SMB1 là gì? Tại sao bạn nên vô hiệu hóa nó?

SMB (Server Message Block) là một giao thức phân lớp mạng chủ yếu được sử dụng trên Windows để chia sẻ tệp, máy in và giao tiếp giữa các máy tính gắn mạng. Giao thức này chủ yếu được tạo ra bởi IBM / Microsoft và việc triển khai đầu tiên của nó được thực hiện trong DOS / Windows NT 3.1. Sau đó, SMB là một phần của gần như mọi phiên bản Windows, tức là XP, Vista, 7, 8, 10, 11. Giao thức SMB thậm chí còn có mặt trong các phiên bản máy chủ của Windows. Mặc dù, giao thức SMB là bản gốc của Windows nhưng cũng được hỗ trợ bởi Linux (thông qua SAMBA) và macOS.

Cơ chế làm việc của SMB

Ở dạng đơn giản nhất, các máy khách SMB kết nối với máy chủ SMB bằng cổng SMP (cổng 445) để truy cập các chia sẻ dựa trên SMB sau khi xác thực SMB thành công. Sau khi kết nối SMB được thiết lập, có thể thực hiện cộng tác tệp, chia sẻ máy in hoặc bất kỳ hoạt động dựa trên mạng nào khác.

Lịch sử của Giao thức SMB

Giao thức SMB được phát triển vào những năm 1980 bởi một nhóm tại IBM. Để đáp ứng các yêu cầu mạng đang phát triển trong những năm qua, giao thức SMB đã phát triển qua nhiều biến thể, được gọi là phiên bản hoặc phương ngữ. Giao thức này vẫn là một trong những giao thức được sử dụng nhiều nhất để chia sẻ tài nguyên trên mạng LAN hoặc tại nơi làm việc.

Phương ngữ hoặc phiên bản giao thức SMB

Để tương thích với chân trời CNTT luôn thay đổi, giao thức SMB đã trải qua nhiều cải tiến từ việc triển khai giao thức SMB ban đầu. Đáng chú ý nhất là những điều sau:

• SMB 1 được tạo vào năm 1984 để chia sẻ tệp trên DOS.
• CIFS (hay Hệ thống tệp Internet chung) được Microsoft giới thiệu vào năm 1996 với tên gọi phiên bản SMB của Microsoft trong Windows 95.
• SMB 2 được phát hành vào năm 2006 như một phần của Windows Vista và Windows Server 2008.
• SMB 2.1 được giới thiệu vào năm 2010 với Windows Server 2008 R2 và Windows 7.
• SMB 3 được phát hành vào năm 2012 với Windows 8 và Windows Server 2012.
• SMB 3.02 ra mắt lần đầu tiên vào năm 2014 với Windows 8.1 và Windows Server 2012 R2.
• SMB 3.1.1 được giới thiệu vào năm 2015 với Windows 10 và Windows Server 2016.

SMBv1

SMBv1 được IBM phát triển vào những năm 1980 và được Microsoft đổi tên thành CIFS với các tính năng bổ sung vào những năm 1990. Mặc dù vào thời kỳ đó, SMB 1 đã thành công rực rỡ nhưng nó không được phát triển cho thế giới kết nối ngày nay (như với tất cả các ứng dụng phần mềm được phát triển trong thời đại đó), sau hơn 30 năm cuộc cách mạng thông tin đã trôi qua kể từ đó. Microsoft đã giảm giá SMBv1 vào năm 2013 và theo mặc định, nó không còn được cài đặt trên các phiên bản máy chủ Windows và Windows.

Do công nghệ lạc hậu, SMBv1 rất không an toàn. Nó có nhiều lỗ hổng / lỗ hổng khai thác và nhiều lỗ hổng trong số này cho phép thực thi điều khiển từ xa trên máy mục tiêu. Mặc dù đã có cảnh báo từ các chuyên gia an ninh mạng về các lỗ hổng SMB 1, nhưng cuộc tấn công bằng ransomware nổi tiếng WannaCry đã làm rõ ràng rằng cuộc tấn công nhắm mục tiêu vào các lỗ hổng được tìm thấy trong SMBv1.

