Hklm system currentcontrolset services lanmanserver parameters

Отключение smb v1 или как защититься от wannacrypt

Отключение smb v1 или как защититься от wannacrypt

Добрый день уважаемые читатели, в прошлый раз я вам подробно рассказал, как защититься от шифровальщика, если он уже попал к вам на компьютер, сегодня же я хочу рассмотреть вопрос, как не дать ему к вам попасть из вне, мы разберем отключение smb v1 или как защититься от wannacrypt и вируса petya. Уверен, что описанный тут материал окажется для вас весьма полезным и актуальным, так как разновидностей данной заразы, будет еще очень много в будущем.

Что такое протокол SMB v1

Прежде, чем начать перекрывать кислород для вирусов шифровальщиков, я хочу вас познакомить с источником, через который они лезут и называется он протокол Server Message Block (SMB).

Server Message Block – это сетевой протокол, работающий на прикладном уровне модели OSI, для доступа к сетевым ресурсам, принтерам, папкам, для взаимодействия процессов. Наверняка многие из вас знают, такое понятие как UNC пути, вида \servershare, когда вы обращаетесь к сетевой папке или принтеру, так например, сервер печати Windows, расшаривает их.

Ранее SMB протокол работал и NetBIOS прослойкой, где использовал порты UDP 137-138 и TCP 137, 139, но это было до появления 2000-го Windows, где порт поменяли на 445, он так же применяется и для входа компьютеров в домен Active Directory. Самая первая версию данного протокола, имела название "Common Internet File System" (CIFS ), ее придумали еще в далеких 90-х, я тогда еще пешком под стол ходил. Протокол долго не развивался и приобрел вторую версию, лишь в 2006 году с выходом провальной Windows Vista. Windows 8 уже принесла нам SMB 3.0.

Каждая новая версия реализации протокола, привносила новые возможности, и это логично, необходимо было увеличивать скорость передачи данных, так как локальные сети, уже превращались в гигабитные и очень часто стали появляться твердотельные накопители. Новые версии по старинке, поддерживали предыдущие, для обратной совместимости операционных систем и устройств, это и является Ахиллесовой пятой у него, через который лезут wannacrypt и petya.

Ниже вы можете посмотреть, эволюцию протокола SMB v1 с выходом новых операционных систем.

Для чего отключать smb v1

Расскажу небольшую предысторию о появлении вирусов wannacrypt и petya. В начале 2017 года, одна хакерская команда, смогла взломать службу АНБ и похитить у нее данные, о всевозможных лазейках в компьютерных системах, благодаря которым можно получать удаленный доступ к нужному компьютеру и следить за жертвой, получая о ней все данные. Среди этих дыр безопасности, были лазейки для:

  • Vmware ESXI 5 и выше
  • Microsoft Windows XP и выше
  • Linux системы
  • Сетевое оборудование

Хакеры попытались продать все сворованное, но в итоге покупателей не нашли, не долго думая они выложили все это в сеть, тут и понеслось, другие хакеры и группы, быстро все это дело понахватали и создали свои вирусы, их очень много, но вот за май и июнь 2017 года, мир выучил названия двух, petya и wannacry (wannacrypt). Оба они используют старую уязвимость в протоколе smb v1, являющийся частью операционных систем Windos XP, вплоть до Windows 10, но у десятки все лучше, там по умолчанию работает версия SMB 3.1.1, поэтому она пока спит спокойно.

Вот посмотрите как выглядит экран блокировки после вируса petya. У пострадавшего компьютера просят 300 долларов в биткоинах, ни в коем случае не отправляйте деньги, вы ничего не получите, так как изначально данная зараза не включала в себя разблокировку.

А вот как выглядит экран после заражения wannacrypt. Как и в случае с Петей, все данные зашифрованы и уже являются цифровым мусором.

Что нужно чтобы не стать жертвой шифровальщиков

Давайте я приведу небольшой чек лист, который вам поможет сделать вашу систему более защищенной:

  1. Своевременно устанавливайте обновления в системе, так как это основная проблема большинства пораженных компьютеров
  2. Не устанавливайте не проверенный софт
  3. Посещайте только проверенные веб ресурсы
  4. Закройте лишние порты на фаэрволе
  5. Не открывайте электронные письма от неизвестных людей.

