Wannacry - Wyłącznie smb1 windows server 2012


(drdala) #1

Witam
W jaki sposób mogę wyłączyć smb1?
Chcę uchronić się przed wannacry a nie mogę zrobić wszystkich aktualizacji.
Próbuję w ten sposób ale nie wychodzi coś mi
https://support.microsoft.com/pl-pl/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
uruchamiam Windows PowerShell jaki administrator
wpisuję
Get-SmbServerConfiguration
dosatje

wpisuję
Set-SmbServerConfiguration-EnableSMB1Protocol $false
dostaję

wpisuję samo
Set-SmbServerConfiguration
kolejno wpisuję Y i klikam enter
dostaję

niestety nadal smb1 jest true

próbowałem przez regedit ale nawet nie mam tam takiego wpisu smb1 jest tylko smb2

jak patrzę w Remove Roles and Features Wizard wygląda jakbym nie miałwcale smb

Czyli mogę czuć się bezpieczny czy muszę coś robić?
Proszę o pilną pomoc.


(mechanic) #2

Set-SmbServerConfiguration -EnableSMB1Protocol $false (spacja po myślniku powinna być) i wtedy zobacz czy wyskakuje błąd


(arapo) #3

@drdala- SMB1.0 występuje WXP, Vista, Serwer 2003 i 2008, jeżeli nie możesz pobrać przez WUpdate to z linku poniżej pobierz http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
lub http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
lub http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213
lub ręcznie przez Panel sterowania https://avlab.pl/sites/default/files/resize/68images/WannaCry_1-700x368.png
odszukać i odznaczyć >> Obsługa udostępniania plików SMB 1.0


(drdala) #4

Wielkie dzięki:)
Już mogę czuć się bezpieczny?:slight_smile: Przynajmniej przed Wannacry???:slight_smile:


(drdala) #5

Nie muszę już chyba nic robić?


(bachus) #6

Nie, nie możesz. W dużych firmach kilka razy byłem świadkiem ataku ransomware szyfrującego. Były programy antywirusowe na stacjach roboczych, był soft do detekcji anaomalii i odcinania takich stacji roboczych od sieci - ale i tak sporo danych zostało zaszyfrowanych i trzeba było odzyskiwać z backupu.
Jedyna możliwość to backup (migawka min. raz dziennie a najlepiej w czasie dnia pracy też). Backup ma być zabezpieczony.


(eskimosek) #7

Możliwe ze wystarczy zamknąć port TCP:445 i TCP:139 ,na tych portach działa te SMB.W Firewallu systemowym trzeba ustawić access denied ,drop,reject jakiego tam kto firewalla używa. Wtedy nawet jak usluga jest aktywna to porty sa zamknięte i nie może się z niczym łączyć.


(bachus) #8

No to fajny serwer wtedy mamy, który “tylko” nie serwuje plików - ale przynajmniej bezpieczny :wink:


(eskimosek) #9

Te windowsowe wynalazki na serwerze to proszenie sie o klopoty.Lepiej juz jakis serwer ftp,sftp,czy jakis chmurowy skrypt jak owncloud.Windows serwer to dziwne ze taki wynalazek w ogóle istnieje.


(bachus) #10

Dziwnym trafem biznes bez niego nie istnieje.


(drdala) #11

Zainstalowałem 3 brakujące aktualizacje systemu i teraz jak próbuję wyszukać kolejne aktualizacje wyskakuje Code 8024402C o


(prz3m3k84) #12

Obecnie mają albo mieli problemy z serwerami WU. Przed momentem próbowałem sprawdzić, czy są nowe aktualizacje dla Win 10 na 2 kompach i non stop dostawałem 0x8024401c lub 0x80244022. W logach oczywiście błędy typu 503, tak więc jeśli dziś ci nie pójdzie, spróbuj jutro.


(bachus) #13

Jak wspomniał @prz3m3k84 średnio działają serwery aktualizacji Windowsa - może zaatakował je jakiś ransomware, bo nie były zaktualizowane :wink:


(drdala) #14

Takie mam poinstalowane aktualizacje? Czy mam tą poprawkę od microsoftu która blokuje wejście
wannacry?


(drdala) #15

Co zrobić z windowsami XP w firmie do czasu zanim je wymienię?
Jest jakaś aktualizacja ? Xp angielski udało mi się zainstalować aktualizację ale na XP z polskim językiem nie mogę…
Proszę o pomoc


(eskimosek) #16

Mozesz poblokowac porty na ktorych to dziala ta usluga to bedzie 445 i od 129 do 149,wtedy jak ta usluga SMB bedzie dzialac to i tak nie bedzie sie mogla laczyc bo firewall bedzie blokowal do niej dostep.To tak na wszelki wypadek.Zablokowanie portu na ktorym dziala usluga sieciowa jest rownoznaczne z jej wylaczeniem.


(bachus) #17

No to po co mu wtedy ten serwer, jak nie będzie serwował usługi?

"Zablokowanie portu na ktorym dziala usluga sieciowa jest rownoznaczne z jej wylaczeniem."
Nie - wyłączenie usługi jest równoznacze z jej wyłączeniem. Tak samo jak w w systemie z rodziny *nix. Po co się wtedy bawić w FW, jak można zatrzymać usługi/serwisy odpowiedzialne za daną funkcję?


(eskimosek) #18

OMFG serwer a serwer to jest roznica skoro nie korzysta z SMB to po co mu ta usluga dzialajaca w tle.

wyłączenie usługi jest równoznacze z jej wyłączeniem.

Uslugi sieciowe sie charakteryzuja tym ze dzialaja w sieci,a tym zarzadza zapora sieciowa tzw. firewall jesli w firewall odetnie porty na ktorym dziala dana usluga to tak jakby ona nie dzialala.przykladowo postaw sobie jakis lamp w virtualbox i probuj wejsc na strone przy zablokowanym porcie http.


(Radek68) #19

Zainstalować poprawkę, którą wypuścił Microsoft dla systemu Windows XP. Jest też po polsku, sam ją kilka dni temu instalowałem na jednej stacji z XP Pro PL. To że w Internecie większość linkuje do angielskiej wersji (na polskich portalach), to tylko świadczy o linkujących.


(drdala) #20

Niestety nadal to samo na WS2012 nie wyszukuje aktualizacji i ten sam błąd