Как защититься от Wanna Cry

Как защититься от Wanna Cry

 

Отключить SMBv1 с помощью Powershell

По отчетам антивирусных компаний, wcrypt проникает на компьютеры через порты SMB (Server Message Block).



Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора (для Windows 8 и выше):

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Откройте окно PowerShell в режиме администратора, введите следующую команду и нажмите Enter, чтобы отключить SMB1:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 –Force
Рекомендуется отключить версию SMB версии 1, поскольку она устарела и использует технологию, которой уже почти 30 лет.

Says Microsoft, when you use SMB1, you lose key protections offered by later SMB protocol versions like:

Pre-authentication Integrity (SMB 3.1.1+) – Protects against security downgrade attacks.
Insecure guest auth blocking (SMB 3.0+ on Windows 10+) – Protects against MiTM attacks.
Secure Dialect Negotiation (SMB 3.0, 3.02) – Protects against security downgrade attacks.
Better message signing (SMB 2.02+) – HMAC SHA-256 replaces MD5 as the hashing algorithm in SMB 2.02, SMB 2.1 and AES-CMAC replaces that in SMB 3.0+. Signing performance increases in SMB2 and 3.
Encryption (SMB 3.0+) – Prevents inspection of data on the wire, MiTM attacks. In SMB 3.1.1 encryption performance is even better than signing.

Проверено: Windows 7×64, Windows Server 2012R2

Disable SMB1 using Windows registry

You can also tweak the Windows Registry to disable SMB1.

Run regedit and navigate to the following registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
In the right side, the DWORD SMB1 should not be present or should have a value of 0.

The values for enabling and disabling it are as follows:

  • 0 = Disabled
  • 1 = Enabled

Необходимо установить следующие обновления из патча безопасности MS17-010 не ниже указанных в таблице

 

 

Для старых систем (Windows XP, Windows Server 2003R2) Microsoft выпустил специальные патчи: Обновление для системы безопасности Windows XP SP3 (KB4012598)

УТИЛИТА ДЛЯ ПРОВЕРКИ ПО СЕТИ MS17-010

В связи с массовой эпидемией криптолокера WanaCrypt и его модификаций мы нашли утилиту для массовой проверки по сети smbv1/smbv2 и установленных обновлений для всех версий операционной системы Microsoft Windows.
Проверки проводятся аутентифицированно (для исключения злонамерянного использования) через WMI.
Утилита не требует лицензий и необходимости установки.
Утилита позволяет:
— проверить, включен ли SMBv1 протокол
— проверить, включен ли SMBv2 протокол
— проверить, установлены ли патчи (список патчей загружается из текстового файла)
— внести в проверку отдельные хосты
— внести в проверку список хостов из файлика (в столбик, без разделителя)

По умолчанию, без подгрузки списка KB обновлений — проверяется smbv1/smbv2. Список проверяемых KB обновлений может быть любым.

Скачать утилиту Security Checker

 

Немного теории!!

Различные версии протокола SMB появлялись в следующих версиях Windows:

  • CIFS — Windows NT 4.0
  • SMB 1.0 — Windows 2000
  • SMB 2.0 — Windows Server 2008 и WIndows Vista SP1
  • SMB 2.1 — Windows Server 2008 R2 и Windows 7
  • SMB 3.0 — Windows Server 2012 и Windows 8
  • SMB 3.02 — Windows Server 2012 R2 и Windows 8.1

При сетевом взаимодействии по SMB между клиентом и сервером используется максимальная версия протокола, поддерживаемая одновременно клиентом и сервером.

Сводная таблица о совместимости версии SMB на стороне клиента и сервера выглядит так:

Операционная система Windows 8.1,
Server 2012 R2
Windows 8,
Server 2012
Windows 7,
Server 2008 R2
Windows Vista,
Server 2008
Windows XP, Server 2003 и ниже
Windows 8.1 ,
Server 2012 R2
SMB 3.02 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
Windows 8 ,
Server 2012
SMB 3.0 SMB 3.0 SMB 2.1 SMB 2.0 SMB 1.0
Windows 7,
Server 2008 R2
SMB 2.1 SMB 2.1 SMB 2.1 SMB 2.0 SMB 1.0
Windows Vista,
Server 2008
SMB 2.0 SMB 2.0 SMB 2.0 SMB 2.0 SMB 1.0
Windows XP, 2003 и ниже SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0 SMB 1.0

Так, например, при подключении клиентского компьютера с Windows 7 к файловому серверу с Windows Server 2012 будет использоваться протокол SMB 2.1



Подробнее в статье на WinITpro

Ещё полезные ссылки

Поверка установки MS17-010

Отключение SMB 1.0 в Windows 10 / Server 2016

Microsoft Security Bulletin MS17-010 — Critical

Каталог Центра обновления Майкрософт — находим нужное обновление через поиск справа на странице каталога

Share This Post

One Response to "Как защититься от Wanna Cry"

Post Comment

4 × 4 =