Как проверить можно ли заразить ваш компьютер

Как я и писал выше, жертвами становятся те компьютеры у кого работает протокол smb v1, который требует отключения. Ниже я вам предоставлю утилиту, с помощью которой вы сможете проверить удовлетворяет ли ваш или другой компьютер в сети, требованиям по безопасности.

KB обновления защищающие от wannacrypt и Petya

Вот подробный список KB для разных операционных систем Windows:

Читайте также:  Brother dcp 7025 драйвер

Windows Vista и Windows Server 2008

  • KB4012598 – 32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598
  • KB4012598 – 64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598
  • KB4012212 – 32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
  • KB4012215 – 32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215
  • KB4012212 – 64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
  • KB4012215 – 64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows Server 2008 R2

  • KB4012212 – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212
  • KB4012215 – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215
  • KB4012213 – 32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
  • KB4012216 – 32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216
  • KB4012213 – 64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
  • KB4012216 – 64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows Server 2012 R2

  • KB4012214 – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
  • KB4012217 – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012217
  • KB4012213 – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
  • KB4012216 – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216
  • KB4012606 -32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
  • KB4012606 -64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606
  • Windows 10 1511 – KB4013198 – 32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
  • Windows 10 1511 – KB4013198 – 64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
  • Windows 10 1607 – KB4013429 – 32 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429
  • Windows 10 1607 – KB4013429 – 64 бита – http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Windows Server 2016

Теперь зная нужные KB мы легко можем проверить, где не хватает обновлений и включен протокол smb v1. Ниже я вам предоставлю два метода поиска бреши.

  • Утилита SecurityChecker.v2
  • Power shell

Утилита SecurityChecker.v2

Данная утилита может показать, где включен smb v1 и 2.0, а так же проверить компьютер или компьютеры локальной сети на наличие нужного обновления.

В открывшейся программе, вам необходимо нажать кнопку "Add" и добавить компьютер или компьютеры, требующие проверки. Через кнопку KB вы можете подгрузить файл находящийся в корне утилиты с нужными KB для проверки, после чего нажимаете "Check". По результату проверки, вы увидите, стоит ли вам выполнить отключение smb v1 или же нет. На моем примере, вы видите, что и первая и вторая версии включены.

Проверить протокол smb v1 можно и через powershell. Открываем его от имени администратора и вводим такую команду:

Если у вас есть UNC соединения к вашему компьютеру, то вы можете посмотреть их версии командой

Как отключить smb v1

Я вам хочу рассказать о методах деактивирующих протокол SMB старой версии:

  • Через компоненты Windows
  • Через PowerShell
  • Через реестр Windows
  • Через групповую политику
  • Оставить и установить обновления
  • Через команду sc.exe config

Отключаем smb v1 через компоненты системы

Данный метод подойдет для любой не серверной версии Windows, начиная с Wista и заканчивая Windows 10.Вам необходимо открыть панель управления Windows. Нажимаете одновременно Win+R и в открывшемся окне вводите control panel, это такой универсальный метод, отработает в любой винде.

Находим пункт "Программы и компоненты"

Нажимаем "Включение и отключение компонентов Windows" именно тут, мы уберем доступ для wannacrypt и petya

Снимаем галку "Поддержка общего доступа к файлам SMB 1.0/CIFS"

Начнется удаление компонента.

Все, теперь потребуется перезагрузка.

Теперь если со старого компьютера, по типу Windpws XP вы попытаетесь попасть на UNC шару, вы увидите ошибку

Если же вам необходимо сохранить его функциональность и быть защищенным, то устанавливаем нужные KB.

Установка KB против wannacrypt и petya

Выше вы найдете список исправлений для протокола smb v1, скачиваете их из центра обновлений.Это будут файлы формата msu.

Производите установку KB.

Вот так выглядит процесс установки KB.

Вам потребуется произвести перезагрузку системы. теперь, когда все обновления у вас установлены вам не страшны вирусы wannacrypt и petya.

Отключаем smb v1 через powershell

Данный метод подойдет для серверной операционной системы Windows Server 2012 R2 и Windos 8.1, выполните вот такую команду:

После ее выполнения smb v1 будет выключен.

