Protokol SMB v 1. Pengujian dan verifikasi. Apa itu protokol "SMBv1" dan mengapa protokol ini diaktifkan secara default
Karena epidemi baru-baru ini Ransomware WannaCry mengeksploitasi kerentanan SMB v1, saran untuk menonaktifkan protokol ini kembali muncul di jaringan. Selain itu, Microsoft sangat menyarankan untuk menonaktifkan versi pertama SMB pada bulan September 2016. Namun pemutusan hubungan seperti itu dapat menimbulkan konsekuensi yang tidak terduga, bahkan hal-hal yang lucu: Saya pribadi menemukan sebuah perusahaan di mana, setelah bertengkar dengan SMB, mereka berhenti bermain speaker nirkabel Sonos.
Khususnya untuk meminimalkan kemungkinan “tertembak di kaki”, saya ingin mengingatkan Anda tentang fitur-fitur SMB dan mempertimbangkan secara rinci konsekuensi dari penonaktifan versi lama yang dianggap tidak tepat.
UKM(Blok Pesan Server) – protokol jaringan Untuk akses jarak jauh ke file dan printer. Inilah yang digunakan ketika menghubungkan sumber daya melalui \servername\sharename. Protokol awalnya berjalan di atas NetBIOS menggunakan Port UDP 137, 138 dan TCP 137, 139.C rilis Windows 2000 mulai bekerja langsung menggunakan Pelabuhan TCP 445. SMB juga digunakan untuk login domain Direktori Aktif dan bekerja di dalamnya.
Selain akses jarak jauh ke sumber daya, protokol ini juga digunakan untuk komunikasi antarprosesor melalui “aliran bernama” - pipa bernama. Prosesnya diakses di sepanjang jalur \.\pipe\name.
Versi pertama dari protokol, juga dikenal sebagai CIFS (Common Internet Sistem File), dibuat pada tahun 1980-an, tetapi versi kedua hanya muncul dengan Windows Vista, pada tahun 2006. Versi ketiga dari protokol ini dirilis dengan Windows 8. Sejalan dengan Microsoft, protokol tersebut dibuat dan diperbarui dalam implementasi terbuka Samba.
Di masing-masing versi baru protokol ditambahkan berbagai jenis perbaikan untuk meningkatkan kinerja, keamanan, dan dukungan untuk fitur-fitur baru. Namun pada saat yang sama, dukungan untuk protokol lama tetap ada untuk kompatibilitas. Tentu saja, ada banyak kerentanan di versi lama, salah satunya dieksploitasi oleh WannaCry.
Di bawah spoiler Anda akan menemukannya tabel pivot perubahan dalam versi SMB.
Versi | sistem operasi | Ditambahkan dibandingkan dengan versi sebelumnya |
UKM 2.0 | Windows Vista/2008 | Jumlah perintah protokol telah berubah dari 100+ menjadi 19 |
Kemungkinan pekerjaan “konveyor” – mengirimkan permintaan tambahan sebelum menerima tanggapan terhadap permintaan sebelumnya | ||
Dukungan tautan simbolis | ||
Menandatangani pesan HMAC dengan SHA256, bukan MD5 | ||
Peningkatan cache dan blok tulis/baca | ||
UKM 2.1 | jendela 7/2008R2 | Peningkatan kinerja |
Dukungan MTU yang lebih besar | ||
Dukungan untuk layanan BranchCache - mekanisme yang menyimpan permintaan dalam cache jaringan global di jaringan lokal | ||
UKM 3.0 | jendela 8/2012 | Kemungkinan untuk membangun cluster failover transparan dengan distribusi beban |
Dukungan untuk akses memori langsung (RDMA) | ||
Kelola melalui cmdlet Powershell | ||
dukungan VSS | ||
Tanda tangan AES–CMAC | ||
Enkripsi AES–CCM | ||
Kemampuan untuk menggunakan folder jaringan untuk penyimpanan mesin virtual HiperV | ||
Kemampuan untuk menggunakan folder jaringan untuk menyimpan database Microsoft SQL | ||
UKM 3.02 | Windows 8.1/2012R2 | Peningkatan keamanan dan kinerja |
Penyeimbangan otomatis dalam sebuah cluster | ||
UKM 3.1.1 | jendela 10/2016 | Dukungan enkripsi AES–GCM |
Pemeriksaan integritas sebelum otentikasi menggunakan hash SHA512 | ||
“Negosiasi” aman wajib saat bekerja dengan klien SMB 2.x dan lebih tinggi |
Kami menganggap korban bersyarat
Cukup mudah untuk melihat versi protokol yang digunakan saat ini; kami menggunakan cmdlet untuk ini Dapatkan-SmbConnection:
Keluaran Cmdlet ketika sumber daya jaringan terbuka di server dengan versi yang berbeda jendela.
