Как сделать удаленный доступ linux

Как сделать удаленный доступ linux

протокол smb v1

Добрый день уважаемые читатели, в прошлый раз я вам подробно рассказал, как защититься от шифровальщика, если он уже попал к вам на компьютер, сегодня же я хочу рассмотреть вопрос, как не дать ему к вам попасть из вне, мы разберем отключение smb v1 или как защититься от wannacrypt и вируса petya. Уверен, что описанный тут материал окажется для вас весьма полезным и актуальным, так как разновидностей данной заразы, будет еще очень много в будущем.

Что такое протокол SMB v1

Прежде, чем начать перекрывать кислород для вирусов шифровальщиков, я хочу вас познакомить с источником, через который они лезут и называется он протокол Server Message Block (SMB).

Server Message Block - это сетевой протокол, работающий на прикладном уровне модели OSI, для доступа к сетевым ресурсам, принтерам, папкам, для взаимодействия процессов. Наверняка многие из вас знают, такое понятие как UNC пути, вида \server\share, когда вы обращаетесь к сетевой папке или принтеру, так например, сервер печати Windows, расшаривает их.

Ранее SMB протокол работал и NetBIOS прослойкой, где использовал порты UDP 137-138 и TCP 137, 139, но это было до появления 2000-го Windows, где порт поменяли на 445, он так же применяется и для входа компьютеров в домен Active Directory. Самая первая версию данного протокола, имела название "Common Internet File System" (CIFS ), ее придумали еще в далеких 90-х, я тогда еще пешком под стол ходил. Протокол долго не развивался и приобрел вторую версию, лишь в 2006 году с выходом провальной Windows Vista. Windows 8 уже принесла нам SMB 3.0.

Каждая новая версия реализации протокола, привносила новые возможности, и это логично, необходимо было увеличивать скорость передачи данных, так как локальные сети, уже превращались в гигабитные и очень часто стали появляться твердотельные накопители. Новые версии по старинке, поддерживали предыдущие, для обратной совместимости операционных систем и устройств, это и является Ахиллесовой пятой у него, через который лезут wannacrypt и petya.

Ниже вы можете посмотреть, эволюцию протокола SMB v1 с выходом новых операционных систем.

описание протокола smb v1

Для чего отключать smb v1

Расскажу небольшую предысторию о появлении вирусов wannacrypt и petya. В начале 2017 года, одна хакерская команда, смогла взломать службу АНБ и похитить у нее данные, о всевозможных лазейках в компьютерных системах, благодаря которым можно получать удаленный доступ к нужному компьютеру и следить за жертвой, получая о ней все данные. Среди этих дыр безопасности, были лазейки для:

Vmware ESXI 5 и выше Microsoft Windows XP и выше Linux системы Сетевое оборудование

Хакеры попытались продать все сворованное, но в итоге покупателей не нашли, не долго думая они выложили все это в сеть, тут и понеслось, другие хакеры и группы, быстро все это дело понахватали и создали свои вирусы, их очень много, но вот за май и июнь 2017 года, мир выучил названия двух, petya и wannacry (wannacrypt). Оба они используют старую уязвимость в протоколе smb v1, являющийся частью операционных систем Windos XP, вплоть до Windows 10, но у десятки все лучше, там по умолчанию работает версия SMB 3.1.1, поэтому она пока спит спокойно.

Вот посмотрите как выглядит экран блокировки после вируса petya. У пострадавшего компьютера просят 300 долларов в биткоинах, ни в коем случае не отправляйте деньги, вы ничего не получите, так как изначально данная зараза не включала в себя разблокировку.

экран блокировки petya

А вот как выглядит экран после заражения wannacrypt. Как и в случае с Петей, все данные зашифрованы и уже являются цифровым мусором.

экран wannacrypt

Что нужно чтобы не стать жертвой шифровальщиков

Давайте я приведу небольшой чек лист, который вам поможет сделать вашу систему более защищенной:

Своевременно устанавливайте обновления в системе, так как это основная проблема большинства пораженных компьютеров Не устанавливайте не проверенный софт Посещайте только проверенные веб ресурсы Закройте лишние порты на фаэрволе Не открывайте электронные письма от неизвестных людей. Как проверить можно ли заразить ваш компьютер

Как я и писал выше, жертвами становятся те компьютеры у кого работает протокол smb v1, который требует отключения. Ниже я вам предоставлю утилиту, с помощью которой вы сможете проверить удовлетворяет ли ваш или другой компьютер в сети, требованиям по безопасности.