Для отключения SMB версии 2 и 3 выполните:

Если захотите включить, то поменяйте $false на $true.

Теперь для Windows 7 и Windows 2008 R2, выполните следующее:

    Чтобы отключить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

Отключаем smb v1 через реестр

Перед тем как править реестр Windows я советую вам сделать резервную копию, так на всякий случай. Открываем реестр, делается это через нажатие кнопок Win+R и ввода команды regedit.

Тут будет параметр SMB1 , по умолчанию там стоит 1, значит включено, меняем его на 0 и закрываем, после перезагрузки все будет выключено. Wannacrypt вас теперь не побеспокоит.

Если нужно отключить SMB2, то находим ветку и меняем там параметр SMB2, так же на ноль.

Отключить через DISM

Откройте командную стоку от имени администратора и введите команду:

Как видите еще один метод защититься от wannacrypt.

Отключение через sc.exe config

Начиная с Windows 7 вы можете выполнить внутри системы вот такие команды через cmd запущенного от имени администратора:

    Чтобы отключить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

Как защититься от wannacrypt в Active Directory

Когда речь идет о домене Active Directory, то у системного администратора сразу это ассоциируется с групповыми политиками. Давайте посмотрим как GPO поможет нам в массовом отключении smb v1. По сути групповая политика это изменение ключей реестра на клиентах. Открываем редактор и создаем новую политику, прилинковываем ее к нужному организационному подразделению и изменяем.

Политика для серверных ОС

Нас будет интересовать объект "Конфигурация компьютера – Настройка – Конфигурация Windows – Реестр", создаем элемент реестра.

  • Действие: Создать
  • Куст: HKEY_LOCAL_MACHINE
  • Путь к разделу: SYSTEMCurrentControlSetServicesLanmanServerParameters
  • Имя параметра: SMB1
  • Тип значения: REG_DWORD.
  • Значение: 0
Читайте также:  Meizu pop м видео

Политика для клиентских ОС

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров. Сначала отключим службу протокола SMB v1:

  • путь: HKLM:SYSTEMCurrentControlSetservicesmrxsmb10;
  • параметр: REG_DWORD c именем Start;
  • значение: 4.

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

  • путь: HKLM:SYSTEMCurrentControlSetServicesLanmanWorkstation;
  • параметр: REG_MULTI_SZ с именем DependOnService;
  • значение: три строки – Bowser, MRxSmb20 и NSI.

Вот как бы ни пытался себя заставить писать уроки по программированию, однако теперь уже сисадминское прошлое, вкупе с отсутствием внятного ответа на вопросы о том, как победить ту или иную проблему, которая может съесть половину дня практически впустую. Хочу написать небольшой справочник с командами, которые, может быть, пригодятся не только мне.

Представьте себе ситуацию, когда приезжаешь к заказчику (да, сейчас я много катаюсь по 1с), настраиваешь общую файловую базу на одном из компьютеров, даешь доступ к ней другим компьютерам и на одном из них под управлением Windows 10 выскакивает ошибка 0x80070035 Не найден сетевой путь.

Вроде бы в такой ошибке нет ничего страшного. На автомате полез в Центр управления сетями и общим доступом, чтобы убедиться в том, что системе разрешено обнаруживать сетевые узлы. Включаем обнаружение, ребутимся и… снова видим эту ошибку.

Проверил доступ с других компьютеров – нет, доступ к этой общей папке есть. Не было только на компьютере по десяткой. На всякий случай на расшаренном компьютере выключил брэнмауэр, обрубил антивирусы на обоих компьютерах, снова выключил и включил сетевое обнаружение на общем компьютере и снова система меня послала.

Начиная злиться, я стал создавать на десятке общие папки и с недовольством видел, что к ним доступ был со всех компьютеров. Я решил уже базу развернуть на другом компьютере в сети, решив, что какой-то глюк с операционкой. Но эта «десятка» упорно отказывалась видеть любой сетевой диск.