Outputnya menunjukkan bahwa klien yang mendukung semua versi protokol menggunakan secara maksimal versi yang memungkinkan dari yang didukung oleh server. Tentu saja, jika klien hanya mendukung protokol versi lama, dan dinonaktifkan di server, koneksi tidak akan dibuat. Mengaktifkan atau menonaktifkan dukungan untuk versi lama di sistem modern Windows dapat dilakukan dengan menggunakan cmdlet Set–SmbServerConfiguration, dan lihat keadaan seperti ini:
Dapatkan–SmbServerConfiguration | Pilih AktifkanProtokol SMB1, AktifkanProtokolSMB2
Nonaktifkan SMBv1 di server yang menjalankan Windows 2012 R2.
Hasil saat menghubungkan dengan Windows 2003.
Jadi, jika Anda menonaktifkan protokol lama yang rentan, Anda dapat kehilangan fungsionalitas jaringan dengan klien lama. Selain itu, selain Windows XP dan 2003, SMB v1 juga digunakan di sejumlah solusi perangkat lunak dan perangkat keras (misalnya, NAS di GNU\Linux yang menggunakan samba versi lama).
Di bawah spoiler, saya akan memberikan daftar produsen dan produk yang akan berhenti berfungsi seluruhnya atau sebagian jika SMB v1 dinonaktifkan.
Pabrikan | Produk | Komentar |
Barakuda | SSL VPN | |
Pencadangan Gerbang Keamanan Web | ||
kanon | Pindai ke sumber daya jaringan | |
Cisco | WSA/WSAv | |
WAAS | Versi 5.0 dan lebih lama | |
F5 | Gerbang klien RDP | |
Proksi Microsoft Exchange | ||
Titik Kekuatan (Raytheon) | "Beberapa Produk" | |
HPE | Konektor Terpadu Warisan ArcSight | Versi lama |
IBM | Server Bersih | Versi V7R2 dan lebih lama |
Manajer Kerentanan QRadar | Versi 7.2.x dan lebih lama | |
tanda lexmark | Firmware eSF 2.x dan eSF 3.x | |
Kernel Linux | Klien CIFS | Dari 2.5.42 hingga 3.5.x |
McAfee | Gerbang Web | |
Microsoft | jendela | XP/2003 dan yang lebih lama |
MYOB | Akuntan | |
Aplikasi Net | ONTAP | Versi hingga 9.1 |
perlengkapan bersih | SiapNAS | |
Peramal | Solaris | 11.3 dan lebih tua |
Pulsa Aman | buah | 8.1R9/8.2R4 dan lebih lama |
PPS | 5.1R9/5.3R4 dan lebih lama | |
QNAP | Semua perangkat penyimpanan | Firmware lebih lama dari 4.1 |
topi merah | RHEL | Versi hingga 7.2 |
Ricoh | MFP, memindai ke sumber daya jaringan | Selain sejumlah model |
RSA | Server Manajer Otentikasi | |
Samba | Samba | Lebih dari 3,5 |
Sonos | Speaker nirkabel | |
Sophos | Sophos UTM | |
Firewall Sophos XG | ||
Peralatan Web Sophos | ||
SUSE | SLES | 11 tahun ke atas |
Sinologi | Manajer Stasiun Disk | Kontrol saja |
Thomson Reuters | Suite Profesional CS | |
Tintri | Tintri OS, Pusat Global Tintri | |
VMware | Pusat V | |
ESXi | Lebih tua dari 6.0 | |
Worldox | DMS GX3 | |
Xerox | MFP, memindai ke sumber daya jaringan | Firmware tanpa Firmware ConnectKey |
Daftar ini diambil dari situs web Microsoft, yang diperbarui secara berkala.
