标签:检查和 Set Windows 病毒传播 Server SMBv1 exe 关闭
勒索病毒想必大家都已经非常了解了,这几年让国内外很多企业深受其害,甚至包括台积电这类高科技公司。国内的学校、石油公司也曾是严重受害者。勒索病毒能在企业内部大规模传播,主要的载体就是SMBv1协议。今天我将总结如何关闭SMBv1协议。
首先企业内关闭SMBv1协议,要有一个前提条件,即所有的业务都可以不依赖于SMBv1。而关闭SMBv1只是降低传播,而并不是杜绝勒索病毒。仍然要通过补丁更新、防毒、防火墙、网络协议等立体防范。
当我们域内客户端都升级为win10及以上版本时,除DC保守保留SMBv1外,其他服务器基本上都满足关闭SMBv1协议。接下来时具体的方法:
Windows 10、Windows 8.1、Windows Server 2019、Windows Server 2016 和 Windows 2012 R2 关闭SMBv1的方法:
powershell可以查看是否有开启SMBv1
**Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol**
确认可以关闭,可以用powershell关闭:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
不过需要特别注意,这个方法关闭需要重启Server。慎用。
如果想要关闭,但是又不重启Server,可以用如下powershell指令:
**Set-SmbServerConfiguration -EnableSMB1Protocol $false**
关闭SMBv1后,你可能因为仍然有必要的业务没有替代解决办法,需要重启启用。启用方法:
**Set-SmbServerConfiguration -EnableSMB1Protocol $true**
最优组合:
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol #查询
Set-SmbServerConfiguration -EnableSMB1Protocol $false #禁用
Set-SmbServerConfiguration -EnableSMB1Protocol $true #启用
除用powershell关闭外,还以通过服务器管理工具卸载smb 1.0的方法:
如果你的机器是Windows 7,Windows Server 2008 R2、Windows Vista 和 Windows Server 2008,关闭SMBv1的方法:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
同样,修改注册表值的方式关闭,也需要重启服务器。
查看是否开启SMBv1的方法:
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
以上就是针对SMB Server端关闭SMBv1的方法。
接下我们将介绍关闭SMB Client端SMBv1的方法,即禁止client用SMBv1去连接任意SMB服务器。
CMD查询指令:
sc.exe qc lanmanworkstation
CMD关闭SMBv1命令:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
当你关闭后,可能有未知的影响,需要再次启用时:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
以上无论是关闭,还是重启,都需要重新启动Client。
以上就是分享的方法总结了。
关闭SMBv1仅仅只是降低传播影响,更多的方式还有禁止或者减少移动存储的使用。不论是防火墙、防毒系统,都要及时更新特侦库,并启用安全防护功能。关键网络节点部署IPS防护。用户侧也要有完整且正确的密码策略。对于大型域环境企业,还要保护好域控制器,避免被攻击者控制后,采用组策略的方式来部署勒索病毒。
标签:检查和,Set,Windows,病毒传播,Server,SMBv1,exe,关闭 来源: https://blog.csdn.net/weixin_37813152/article/details/122617504
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。