB1.

Run regedit and navigate to the following registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
In the right side, the DWORD SMB1 should not be present or should have a value of 0.

The values for enabling and disabling it are as follows:

• 0 = Disabled
• 1 = Enabled

Необходимо установить следующие обновления из патча безопасности MS17-010 не ниже указанных в таблице

Для старых систем (Windows XP, Windows Server 2003R2) Microsoft выпустил специальные патчи: Обновление для системы безопасности Windows XP SP3 (KB4012598)

УТИЛИТА ДЛЯ ПРОВЕРКИ ПО СЕТИ MS17-010

В связи с массовой эпидемией криптолокера WanaCrypt и его модификаций мы нашли утилиту для массовой проверки по сети smbv1/smbv2 и установленных обновлений для всех версий операционной системы Microsoft Windows.
Проверки проводятся аутентифицированно (для исключения злонамерянного использования) через WMI.
Утилита не требует лицензий и необходимости установки.
Утилита позволяет:
— проверить, включен ли SMBv1 протокол
— проверить, включен ли SMBv2 протокол
— проверить, установлены ли патчи (список патчей загружается из текстового файла)
— внести в проверку отдельные хосты
— внести в проверку список хостов из файлика (в столбик, без разделителя)

По умолчанию, без подгрузки списка KB обновлений — проверяется smbv1/smbv2. Список проверяемых KB обновлений может быть любым.

Скачать утилиту Security Checker

Немного теории!!

Различные версии протокола SMB появлялись в следующих версиях Windows:

• CIFS — Windows NT 4.0
• SMB 1.0 — Windows 2000
• SMB 2.0 — Windows Server 2008 и WIndows Vista SP1
• SMB 2.1 — Windows Server 2008 R2 и Windows 7
• SMB 3.0 — Windows Server 2012 и Windows 8
• SMB 3.02 — Windows Server 2012 R2 и Windows 8.1

При сетевом взаимодействии по SMB между клиентом и сервером используется максимальная версия протокола, поддерживаемая одновременно клиентом и сервером.

Сводная таблица о совместимости версии SMB на стороне клиента и сервера выглядит так:

Так, например, при подключении клиентского компьютера с Windows 7 к файловому серверу с Windows Server 2012 будет использоваться протокол SMB 2.1

Подробнее в статье на WinITpro

Ещё полезные ссылки

Поверка установки MS17-010

Отключение SMB 1.0 в Windows 10 / Server 2016

Microsoft Security Bulletin MS17-010 — Critical

Каталог Центра обновления Майкрософт — находим нужное обновление через поиск справа на странице каталога