Embora as preocupações com a segurança dos sistemas não sejam novidade, a confusão causada pelo ransomware Wannacrypt levou a uma ação imediata entre os internautas. O Ransomware tem como alvo as vulnerabilidades do serviço SMB do sistema operacional Windows para se propagar.
SMB ou Server Message Block é um protocolo de compartilhamento de arquivos de rede destinado ao compartilhamento de arquivos, impressoras, etc., entre computadores. Existem três versões - Server Message Block (SMB) versão 1 (SMBv1), SMB versão 2 (SMBv2) e SMB versão 3 (SMBv3). A Microsoft recomenda que você desative o SMB1 por motivos de segurança - e não é mais importante fazê-lo em vista da epidemia de ransomware WannaCrypt ou NotPetya.
Desativar SMB1 no Windows
Para se defender do ransomware WannaCrypt, é necessário desabilitar o SMB1 e também instalar os patches lançados pela Microsoft. Vamos dar uma olhada em algumas das maneiras de desabilitar o SMB1 no Windows 10/8/7.
Desligue SMB1 através do painel de controle
Abra o Painel de Controle> Programas e Recursos> Ativar ou desativar recursos do Windows.
Na lista de opções, uma opção seria SMB 1.0 / CIFS File Sharing Support . Desmarque a caixa de seleção associada a ele e pressione OK.
Reinicie seu computador.
Desativar SMBv1 usando Powershell
Abra uma janela do PowerShell no modo de administrador, digite o seguinte comando e pressione Enter para desativar o SMB1:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force
Se, por algum motivo, você precisar desativar temporariamente o SMB versão 2 e versão 3, use este comando:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 –Force
Recomenda-se desabilitar o SMB versão 1, pois está desatualizado e usa tecnologia de quase 30 anos.
A Microsoft afirma que, ao usar SMB1, você perde as proteções principais oferecidas por versões posteriores do protocolo SMB, como:
- Integridade de pré-autenticação (SMB 3.1.1+) - Protege contra ataques de downgrade de segurança.
- Bloqueio de autenticação de convidado inseguro (SMB 3.0+ no Windows 10+) - Protege contra ataques MiTM.
- Negociação de dialeto segura (SMB 3.0, 3.02) - protege contra ataques de downgrade de segurança.
- Melhor assinatura de mensagem (SMB 2.02+) - HMAC SHA-256 substitui MD5 como o algoritmo de hash no SMB 2.02, SMB 2.1 e AES-CMAC substitui isso no SMB 3.0+. O desempenho de assinatura aumenta no SMB2 e 3.
- Criptografia (SMB 3.0+) - Impede a inspeção de dados na transmissão, ataques MiTM. No SMB 3.1.1, o desempenho da criptografia é ainda melhor do que a assinatura.
Caso queira habilitá-los posteriormente (não recomendado para SMB1), os comandos seriam os seguintes:
Para habilitar SMB1:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force
Para ativar SMB2 e SMB3:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 –Force
Desativar SMB1 usando o registro do Windows
Você também pode ajustar o registro do Windows para desativar o SMB1.
Execute o regedit e navegue até a seguinte chave de registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
No lado direito, o DWORD SMB1 não deve estar presente ou deve ter o valor 0 .
Os valores para habilitar e desabilitar são os seguintes:
- 0 = Desativado
- 1 = habilitado
Para obter mais opções e maneiras de desativar os protocolos SMB no servidor SMB e no cliente SMB, visite a Microsoft.