Do các lỗ hổng này, bạn nên tắt SMB1. Bạn có thể tìm thêm thông tin chi tiết về các lỗ hổng SMB1 trên trang blog Malwarebytes. Người dùng có thể tự mình kiểm tra các lỗ hổng SMB1 (đặc biệt là EternalBlue) bằng cách sử dụng Metasploit.

SMBv2 và SMBv3

SMBv2 và SMBv3 cung cấp các cải tiến sau cho giao thức SMB (trong khi SMB 1 thiếu các khả năng này):

• Xác thực trước Tính toàn vẹn
• Phương ngữ An toàn Thương lượng
• Mã hóa
• Không an toàn khi chặn xác thực khách
• Tốt hơn ký tin nhắn

Một câu hỏi tự nhiên có thể xuất hiện trong tâm trí một số người dùng nếu hệ thống của họ có SMBv2 hoặc 3, nó sẽ không che được các lỗ hổng của SMB 1 trên máy của người dùng? Nhưng câu trả lời là không vì những cải tiến này đối với SMB hoạt động khác nhau và sử dụng một cơ chế khác. Nếu SMBv1 được bật trên máy có SMBv2 và 3, thì điều đó có thể làm cho SMBv2 và 3 dễ bị tấn công vì SMB 1 không thể kiểm soát cuộc tấn công của người ở giữa (MiTM). Kẻ tấn công chỉ cần chặn SMBv2 và 3 về phía mình và chỉ sử dụng SMB 1 để thực thi mã độc hại của mình trên máy mục tiêu.

Ảnh hưởng của việc vô hiệu hóa SMB 1

Trừ khi được yêu cầu về cơ bản (đối với các máy chạy Windows XP hoặc các ứng dụng cũ sử dụng SMB 1), tất cả các chuyên gia an ninh mạng khuyến nghị vô hiệu hóa SMBv1 trên hệ thống cũng như cấp tổ chức. Nếu không có ứng dụng hoặc thiết bị SMBv1 nào trong mạng thì không có gì bị ảnh hưởng nhưng điều đó không thể xảy ra trong tất cả các trường hợp. Mọi tình huống để vô hiệu hóa SMBv1 có thể khác nhau nhưng I.T. quản trị viên, có thể xem xét những điều sau khi tắt SMB 1:

• Giao tiếp chưa được mã hóa hoặc đã ký giữa máy chủ và ứng dụng
• Giao tiếp LM và NTLM
• Tệp chia sẻ thông tin liên lạc giữa các khách hàng cấp thấp (hoặc cao)
• Tệp chia sẻ giao tiếp giữa các hệ điều hành khác nhau (như giao tiếp giữa Linux hoặc Windows)
• Các ứng dụng phần mềm kế thừa và các ứng dụng giao tiếp dựa trên SMB cố định (như Sophos, NetApp, EMC VNX, SonicWalls, vCenter / vSphere, Juniper Pulse Secure SSO, Aruba, v.v.).
• Máy in và Máy chủ in
• Giao tiếp Android với các ứng dụng dựa trên Windows
• Các tệp cơ sở dữ liệu dựa trên MDB (có thể bị hỏng với SMBv2 SMBv3 và SMBv1 là cần thiết cho các tệp này).
• Các ứng dụng sao lưu hoặc đám mây sử dụng SMB 1

Phương pháp vô hiệu hóa SMB 1

Nhiều phương pháp có thể được sử dụng để vô hiệu hóa SMB1 và ​​người dùng có thể sử dụng phương pháp phù hợp nhất với tình huống của mình.