Ситуацию осложнял тот факт, что этот компьютер был очень важен и на нем 1с нужно было очень срочно развернуть. Однако ошибка упорно не хотела сдаваться. К счастью, на американском форуме я все же нашел рекомендацию, как исправить эту ошибку. Ее вызывал протокол SMB 2. Самое смешное, что, как потом убедился на своем ноутбуке, ошибку этого протокола вызвало очередное обновление, так как Майкрософт крайне не рекомендует отключать SMB всех версий (1,2 и 3) и использовать «только как временную меру устранения неполадок». Видимо, ровно до тех пор, пока не вылезет новый глюк…

Что ж, зная куда копать, можно отрубить заглючившую службу. Напишем рег файл:

Сохраните этот файл и запустите под Администратором. На всякий случай, перезагрузите компьютер. После изменения в реестре, ошибка должна пропасть. По крайней мере, на этой десятке сетевой диск стал открываться без проблем, равно как и на моем ноутбуке.

Тем не менее, если способ решения проблемы так и не помог, можно исправить в реестре HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParametersAllowInsecureGuestAuth и изменить его значение с 0 на 1. Данный способ должен помочь.

Любая программа не застрахована от ошибок. Жаль, что иногда из-за столь неочевидных мы сильно тратим свое время на устранения, по сути, «детских» проблем. Надеюсь, что данный способ будет актуален для вас и вы спокойно решите ошибку 0x80070035 Не найден сетевой путь, часто выскакивающую в Windows 10.

В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети снова появились советы по отключению этого протокола. Более того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где после борьбы с SMB перестали играть беспроводные колонки Sonos.

Специально для минимизации вероятности «выстрела в ногу» я хочу напомнить об особенностях SMB и подробно рассмотреть, чем грозит непродуманное отключение его старых версий.

SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через servernamesharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.

Помимо удаленного доступа к ресурсам протокол используется еще и для межпроцессорного взаимодействия через «именованные потоки» – named pipes. Обращение к процессу производится по пути .pipe
ame.

Первая версия протокола, также известная как CIFS (Common Internet File System), была создана еще в 1980-х годах, а вот вторая версия появилась только с Windows Vista, в 2006. Третья версия протокола вышла с Windows 8. Параллельно с Microsoft протокол создавался и обновлялся в его открытой имплементации Samba.

В каждой новой версии протокола добавлялись разного рода улучшения, направленные на увеличение быстродействия, безопасности и поддержки новых функций. Но при этом оставалась поддержка старых протоколов для совместимости. Разумеется, в старых версиях было и есть достаточно уязвимостей, одной из которых и пользуется WannaCry.

Версия Операционная система Добавлено, по сравнению с предыдущей версией
SMB 2.0 Windows Vista/2008 Изменилось количество команд протокола со 100+ до 19
Возможность «конвейерной» работы – отправки дополнительных запросов до получения ответа на предыдущий
Поддержка символьных ссылок
Подпись сообщений HMAC SHA256 вместо MD5
Увеличение кэша и блоков записичтения
SMB 2.1 Windows 7/2008R2 Улучшение производительности
Поддержка большего значения MTU
Поддержка службы BranchCache – механизм, кэширующий запросы в глобальную сеть в локальной сети
SMB 3.0 Windows 8/2012 Возможность построения прозрачного отказоустойчивого кластера с распределением нагрузки
Поддержка прямого доступа к памяти (RDMA)
Управление посредством командлетов Powershell
Поддержка VSS
Подпись AES–CMAC
Шифрование AES–CCM
Возможность использовать сетевые папки для хранения виртуальных машин HyperV
Возможность использовать сетевые папки для хранения баз Microsoft SQL
SMB 3.02 Windows 8.1/2012R2 Улучшения безопасности и быстродействия
Автоматическая балансировка в кластере
SMB 3.1.1 Windows 10/2016 Поддержка шифрования AES–GCM
Проверка целостности до аутентификации с использованием хеша SHA512
Обязательные безопасные «переговоры» при работе с клиентами SMB 2.x и выше
Читайте также:  Режим модема йота команда

Посмотреть используемую в текущий момент версию протокола довольно просто, используем для этого командлет Get–SmbConnection:

Вывод командлета при открытых сетевых ресурсах на серверах с разной версией Windows.

Из вывода видно, что клиент, поддерживающий все версии протокола, использует для подключения максимально возможную версию из поддерживаемых сервером. Разумеется, если клиент поддерживает только старую версию протокола, а на сервере она будет отключена – соединение установлено не будет. Включить или выключить поддержку старых версий в современных системах Windows можно при помощи командлета Set–SmbServerConfiguration, а посмотреть состояние так:

Выключаем SMBv1 на сервере с Windows 2012 R2.

