Как обезопасить себя от вирусных атак шифровальщиков и уязвимостей протокола SMB v1

  • від


Сегодня я не стану рассказывать о вирусной активности, проблем кибербезопасности и всего связанного с шифрованием данных WannaCry. Предлагаю к рассмотрению корневое решение вопроса. Все команды будут выполняться в PowerShell

Перед выполнением процедур, следует убедиться, что в сети нет устаревших клиентов, подключающихся по старому SMB1.
Проверку аудита выполняем так:
Set-SmbServerConfiguration –AuditSmb1Access $true

Затем внимательно изучаем журнал событий
Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit
Список событий из данного журнала можно вывести командой:
Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

Итак, чтобы основательно избавиться от SMB и предотвратить проблемы в будущем, приступаем к следующим действиям.

Проверяем через Get-SmbServerConfiguration состояние протокола, если True – продолжаем отключение:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
далее перезагрузив систему, проверяем состояние протокола. При ее успешном выполнении, отобразится состояние False

Также можем полностью удалить драйвер обработки протокола SMB1 командой
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
и перезагрузкой после выполнения, затем убеждаемся в успешном отключении протокола SMB1
Get-WindowsOptionalFeature –Online -FeatureName SMB1Protocol

Избавившись от поддержки SMB1 на стороне сервера, имеет смысл отключить поддержку SMB1 на стороне клиента:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Таким образом мы увеличили защищенность сети, перекрыв уязвимости от выполнения вредоносных действий слоумышленников.