В этой статье вы найдёте
Что это за протокол smb и для чего он предназначен
SMB — Server Message Block это сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия. Первая версия протокола была выпущена в 1980-х годах. Она также известная как Common Internet File System (CIFS) (Единая файловая система Интернета) и была разработана компаниями IBM, Microsoft, Intel и 3Com; вторая версия (SMB 2.0) была создана компанией Microsoft и впервые появилась в Windows Vista. В настоящее время SMB связан главным образом с операционными системами Microsoft Windows, в которых реализованы «Сети Microsoft Windows» и «Совместного использования файлов и принтеров».
Первоначальному протоколу SMB1 почти 30 лет , и, как и большая часть программного обеспечения, созданного в 80-х, он был разработан для мира, которого больше не существует. Мир без злоумышленников, без огромных наборов важных данных, без почти универсального использования компьютеров. Откровенно говоря, его наивность поражает современными глазами.
Нед Пайл — ветеран Microsoft с 16-летним стажем и главный менеджер программ в группе разработчиков Windows Server, который помогал внедрять такие технологии, как SMB, файловые серверы, служба миграции хранилища, реплика хранилища, DFSR, DFSN, Active Directory и хранилище Azure.
Проблемные вопросы с протоколом smb
Хотя smbv1 это устаревший протокол, который Нед Пайл настоятельно рекомендует удалять или исключать, всё же рекомендуется оставить SMBv2 и SMBv3 включенными. Но может оказаться полезным временно отключить один из них для устранения неполадок.
В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 отключает следующие функции:
- Прозрачное переключение при отказе — клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
- Scale Out — одновременный доступ к общим данным на всех узлах файлового кластера
- Многоканальность — агрегирование пропускной способности сети и отказоустойчивости, если между клиентом и сервером доступно несколько путей.
- SMB Direct — добавляет поддержку сети RDMA для обеспечения высокой производительности с низкой задержкой и низким использованием ЦП.
- Шифрование — обеспечивает сквозное шифрование и защищает от прослушивания в ненадежных сетях.
- Аренда каталогов — сокращает время отклика приложений в филиалах за счет кэширования.
- Оптимизация производительности — оптимизация для небольших операций ввода-вывода с произвольным чтением / записью
В Windows 7 и Windows Server 2008 R2 отключение SMBv2 отключает следующие функции:
- Составление запросов — позволяет отправлять несколько запросов SMBv2 как один сетевой запрос.
- Больше операций чтения и записи — лучшее использование более быстрых сетей
- Кэширование свойств папок и файлов — клиенты хранят локальные копии папок и файлов
- Durable handles — позволяют подключению прозрачно переподключаться к серверу в случае временного отключения
- Улучшенная подпись сообщений — HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования.
- Улучшенная масштабируемость для совместного использования файлов — количество пользователей, общих и открытых файлов на сервере значительно увеличилось
- Поддержка символических ссылок
- Модель аренды клиентской oplock — ограничивает данные, передаваемые между клиентом и сервером, улучшая производительность в сетях с высокой задержкой и увеличивая масштабируемость SMB-сервера.
- Поддержка большого MTU — для полноценного использования 10 Gigabit Ethernet (GbE)
- Повышенная энергоэффективность — клиенты, у которых есть открытые файлы на сервере, уходят в гибернацию или сон
Необходимо отметить, что в Windows Server 2016/2019 и Windows 10 (начиная с build 1709) отключили поддержку сетевого протокола для общего доступа к файлам в сетевых папках Server Message Block 1.0 (SMBv1). Данный протокол в большинстве случаев нужно только для обеспечения работы устаревших систем, например снятых с поддержки устаревших Windows XP, Windows Server 2003 и т.д. Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012.
Атаки вирусов — шифровальщиков
В 2017 году произошла один из самых громких и массовых атак вредоносного ПО по всему миру, а именно активация вируса-шифровальщика wanna cry. Вредонос умеет по TCP сканировать 445 порт (Server Message Block/SMB) и распространяться, как червь, атакуя хосты и зашифровывая файлы, которые на них находятся. После чего он требует перечислить какое-то количество биткойнов за расшифровку.
В связи с этой атакой, всем организациям рекомендовалось убедиться, что на их компьютерах, работающих на Windows установлены последние обновления. Также на них должны быть закрыты порты 139 и 445 для внешнего доступа. Данные порты используются протоколом SMB.
Остановить дальнейшее распространение Ванна край удалось совершенно случайно двадцатидвухлетнему блогеру, известному в интернете как MalwareTech. Анализируя код, он подметил, что программное обеспечение пытается «стучаться» на необычный веб-адрес — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. В свою очередь этот домен ни за кем не числился.
В качестве эксперимента наш герой потратил 10 $ 69 ¢, зарегистрировав на себя указанный веб-адрес. На правах владельца веб-адреса он обрел доступ к аналитическим данным и получил представление о масштабах сетевого вымогательства. Но это открытие оказалось не единственным — вскоре он обнаружил, что после регистрации веб-адреса распространение вредоносной программы остановилось. В сети этого исследователя прозвали «случайным героем».
Как проверить, включен ли у вас на компьютере протокол SMB
Кроме известных способов с помощью командлетов через Powershell или команд через командную строку, есть способ полностью автоматический. Достаточно скачать программу SecurityChecker.
Эта программа может показать, где включен smb v1 и 2.0, а так же проверяет компьютер или компьютеры в локальной сети на наличие нужного обновления для разных операционных систем.
После запуска программы вам необходимо нажать кнопку «Add» и добавить компьютер или компьютеры, которые необходимо проверить. Через кнопку KB вы можете подгрузить файл находящийся в корне утилиты с нужными обновления безопасности для проверки и нажимаем кнопку «Check». По результату проверки, вы увидите, стоит ли вам выполнить отключение smb v1 или же нет. На моем примере, вы видите, что SMB v1 отключен, а SMB v2 работает.
Как отключить протокол SMB в Windows
Через панель управления
- Откройте Панель управления, выберите раздел Программы и компоненты.
- В Панеле управления/Главная необходимо выбрать Windows/Включить или отключить компоненты , далее откроется окно Функции Windows .
- В разделе Windows функции прокрутите вниз список, снимите флажок с поля Поддержки общего доступа к файлам SMB 1.0/CIFS и нажмите кнопку Ок.
4. После применения изменений на странице подтверждение выберите Перезагрузить сейчас или выполните перезагрузку позднее чтобы изменения вступили в силу.
С помощью редактора реестра
- Откройте редактор реестра, для чего нажимаем сочетание клавиш Win+R на клавиатуре и набираем regedit в поле для ввода.
- Проходим по следующему пути: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
- Создаём новый 32-битный параметр DWORD и присвойте ему имя «SMB1» со значением «0». Где параметр «0» это выключено, а «1» чтобы включить протокол.
4. Перезагружаем систему чтобы изменения вступили в силу.
С помощью командной строки
Отключаем SMB v1.
Копируем команду — sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
Вставляем её в командную строку, жмём Enter.
Затем копируем и вставляем вторую команду — sc.exe config mrxsmb10 start= disabled
Отключить SMBv2 или 3.
Копируем команду — sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
Жмём правой кнопкой в командной строке и выбираем Вставить, затем нажимаем Enter.
Затем копируем и вставляем вторую команду — sc.exe config mrxsmb20 start= disabled