Daftar produk yang menggunakan protokol versi lama cukup banyak; sebelum menonaktifkan SMB v1, Anda harus memikirkan konsekuensinya.
Masih mematikannya
Jika tidak ada program dan perangkat yang menggunakan SMB v1 di jaringan, tentu saja, protokol lama Lebih baik mematikannya. Apalagi jika dimatikan pada SMB server Windows 8/2012 dilakukan menggunakan cmdlet Powershell, kemudian untuk Windows 7/2008 Anda perlu mengedit registri. Ini juga bisa dilakukan dengan Bantuan Powershell:
Set–ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Ketik DWORD –Nilai 0 –Force
Atau yang lainnya dengan cara yang nyaman. Namun, reboot diperlukan untuk menerapkan perubahan.
Untuk menonaktifkan dukungan SMB v1 pada klien, cukup hentikan layanan yang bertanggung jawab atas operasinya dan perbaiki ketergantungan layanan lanmanworkstation. Hal ini dapat dilakukan dengan perintah berikut:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start=dinonaktifkan
Untuk menonaktifkan protokol dengan mudah di seluruh jaringan, akan lebih mudah untuk menggunakan kebijakan grup, khususnya Preferensi Kebijakan Grup. Dengan menggunakannya, Anda dapat dengan mudah bekerja dengan registri.
Membuat elemen registri melalui kebijakan grup.
Untuk menonaktifkan protokol di server, cukup buat parameter berikut:
- nilai: 0.
jalur: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters;
parameter baru: REG_DWORD dengan nama SMB1;
Buat pengaturan registri untuk menonaktifkan SMB v1 di server melalui Kebijakan Grup.
Untuk menonaktifkan dukungan SMB v1 pada klien, Anda perlu mengubah nilai dua parameter.
Pertama, nonaktifkan layanan protokol SMB v1:
- nilai: 4.
jalur: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
parameter: REG_DWORD dengan nama Mulai;
Kami memperbarui salah satu parameter.
Selanjutnya kita akan memperbaiki ketergantungan layanan LanmanWorkstation agar tidak bergantung pada SMB v1:
- nilai: tiga baris – Bowser, MRxSmb20 dan NSI.
jalur: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
parameter: REG_MULTI_SZ dengan nama DependOnService;
Dan kami menggantinya dengan yang lain.
Setelah menerapkan Kebijakan Grup, Anda harus me-restart komputer organisasi Anda. Setelah reboot, SMB v1 tidak dapat digunakan lagi.
Berhasil - jangan sentuh
Anehnya, perintah lama ini tidak selalu berguna - ransomware dan Trojan dapat muncul di infrastruktur yang jarang diperbarui. Namun, penutupan dan pembaruan layanan yang ceroboh dapat melumpuhkan pekerjaan suatu organisasi seperti halnya virus.
Katakan padaku, apakah Anda sudah menonaktifkan SMB versi pertama? Apakah banyak korban jiwa?
Secara default di Windows 10 dan Server Windows Dukungan SMB 1.0 2016 masih diaktifkan. Dalam kebanyakan kasus, ini hanya diperlukan untuk memastikan pengoperasian sistem lama: Windows Server 2003 dan yang lebih lama. Jika tidak ada klien seperti itu yang tersisa di jaringan Anda, di versi Windows yang baru disarankan untuk menonaktifkan protokol SMB 1.x atau menghapus driver sepenuhnya. Dengan demikian, Anda akan terlindungi dari sejumlah besar kerentanan yang menjadi ciri khas protokol usang ini (sebagaimana dibuktikan sekali lagi), dan semua klien, saat mengakses share SMB, akan menggunakan versi protokol SMB yang baru, lebih produktif, dan aman.
Pada salah satu artikel sebelumnya kita telah membahas sisi klien dan server. Berdasarkan tabel, klien versi lama (XP, Server 2003 dan beberapa klien *nix lama) hanya dapat menggunakan protokol SMB 1.0 untuk mengakses sumber daya file. Jika tidak ada klien yang tersisa di jaringan, Anda dapat sepenuhnya menonaktifkan SMB 1.0 di sisi server file (termasuk pengontrol domain AD) dan stasiun klien.