Результат при подключении с Windows 2003.

Таким образом, при отключении старого, уязвимого протокола можно лишиться работоспособности сети со старыми клиентами. При этом помимо Windows XP и 2003 SMB v1 используется и в ряде программных и аппаратных решений (например NAS на GNULinux, использующий старую версию samba).

Производитель Продукт Комментарий
Barracuda SSL VPN
Web Security Gateway backups
Canon Сканирование на сетевой ресурс
Cisco WSA/WSAv
WAAS Версии 5.0 и старше
F5 RDP client gateway
Microsoft Exchange Proxy
Forcepoint (Raytheon) «Некоторые продукты»
HPE ArcSight Legacy Unified Connector Старые версии
IBM NetServer Версия V7R2 и старше
QRadar Vulnerability Manager Версии 7.2.x и старше
Lexmark МФУ, сканирование на сетевой ресурс Прошивки Firmware eSF 2.x и eSF 3.x
Linux Kernel Клиент CIFS С 2.5.42 до 3.5.x
McAfee Web Gateway
Microsoft Windows XP/2003 и старше
MYOB Accountants
NetApp ONTAP Версии до 9.1
NetGear ReadyNAS
Oracle Solaris 11.3 и старше
Pulse Secure PCS 8.1R9/8.2R4 и старше
PPS 5.1R9/5.3R4 и старше
QNAP Все устройства хранения Прошивка старше 4.1
RedHat RHEL Версии до 7.2
Ricoh МФУ, сканирование на сетевой ресурс Кроме ряда моделей
RSA Authentication Manager Server
Samba Samba Старше 3.5
Sonos Беспроводные колонки
Sophos Sophos UTM
Sophos XG firewall
Sophos Web Appliance
SUSE SLES 11 и старше
Synology Diskstation Manager Только управление
Thomson Reuters CS Professional Suite
Tintri Tintri OS, Tintri Global Center
VMware Vcenter
ESXi Старше 6.0
Worldox GX3 DMS
Xerox МФУ, сканирование на сетевой ресурс Прошивки без ConnectKey Firmware

Список взят с сайта Microsoft, где он регулярно пополняется.

Перечень продуктов, использующих старую версию протокола, достаточно велик – перед отключением SMB v1 обязательно нужно подумать о последствиях.

Если программ и устройств, использующих SMB v1 в сети нет, то, конечно, старый протокол лучше отключить. При этом если выключение на SMB сервере Windows 8/2012 производится при помощи командлета Powershell, то для Windows 7/2008 понадобится правка реестра. Это можно сделать тоже при помощи Powershell:

Или любым другим удобным способом. При этом для применения изменений понадобится перезагрузка.

Для отключения поддержки SMB v1 на клиенте достаточно остановить отвечающую за его работу службу и поправить зависимости службы lanmanworkstation. Это можно сделать следующими командами:

Для удобства отключения протокола по всей сети удобно использовать групповые политики, в частности Group Policy Preferences. С помощью них можно удобно работать с реестром.

Создание элемента реестра через групповые политики.

Чтобы отключить протокол на сервере, достаточно создать следующий параметр:

новый параметр: REG_DWORD c именем SMB1;

Создание параметра реестра для отключения SMB v1 на сервере через групповые политики.

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров.

Сначала отключим службу протокола SMB v1:

параметр: REG_DWORD c именем Start;

Обновляем один из параметров.

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

параметр: REG_MULTI_SZ с именем DependOnService;

  • значение: три строки – Bowser, MRxSmb20 и NSI.
  • И заменяем другой.

    После применения групповой политики необходимо перезагрузить компьютеры организации. После перезагрузки SMB v1 перестанет использоваться.

    Как ни странно, эта старая заповедь не всегда полезна – в редко обновляемой инфраструктуре могут завестись шифровальщики и трояны. Тем не менее, неаккуратное отключение и обновление служб могут парализовать работу организации не хуже вирусов.

    Расскажите, а вы уже отключили у себя SMB первой версии? Много было жертв?