Embora as preocupações de segurança com os sistemas não sejam novas, a confusão causada pelo ransomware Wannacrypt levou a uma ação imediata entre os internautas. O Ransomware visa as vulnerabilidades do serviço SMB do sistema operacional Windows para se propagar.
SMB ou Bloco de Mensagens do Servidor é um protocolo de compartilhamento de arquivos de rede destinado ao compartilhamento de arquivos, impressoras, etc., entre computadores. Existem três versões - SMB (Server Message Block) versão 1 (SMBv1), SMB versão 2 (SMBv2) e SMB versão 3 (SMBv3). A Microsoft recomenda que você desabilite o SMB1 por motivos de segurança - e não é mais importante fazê-lo em vista da epidemia de ransomware WannaCrypt ou NotPetya.
Desativar o SMB1 no Windows
Para se defender contra o ransomware WannaCrypt, é imperativo que você desativar o SMB1 assim como instalar os patches lançado pela Microsoft. Vamos dar uma olhada em algumas maneiras de desabilitar o SMB1.
Desligue o SMB1 via painel de controle
Abra o Painel de Controle> Programas e Recursos> Liga ou desliga características das janelas.
Na lista de opções, uma opção seria Suporte ao compartilhamento de arquivos SMB 1.0 / CIFS. Desmarque a caixa de seleção associada a ela e pressione OK.
Desativar o SMBv1 usando o Powershell
Abra uma janela do PowerShell no modo de administrador, digite o seguinte comando e pressione Enter para desativar o SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 0 –Force
Recomenda-se desabilitar a versão 1 do SMB, já que ela está desatualizada e usa tecnologia com quase 30 anos de uso.
Diz a Microsoft, quando você usa o SMB1, você perde as principais proteções oferecidas pelas versões posteriores do protocolo SMB como:
- Integridade de pré-autenticação (SMB 3.1.1+) - Protege contra ataques de downgrade de segurança.
- Bloqueio de autenticação de convidado inseguro (SMB 3.0+ no Windows 10+) - Protege contra ataques MiTM.
- Negociação de discagem segura (SMB 3.0, 3.02) - Protege contra ataques de downgrade de segurança.
- Melhor assinatura de mensagens (SMB 2.02+) - O HMAC SHA-256 substitui o MD5 como algoritmo de hashing no SMB 2.02, SMB 2.1 e AES-CMAC substitui o SMB 3.0+. O desempenho da assinatura aumenta em SMB2 e 3.
- Criptografia (SMB 3.0+) - Impede a inspeção de dados no fio, ataques MiTM. No SMB 3.1.1, o desempenho de criptografia é ainda melhor do que assinar.
Caso você deseje ativá-los posteriormente (não recomendado para SMB1), os comandos seriam os seguintes:
Para ativar o SMB1:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB1 -Type DWORD -Value 1 -Force
Para habilitar SMB2 e SMB3:
Set-ItemProperty -Path 'HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters' SMB2 -Type DWORD -Value 1 –Force
Desativar o SMB1 usando o registro do Windows
Você também pode ajustar o Registro do Windows para desativar o SMB1.
Corre regedit e navegue até a seguinte chave de registro:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
No lado direito, o DWORD SMB1 não deve estar presente ou deve ter um valor de 0.
Os valores para ativar e desativar são os seguintes:
- 0 = Desativado
- 1 = ativado
Para obter mais opções e maneiras de desabilitar os protocolos SMB no servidor SMB e no cliente SMB, visite a Microsoft.