Audit akses ke server file melalui SMB v1.0
Sebelum mematikan dan penghapusan lengkap Driver SMB 1.0. Di sisi server file SMB, disarankan untuk memastikan bahwa tidak ada klien usang di jaringan yang terhubung melalui SMB v1.0. Untuk melakukan ini, mari aktifkan audit akses ke server file menggunakan protokol ini menggunakan Perintah PowerShell:
Set-SmbServerConfiguration –AuditSmb1Access $true
Setelah beberapa waktu, pelajarilah kejadian di Majalah Aplikasi dan Layanan -> Microsoft -> Windows -> SMBServer -> Audi t untuk akses klien menggunakan protokol SMB1.
Nasihat. Daftar kejadian dari log ini dapat ditampilkan dengan perintah:
Dapatkan-WinEvent -LogName Microsoft-Windows-SMBServer/Audit
Dalam contoh kita, log mencatat akses dari klien 192.168.1.10 melalui protokol SMB1. Hal ini dibuktikan dengan event dengan EventID 3000 dari sumber SMBServer dan keterangannya:
Akses SMB1
Alamat Klien: 192.168.1.10
Panduan:
Peristiwa ini menunjukkan bahwa klien mencoba mengakses server menggunakan SMB1. Untuk berhenti mengaudit akses SMB1, gunakan Windows PowerShell cmdlet Set-SmbServerConfiguration.
DI DALAM dalam hal ini, kami akan mengabaikan informasi ini, tetapi kami perlu mempertimbangkan fakta itu di masa mendatang klien ini tidak akan dapat terhubung ke server SMB ini.
Menonaktifkan SMB 1.0 di sisi server
Protokol SMB 1.0 dapat dinonaktifkan pada sisi klien dan server. Di sisi server, protokol SMB 1.0 menyediakan akses ke folder jaringan SMB (berbagi file) melalui jaringan, dan di sisi klien diperlukan untuk terhubung ke sumber daya tersebut.
Dengan menggunakan perintah PowerShell berikut, mari periksa apakah protokol SMB1 diaktifkan di sisi server:
Seperti yang Anda lihat, nilai variabel EnableSMB1Protocol = True.
Jadi, mari nonaktifkan dukungan untuk protokol ini:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Dan menggunakan cmdlet Get-SmbServerConfiguration, kami akan memastikan bahwa protokol SMB1 sekarang dinonaktifkan.
Untuk menghapus sepenuhnya driver yang menangani akses klien SMB v1, jalankan perintah berikut:
Nonaktifkan-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Hapus
Yang tersisa hanyalah me-reboot sistem dan memastikan dukungan untuk protokol SMB1 dinonaktifkan sepenuhnya.
Dapatkan-WindowsOptionalFeature –Online -FeatureName SMB1Protocol
Menonaktifkan SMB 1.0 di sisi klien
Dengan menonaktifkan SMB 1.0 di sisi server, kami memastikan bahwa klien tidak akan dapat menyambungkannya menggunakan protokol ini. Namun, mereka bisa menggunakannya protokol yang ketinggalan jaman untuk mengakses sumber daya pihak ketiga (termasuk eksternal). Untuk menonaktifkan dukungan SMB v1 di sisi klien, jalankan perintah:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= dinonaktifkan
Jadi, dengan menonaktifkan dukungan untuk SMB 1.0 yang sudah ketinggalan zaman di sisi klien dan server, Anda akan sepenuhnya melindungi jaringan Anda dari semua kerentanan yang diketahui dan belum ditemukan di dalamnya. Dan kerentanan di dalamnya ServerMicrosoft Blok Pesan 1.0 ditemukan cukup teratur. Kerentanan signifikan terakhir di SMBv1, yang memungkinkan penyerang mengeksekusi kode arbitrer dari jarak jauh, telah ditambal pada bulan Maret 2017.
Membaca, Cara menonaktifkan protokol keamanan lama di Windows 10 untuk perlindungan PC lebih lanjut dari malware dan ransomware. Di jaringan lokal, file ditransfer, paling sering melalui “ protokol FTP» ( Pemindahan Berkas Protokol), yang tidak selalu nyaman untuk jaringan lokal besar atau perusahaan. Tentu saja, sistem manajemen dokumen yang mahal dapat membantu, yang sangat menyederhanakannya pekerjaan simultan dan transfer file. Namun program ini memerlukan biaya, pengaturan, dan waktu tambahan, oleh karena itu cara termudah adalah menggunakan server file biasa yang berjalan menggunakan protokol SMB (Server Message Block).
