Por que e como desabilitar SMB1 no Windows 10

Embora as preocupações com a segurança dos sistemas não sejam novidade, a confusão causada pelo ransomware Wannacrypt levou a uma ação imediata entre os internautas. O Ransomware tem como alvo as vulnerabilidades do serviço SMB do sistema operacional Windows para se propagar.

SMB ou Server Message Block é um protocolo de compartilhamento de arquivos de rede destinado ao compartilhamento de arquivos, impressoras, etc., entre computadores. Existem três versões - Server Message Block (SMB) versão 1 (SMBv1), SMB versão 2 (SMBv2) e SMB versão 3 (SMBv3). A Microsoft recomenda que você desative o SMB1 por motivos de segurança - e não é mais importante fazê-lo em vista da epidemia de ransomware WannaCrypt ou NotPetya.

Desativar SMB1 no Windows

Para se defender do ransomware WannaCrypt, é necessário desabilitar o SMB1 e também instalar os patches lançados pela Microsoft. Vamos dar uma olhada em algumas das maneiras de desabilitar o SMB1 no Windows 10/8/7.

Desligue SMB1 através do painel de controle

Abra o Painel de Controle> Programas e Recursos> Ativar ou desativar recursos do Windows.

Na lista de opções, uma opção seria SMB 1.0 / CIFS File Sharing Support . Desmarque a caixa de seleção associada a ele e pressione OK.Desativar SMB1 no Windows

Reinicie seu computador.

Desativar SMBv1 usando Powershell

Abra uma janela do PowerShell no modo de administrador, digite o seguinte comando e pressione Enter para desativar o SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force 

Powershell Script

Se, por algum motivo, você precisar desativar temporariamente o SMB versão 2 e versão 3, use este comando:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 –Force

Recomenda-se desabilitar o SMB versão 1, pois está desatualizado e usa tecnologia de quase 30 anos.

A Microsoft afirma que, ao usar SMB1, você perde as proteções principais oferecidas por versões posteriores do protocolo SMB, como:

  1. Integridade de pré-autenticação (SMB 3.1.1+) - Protege contra ataques de downgrade de segurança.
  2. Bloqueio de autenticação de convidado inseguro (SMB 3.0+ no Windows 10+) - Protege contra ataques MiTM.
  3. Negociação de dialeto segura (SMB 3.0, 3.02) - protege contra ataques de downgrade de segurança.
  4. Melhor assinatura de mensagem (SMB 2.02+) - HMAC SHA-256 substitui MD5 como o algoritmo de hash no SMB 2.02, SMB 2.1 e AES-CMAC substitui isso no SMB 3.0+. O desempenho de assinatura aumenta no SMB2 e 3.
  5. Criptografia (SMB 3.0+) - Impede a inspeção de dados na transmissão, ataques MiTM. No SMB 3.1.1, o desempenho da criptografia é ainda melhor do que a assinatura.

Caso queira habilitá-los posteriormente (não recomendado para SMB1), os comandos seriam os seguintes:

Para habilitar SMB1:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force

Para ativar SMB2 e SMB3:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 –Force

Desativar SMB1 usando o registro do Windows

Você também pode ajustar o registro do Windows para desativar o SMB1.

Execute o regedit e navegue até a seguinte chave de registro:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

No lado direito, o DWORD SMB1 não deve estar presente ou deve ter o valor 0 .

Os valores para habilitar e desabilitar são os seguintes:

  • 0 = Desativado
  • 1 = habilitado

Para obter mais opções e maneiras de desativar os protocolos SMB no servidor SMB e no cliente SMB, visite a Microsoft.

Desativar SMB1 no Windows