VietNetwork.Vn

Theo mặc định, SMB phiên bản 1.0 được bật trong Windows 10. Vì phiên bản này cần thiết lần cuối trong Windows XP và Windows Server 2003 nên nó khá cũ, các phiên bản SMB mới hơn an toàn hơn và có các tính năng bổ sung. Nếu bạn không còn cần hỗ trợ các phiên bản chia sẻ tệp SMB cũ hơn này, bạn nên tắt phiên bản SMB 1.0 hoặc thậm chí xóa hoàn toàn phiên bản này vì một số lỗ hổng gần đây ảnh hưởng cụ thể đến phiên bản SMB 1.

Windows XP là phiên bản Windows cuối cùng được khách hàng hỗ trợ chỉ sử dụng SMB phiên bản 1, giờ đây nó không còn được hỗ trợ nữa. Microsoft đang lên kế hoạch vận chuyển Windows với SMB 1 bị tắt theo mặc định trong tương lai. Nó hiện được bật theo mặc định vì lý do tương thích với các hệ điều hành cũ hơn này, tuy nhiên, khi chúng ta ở trong một thế giới mà SMB 1 không cần hỗ trợ thì nó sẽ không được sử dụng.

Mới đây vào tháng 3 năm 2017, Microsoft đã vá lỗ hổng thực thi mã từ xa trong SMBv1. Bằng cách vô hiệu hóa SMB v1, các loại lỗ hổng này sẽ không còn là vấn đề đối với bạn.

Khai thác ETERNABLUE SMBv1 đang được tích cực sử dụng để phát tán phần mềm tống tiền WannaCry. Xem tại đây để biết thêm thông tin cụ thể về WannaCry. Ngoài ra, việc khai thác hiện đang được sử dụng trong phần mềm độc hại Petya.

1. Kiểm tra lưu lượng truy cập SMB v1

Trước khi vô hiệu hóa hoặc xóa SMB v1, bạn nên kiểm tra xem mạng của mình có đang sử dụng nó hay không, vì việc tắt nó có thể gây ra sự cố nếu nó thực sự cần thiết.

Chúng tôi có thể kiểm tra lưu lượng SMB v1.0 trong mạng của mình để xem liệu nó có còn được sử dụng hay không bằng cách chạy lệnh ghép ngắn PowerShell sau.

Set-SmbServerConfiguration –AuditSmb1Access $true
Chúng tôi có thể xem nhật ký này bằng cách chạy lệnh ghép ngắn PowerShell sau.

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit
Bạn cũng có thể mở trình xem sự kiện và duyệt đến Ứng dụng và Dịch vụ > Microsoft > Windows > SMBServer > Kiểm tra. Đây là một cách hay để xác định xem SMB 1 có còn được sử dụng trong mạng của bạn hay không trước khi tắt nó.

Trên thực tế, miễn là bạn không có hệ thống Windows XP hoặc Windows Server 2003 hoặc cũ hơn chạy trên mạng của mình, thì điều này sẽ không gây ra bất kỳ sự cố nào vì Windows nên thương lượng SMB phiên bản 2 hoặc 3.

2. Vô hiệu hóa cấu hình máy chủ SMB phiên bản 1.0

SMB có thể bị vô hiệu hóa cả ở phía "máy chủ" và máy khách. Trước tiên, chúng tôi sẽ bắt đầu bằng cách chỉ cho bạn cách tắt SMB phiên bản 1.0 ở phía máy chủ. Trong Windows 10, phía máy chủ sẽ là nếu hệ thống Windows 10 của bạn cung cấp chia sẻ tệp SMB qua mạng, trong khi phía máy khách là hệ thống kết nối với chia sẻ.

Mở PowerShell với quyền quản trị. Nếu chạy lệnh ghép ngắn 'Get-SmbServerConfiguration', chúng ta có thể thấy rằng theo mặc định, EnableSMB1Protocol được đặt thành True, như minh họa bên dưới.


Lưu ý rằng nếu bạn đặt AuditSmb1Access như được hiển thị trước đó thì giá trị này cũng hiển thị trong đầu ra này.

Chúng ta có thể thay đổi điều này bằng lệnh ghép ngắn 'Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force', như minh họa bên dưới.


Chúng tôi thêm -Force vào cuối nếu không chúng tôi sẽ được nhắc xác nhận, điều này cho phép chúng tôi chỉ cần chạy một lệnh mà không cần đầu vào.

Bây giờ nếu chúng ta chạy lại lệnh ghép ngắn 'Get-SmbServerConfiguration', chúng ta có thể thấy rằng EnableSMB1Protocol hiện đang hiển thị là Sai.


3. Xóa SMB v1

Chúng ta có thể tiến thêm một bước và thay vào đó, hãy xóa SMB phiên bản 1 khỏi Windows 10 để ngăn không cho nó phân phát các chia sẻ SMB trên phiên bản 1 bằng lệnh ghép ngắn PowerShell sau.

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Điều này sẽ yêu cầu khởi động lại để hoàn thành. Sau đó, bạn có thể chạy 'Get-WindowsOptionalFeature -Online' và xác nhận rằng SMB1Protocol hiển thị là bị vô hiệu hóa.


Đây là một bước nên làm sau khi bạn đã vô hiệu hóa SMB 1.0 trong một thời gian và chắc chắn rằng không cần thiết. Loại bỏ hoàn toàn nó làm giảm bề mặt tấn công hơn nữa và giải phóng không gian đĩa.

4. Vô hiệu hóa cấu hình máy khách SMB phiên bản 1.0

Bằng cách vô hiệu hóa cấu hình phía máy chủ như được hiển thị ở trên, hệ thống Windows 10 của chúng tôi sẽ không còn cung cấp các chia sẻ SMB v1 nữa. Tuy nhiên, ứng dụng khách SMB vẫn có thể cố gắng kết nối với chia sẻ SMB v1 bên ngoài trên một máy chủ khác, trừ khi chúng tôi cũng vô hiệu hóa ứng dụng khách SMB v1. Điều này được thực hiện bằng cách chạy các lệnh sau trong PowerShell hoặc Command Prompt với quyền quản trị.

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Với các bước này, giờ đây bạn đã thấy cách tắt SMB phiên bản 1.0 trong Windows 10 ở cả phía máy chủ và máy khách bằng Windows PowerShell. Điều này có thể giúp bảo mật hệ thống Windows của bạn vì SMB v1 được coi là một giao thức cũ hơn với nhiều lỗ hổng đã biết đã được phát hiện gần đây.