Seluruh epidemi yang disebabkan oleh malware "Mau Menangis" Dan "Petya", menyebar dengan kecepatan sangat tinggi di Internet, mereka mengeksploitasi celah dalam protokol kuno "SMBv1". Protokol ini masih terinstal di OS Windows secara default, entah alasan konyol apa. Jika Anda menggunakan Windows 10, 8 atau 7, Anda harus memastikannya "SMBv1" dinonaktifkan pada PC Anda.
Isi:
Apa itu protokol "SMBv1" dan mengapa protokol ini diaktifkan secara default?
"SMBv1"- Ini versi lama Protokol Pesan Server, yang digunakan Windows membagikan file di jaringan lokal. Itu kemudian digantikan oleh "SMBv2" Dan "SMBv3". Versi ini dapat dibiarkan diaktifkan karena masih ada versi lainnya perlindungan terbaik dari peretasan dari versi pertama.
Protokol yang lebih lama "SMBv1" disertakan hanya karena masih ada beberapa aplikasi lama yang tidak digunakan "SMBv2" atau "SMBv3". Pengembang perusahaan "Microsoft" Daftar perangkat lunak tersebut terus diperbarui.
Jika Anda tidak menggunakan salah satu program ini, Anda harus menonaktifkannya "SMBv1" pada PC Anda yang menjalankan OS Windows. Dianjurkan untuk melakukan ini untuk melindungi komputer dari serangan di masa depan dengan kerentanan dalam protokol "SMBv1". Bahkan spesialis "Microsoft" merekomendasikan untuk menonaktifkan protokol ini jika Anda tidak memerlukannya.
Cara menonaktifkan protokol SMBv1 di Windows 8, 8.1 dan 10
Sejak pembaruan "Windows Autodesk" untuk OS Windows 10, protokol "SMBv1" akan dinonaktifkan secara default. Sayangnya, untuk melakukan perubahan pada sistem operasi ini, pengguna harus menimbulkan banyak ketidakpuasan, namun lebih baik terlambat daripada tidak sama sekali.
Pada saat yang sama, dukungan protokol "SMBv1" Anda dapat dengan mudah menonaktifkannya sendiri di Windows 8, 8.1 dan 10. Buka "Panel Kontrol"–> pergi ke "Program"-> klik tautannya.
Anda juga dapat menonaktifkan dukungan protokol "SMBv1" hanya dengan membuka menu "Awal", memasuki kata pencarian "Komponen" di kolom pencarian dan klik .
Gulir ke bawah daftar dan temukan opsinya "Mendukung akses publik ke file SMB 1.0/CIFS". Kosongkan kotak centang untuk menonaktifkan fitur ini dan klik "OKE".
Setelah melakukan perubahan, sistem akan meminta Anda untuk me-restart komputer Anda.
Cara menonaktifkan SMBv1 di Windows 7 menggunakan Windows Registry
Untuk menonaktifkan protokol "SMBv1" di Windows 7, Anda harus mengedit registri Windows.
Peringatan standar: mengubah entri Registri Windows melalui editor standar, dapat menyebabkan pekerjaan yang tidak stabil OS, dan bahkan kegagalan total atau sebagian dari sistem operasi. Cara menggunakan editor ini cukup sederhana, dan selama Anda mengikuti petunjuk ini, Anda tidak akan mengalami masalah apa pun. Dan pastinya menciptakan salinan cadangan registri dan semuanya informasi penting, yang disimpan di disk dengan sistem operasi sebelum melakukan perubahan apa pun.
Untuk memulai, buka editor registri, klik tombol "Awal" dan panggil "regedit" di jendela pencarian, lalu klik klik kanan arahkan mouse ke aplikasi, dan luncurkan editor registri sebagai administrator.
Di Peninjau Suntingan Registri, gunakan yang kiri bilah sisi untuk pindah ke kunci berikutnya:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Maka Anda perlu membuat parameter baru di dalam subbagian "Parameter". Klik kanan pada ikon tersebut "Parameter"–> gerakkan kursor mouse ke atas "Membuat"–> lalu pilih "Nilai DWORD (32 bit)".
Beri nama parameter baru "SMB1".