Bị vô hiệu hóa theo mặc định

SMBv1 bị tắt theo mặc định trên Windows 10 Fall Creators Update và các phiên bản mới hơn. SMB 1 bị tắt theo mặc định trên Windows 11. Đối với các phiên bản máy chủ, phiên bản Windows Server 1709 (RS3) trở lên bị tắt SMB1 theo mặc định. Để kiểm tra trạng thái hiện tại của SMB1:

1. Nhấp vào Windows , tìm kiếm PowerShell , nhấp chuột phải trên đó và trong menu phụ, chọn Chạy với tư cách quản trị viên .
2. Bây giờ thực thi sau:

   Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

   

Hãy nhớ rằng Microsoft đã bao gồm tính năng tự động xóa SMB 1 thông qua các bản cập nhật Windows nhưng nếu người dùng bật lại thì giao thức này có thể không bị vô hiệu hóa trong tương lai và khiến máy dễ bị tấn công.

Sử dụng Bảng điều khiển của Windows 10, 8 hoặc 7

1. Nhấp vào Windows , tìm kiếm và mở Bảng điều khiển .
2. Bây giờ hãy chọn Chương trình và mở Bật hoặc tắt các Tính năng của Windows .
3. Sau đó, bỏ chọn Hỗ trợ chia sẻ tệp SMB 1.0 / CIFS và nhấp vào Áp dụng .
4. Bây giờ khởi động lại hệ thống của bạn và SMB 1 sẽ bị vô hiệu hóa trên hệ thống của bạn.

Sử dụng Menu Tính năng Tùy chọn của Windows 11

1. Nhấp chuột phải vào Windows và mở Cài đặt .
2. Bây giờ, trong ngăn bên trái, đi tới Ứng dụng , sau đó trong ngăn bên phải, mở Tính năng tùy chọn .
3. Sau đó, cuộn xuống và trong Cài đặt có Liên quan, nhấp vào Các tính năng khác của Windows .
4. Bây giờ, trong menu được hiển thị, bỏ chọn Hỗ trợ chia sẻ tệp SMB 1.0 / CIFS và nhấp vào Áp dụng .
5. Sau đó, khởi động lại PC của bạn và khi khởi động lại, SMBv1 sẽ bị tắt trên PC.

Sử dụng PowerShell

Hai phương pháp trên có thể đáp ứng yêu cầu của người dùng tối đa, nhưng trên hệ thống máy chủ, quản trị viên có thể phải sử dụng PowerShell (mặc dù, các bước cũng có thể hoạt động tốt trên máy khách).

1. Nhấp vào Windows , tìm kiếm PowerShell , nhấp chuột phải trên đó và chọn Chạy với tư cách quản trị viên .
2. Bây giờ thực thi sau:

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
   
   or
   Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
   
   or
   Set-SmbServerConfiguration -EnableSMB1Protocol $false
   
   or on server
   Remove-WindowsFeature -Name FS-SMB1
   
   or
   Set-SmbServerConfiguration -EnableSMB1Protocol $false

   
3. Sau đó, khởi động lại hệ thống của bạn và khi khởi động lại, SMB 1 của hệ thống sẽ bị tắt.

Sử dụng Trình chỉnh sửa sổ đăng ký của hệ thống

Quản trị viên trên máy chủ không có PowerShell (như Windows Server 2003) có thể vô hiệu hóa SMB 1 bằng cách sử dụng trình chỉnh sửa sổ đăng ký mặc dù các bước cũng hoạt động tốt trên máy khách.

Cảnh báo :

Tiến hành hết sức thận trọng và tự chịu rủi ro vì chỉnh sửa sổ đăng ký của hệ thống là một công việc thành thạo và nếu không được thực hiện đúng cách, bạn có thể làm hỏng hệ thống, dữ liệu hoặc mạng của mình.

1. Nhấp vào Windows, tìm kiếm Regedit , nhấp chuột phải trên đó và trong menu phụ, chọn Chạy với tư cách quản trị viên .
2. Bây giờ điều hướng đến đường dẫn sau:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

   
3. Sau đó, trong ngăn bên phải, nhấp đúp vào SMB1 và đặt giá trị của nó đến 0 . Một số người dùng, chẳng hạn như Windows 7, có thể phải tạo giá trị SMB1 DWORD (32-bit) và đặt giá trị của nó thành 0.