"KATA" akan dibuat dengan nilai «0» , dan itu sempurna. «0» berarti itu "SMBv1" dengan disabilitas. Anda tidak perlu mengedit nilai ini setelah dibuat.
Sekarang tutup Editor Registri. Anda juga perlu me-restart komputer Anda agar perubahan diterapkan. Jika Anda ingin membatalkan perubahan ini, kembali ke jendela ini dan hapus opsi tersebut "SMB1".
Informasi tambahan
Langkah-langkah di atas berfungsi dengan baik untuk menonaktifkan dukungan protokol "SMBv1" pada satu komputer tertentu, namun ada cara untuk menonaktifkannya di seluruh jaringan. Anda perlu merujuk ke dokumentasi resmi « Microsoft Windows» untuk informasi tambahan tentang kemungkinan seperti itu. Misalnya, dalam dokumentasi Anda akan menemukan solusi tentang cara mengatur perubahan registri di atas menggunakan Kebijakan Keamanan Grup jika Anda perlu menonaktifkan "SMB1" di seluruh jaringan pada PC Windows 7.
Skala besar terbaru serangan virus didistribusikan menggunakan lubang dan kekurangan protokol SMB1 lama. Untuk salah satu alasan yang tidak penting, ruang operasi sistem jendela masih memungkinkannya bekerja secara default. Versi protokol yang lebih lama ini digunakan untuk berbagi file di jaringan lokal. Versi 2 dan 3 yang lebih baru lebih aman dan layak untuk tetap diaktifkan. Jadi, saat Anda menggunakan sistem operasi baru nomor 10 atau yang sebelumnya - 8 atau bahkan yang sudah usang - 7, Anda harus menonaktifkan protokol ini di PC Anda.
Ini hanya disertakan karena masih ada beberapa pengguna yang menggunakan aplikasi lama yang tidak diperbarui pada waktunya untuk bekerja dengan SMB2 atau SMB3. Microsoft telah menyusun daftarnya. Jika perlu, temukan dan lihat di Internet.
Jika Anda menyimpan semua program yang terinstal di komputer Anda dalam kondisi baik (diperbarui tepat waktu), kemungkinan besar Anda perlu menonaktifkan protokol ini. Ini akan meningkatkan keamanan sistem operasi dan data rahasia Anda selangkah lebih maju. Omong-omong, bahkan spesialis dari perusahaan itu sendiri merekomendasikan untuk mematikannya, jika perlu.
Apakah Anda siap untuk melakukan perubahan? Kalau begitu mari kita lanjutkan.
UKM1
Buka Control Panel, buka “Program” dan pilih “Aktifkan/nonaktifkan fitur Windows”.
Dalam daftar, temukan opsi “Dukungan untuk berbagi file SMB 1.0/CIFS”, hapus centang dan klik “OK”.
Nyalakan ulang sistem operasi, setelah menyimpan semua file yang Anda edit sebelumnya, seperti dokumen, dll.
UNTUK JENDELA 7
Di sinilah pengeditan berguna. registri sistem. Dia adalah alat yang ampuh sistem dan jika data yang dimasukkan salah, hal ini dapat menyebabkan pengoperasian OS tidak stabil. Gunakan dengan hati-hati dan pastikan untuk membuat cadangan untuk rollback sebelum melakukannya.
Buka editor dengan menekan kombinasi Menangkan kunci+ R pada keyboard Anda dan ketik "regedit" di kolom input. Selanjutnya ikuti jalur berikut:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
buat 32-bit baru Parameter DWORD dan beri nama “SMB1” dengan nilai “0”. Nyalakan ulang sistem Anda.
Perhatian! Metode ini berfungsi untuk menonaktifkan protokol hanya pada satu PC, tetapi tidak pada seluruh jaringan. Lihat dokumentasi resmi Microsoft untuk informasi yang Anda minati.
Di kotak dialogProperti Registri Barupilih yang berikut ini:
- Tindakan:Membuat
- Semak-semak: HKEY_LOCAL_MACHINE
- Jalur ke bagian:SYSTEM\CurrentControlSet\Services\Lanman Server\Parameters
- Nama parameter:UKM1
- Jenis nilai:REG_DWORD.
- Arti: 0
Ini akan menonaktifkan komponen server SMB versi 1. Kebijakan grup ini harus diterapkan ke semua stasiun kerja, server, dan pengontrol domain yang diperlukan di domain.
Catatan. filter WMI juga dapat dikonfigurasi untuk mengecualikan yang tidak didukung sistem operasi atau pengecualian tertentu seperti Windows XP.
Perhatian!Berhati-hatilah saat melakukan perubahan pada pengontrol pada sistem lama seperti Windows XP atau Linux yang lebih baru dan sistem pihak ketiga(yang tidak mendukung protokol SMB versi 2 atau SMB versi 3) memerlukan akses ke SYSVOL atau lainnya folder bersama, di mana SMB versi 1 telah dinonaktifkan.
Nonaktifkan klien SMB versi 1 dengan Kebijakan Grup
Untuk menonaktifkan klien SMB versi 1, kunci layanan kunci registri harus diperbarui untuk menonaktifkan MRxSMB10 dari awal, dan kemudian ketergantungan pada MRxSMB10 harus dihapus dari entri untuk LanmanWorkstation sehingga dapat dimulai dengan cara standar tanpa meminta MRxSMB10 pada peluncuran pertama.
Pembaruan ini menggantikan nilai default di dua item registri berikut ini
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\services\mrxsmb10
Parameter: Mulai REG_DWORD: 4 = dinonaktifkan
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\LanmanWorkstation
Parameter: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”
Catatan. Berisi MRxSMB10 secara default, yang saat ini dikecualikan sebagai ketergantungan
Untuk mengonfigurasi menggunakan Kebijakan Grup:
- Membuka Konsol Manajemen kebijakan kelompok . Klik kanan "Objek Kebijakan Grup (GPO)" yang seharusnya berisi item pilihan baru, lalu klik Edit.
- Di pohon konsol di bagian tersebut Konfigurasi komputer perluas folder Pengaturan, lalu perluas folder Pengaturan Windows.
- Klik kanan node Registri, klik Baru, dan pilih Item Registri.
Di kotak dialog Properti Registri Baru pilih yang berikut ini:
- Tindakan: Perbarui
- Semak: HKEY_LOCAL_MACHINE
- Jalur partisi: SYSTEM\CurrentControlSet\services\mrxsmb 10
- Nama parameter: Mulai
- Jenis nilai: REG_DWORD.
- Nilai data: 4
Kemudian hilangkan ketergantungan pada MRxSMB10 yang dinonaktifkan
Di kotak dialog Properti Registri Baru pilih yang berikut ini:
- Tindakan: Ganti
- Semak: HKEY_LOCAL_MACHINE
- Jalur partisi: SYSTEM\CurrentControlSet\Services\Lanman Workstation
- Nama parameter: DependOnService
- Jenis parameter REG_MULTI_SZ
- Nilai data:
- Bowser
- MRxSmb20
Catatan. Ketiga garis ini tidak akan memiliki penanda (lihat di bawah)
Nilai default berisi MRxSMB10 di jumlah besar Versi Windows, jadi menggantinya dengan string multi-nilai akan menghapus MRxSMB10 sebagai ketergantungan untuk LanmanServer dan beralih dari empat nilai default menjadi hanya tiga nilai yang dijelaskan di atas.
Catatan. Saat menggunakan Konsol Manajemen Kebijakan Grup, Anda tidak perlu menggunakan tanda kutip atau koma. Cukup masukkan setiap entri pada baris terpisah seperti di atas
Diperlukan boot ulang:
Setelah kebijakan diterapkan dan pengaturan registri dimasukkan, SMB versi 1 akan dinonaktifkan saat sistem di-boot ulang.
Anotasi
Jika semua pengaturan berada dalam Group Policy Object (GPO) yang sama, maka Group Policy Management akan menampilkan pengaturan di bawah ini.
Pengujian dan verifikasi
Setelah dikonfigurasi, berikan izin pada kebijakan untuk melakukan replikasi dan pembaruan. Karena ini diperlukan untuk pengujian, jalankan gpupdate /force dari baris CMD.EXE dan kemudian telusuri mesin target untuk memastikan bahwa pengaturan registri diterapkan dengan benar. Pastikan SMB versi 2 dan SMB versi 3 berjalan untuk semua sistem di lingkungan.
Perhatian! Jangan lupa untuk me-reboot sistem target.