Sử dụng Trình chỉnh sửa chính sách nhóm

Mặc dù các bước trên hoạt động đối với từng máy nhưng để tắt SMB 1 ở cấp tổ chức, quản trị viên có thể sử dụng Trình chỉnh sửa chính sách nhóm.

Tắt Máy chủ SMB 1

1. Khởi chạy Bảng điều khiển quản lý chính sách nhóm và nhấp chuột phải trên GPO nơi các tùy chọn mới sẽ được thêm vào.
2. Sau đó, chọn Chỉnh sửa và đi đến sau đây :

   Computer Configuration>> Preferences>> Windows Settings

3. Bây giờ, trong ngăn bên trái, nhấp chuột phải trên Sổ đăng ký và chọn Mục đăng ký .
4. Sau đó, nhập sau:

   Action: Create
   
   Hive: HKEY_LOCAL_MACHINE
   
   Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
   
   Value name: SMB1
   
   Value type: REG_DWORD
   
   Value data: 0

   
5. Bây giờ áp dụng các thay đổi và khởi động lại hệ thống.

Tắt ứng dụng SMB1

1. Khởi chạy Bảng điều khiển quản lý chính sách nhóm và nhấp chuột phải trên GPO nơi các tùy chọn mới sẽ được thêm vào.
2. Sau đó, chọn Chỉnh sửa và đi đến sau đây :

   Computer Configuration>> Preferences>> Windows Settings

3. Bây giờ, trong ngăn bên trái, nhấp chuột phải vào Sổ đăng ký và chọn Mục đăng ký mới .
4. Sau đó, nhập sau:

   Action: Update
   
   Hive: HKEY_LOCAL_MACHINE
   
   Key Path: SYSTEM\CurrentControlSet\services\mrxsmb10
   
   Value name: Start
   
   Value type: REG_DWORD
   
   Value data: 4

   
5. Bây giờ áp dụng các thay đổi và mở DependOnService Thuộc tính .
6. Sau đó, đặt sau đây và áp dụng các thay đổi:

   Action: Replace
   
   Hive: HKEY_LOCAL_MACHINE
   
   Key Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
   
   Value name: DependOnService
   
   Value type REG_MULTI_SZ
   
   Value data: 
   
   Bowser
   
   MRxSmb20
   
   NSI

   
7. Chế độ xem cuối cùng phải như cũ và sau đó, khởi động lại hệ thống.

Tắt SMBv2 hoặc 3

Một số người dùng, do mức độ đe dọa của SMB 1, có thể quyết định tắt SMBv2 hoặc 3, điều này là không cần thiết tại thời điểm này. Nếu người dùng tắt SMBv2 hoặc 3, họ có thể mất:

• Bộ nhớ đệm cục bộ
• Mạng chia sẻ tệp lớn
• Chuyển đổi dự phòng
• Liên kết tượng trưng
• 10GB ethernet
• Giới hạn băng thông
• Khả năng chịu lỗi đa kênh
• Cải tiến bảo mật và mã hóa được tìm thấy trong 3 thập kỷ qua

Người dùng ràng buộc để sử dụng SMB1

Các tình huống sau có thể buộc người dùng sử dụng SMB 1:

• Người dùng có Máy Windows XP hoặc Windows Server
• Người dùng được yêu cầu sử dụng phần mềm quản lý cũ kỹ yêu cầu quản trị viên hệ thống duyệt qua mạng lân cận.
• Người dùng sử dụng máy in cũ có chương trình cơ sở cũ để “quét để chia sẻ.”

Chỉ sử dụng SMB1 nếu không còn cách nào khác . Nếu một ứng dụng hoặc thiết bị yêu cầu SMBv1, thì tốt nhất bạn nên tìm một giải pháp thay thế cho ứng dụng hoặc thiết bị đó (hiện tại có vẻ tốn kém nhưng sẽ có lợi về lâu dài, chỉ cần hỏi người dùng hoặc tổ chức bị WannaCry).

Vì vậy, đó là nó. Nếu bạn có bất kỳ câu hỏi hoặc đề xuất nào, đừng quên ping cho chúng tôi trong phần bình luận.