KB обновления защищающие от wannacrypt  и Petya

Вот подробный список KB для разных операционных систем Windows:

Windows XP

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Windows Vista и Windows Server 2008

KB4012598 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598 KB4012598 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012598

Windows 7

KB4012212 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212 KB4012215 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215 KB4012212 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212 KB4012215 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows Server 2008 R2

KB4012212 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212 KB4012215 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215

Windows 8.1

KB4012213 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213 KB4012216 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216 KB4012213 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213 KB4012216 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows Server 2012 R2

KB4012214 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214 KB4012217 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012217 KB4012213 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213 KB4012216 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216

Windows 10

KB4012606 -32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606 KB4012606 -64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606 Windows 10 1511 - KB4013198 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198 Windows 10 1511 - KB4013198 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198 Windows 10 1607 - KB4013429 - 32 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429 Windows 10 1607 - KB4013429 - 64 бита - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Windows Server 2016

KB4013429 - http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429

Теперь зная нужные KB мы легко можем проверить, где не хватает обновлений и включен протокол smb v1. Ниже я вам предоставлю два метода поиска бреши.

Утилита SecurityChecker.v2 Power shell Утилита SecurityChecker.v2

Данная утилита может показать, где включен smb v1 и 2.0, а так же проверить компьютер или компьютеры локальной сети на наличие нужного обновления.

Скачать SecurityChecker.v2

В открывшейся программе, вам необходимо нажать кнопку "Add" и добавить компьютер или компьютеры, требующие проверки. Через кнопку KB вы можете подгрузить файл находящийся в корне утилиты с нужными KB для проверки, после чего нажимаете "Check". По результату проверки, вы увидите, стоит ли вам выполнить отключение smb v1 или же нет. На моем примере, вы видите, что и первая и вторая версии включены.

Проверка SecurityChecker.v2

Проверить протокол smb v1 можно и через powershell. Открываем его от имени администратора и вводим такую команду:

get-hotfix -ComputerName имя вашего компьютера -Id нужная kb

powershell проверка smb v1

Если у вас есть UNC соединения к вашему компьютеру, то вы можете посмотреть их версии командой

Get-SmbConnection

Get-SmbConnection

Как отключить smb v1

Я вам хочу рассказать о методах деактивирующих протокол SMB старой версии:

Через компоненты Windows Через PowerShell Через реестр Windows Через групповую политику Оставить и установить обновления Через команду sc.exe config Отключаем smb v1 через компоненты системы

Данный метод подойдет для любой не серверной версии Windows, начиная с Wista и заканчивая Windows 10.Вам необходимо открыть панель управления Windows. Нажимаете одновременно Win+R и в открывшемся окне вводите control panel, это такой универсальный метод, отработает в любой винде.

универсальный метод открыть панель управления

Находим пункт "Программы и компоненты"

программы и компоненты

Нажимаем "Включение и отключение компонентов Windows" именно тут, мы уберем доступ для wannacrypt  и petya

wannacrypt защита

Снимаем галку "Поддержка общего доступа к файлам SMB 1.0/CIFS"

выключаем smb v1 CIFS

Начнется удаление компонента.

как защитить компьютер от вируса petya

Все, теперь потребуется перезагрузка.

удалили smb v1 CIFS

Теперь если со старого компьютера, по типу Windpws XP вы попытаетесь попасть на UNC шару, вы увидите ошибку

сетевое имя более не доступно

Если же вам необходимо сохранить его функциональность и быть защищенным, то устанавливаем нужные KB.

Установка KB против wannacrypt и petya

Выше вы найдете список исправлений для протокола smb v1, скачиваете их из центра обновлений.Это будут файлы формата msu.

скачивание обновлений для защиты от wannacrypt

Производите установку KB.

установка KB4012212

Вот так выглядит процесс установки KB.

процесс установки KB

Вам потребуется произвести перезагрузку системы. теперь, когда все обновления у вас установлены вам не страшны вирусы wannacrypt  и petya.

сообщение о перезагрузке

Отключаем smb v1 через powershell

Данный метод подойдет для серверной операционной системы Windows Server 2012 R2 и Windos 8.1, выполните вот такую команду:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

После ее выполнения smb v1 будет выключен.

powershell выключение smb v1

Для отключения SMB версии 2 и 3 выполните:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Если захотите включить, то поменяйте $false на $true.

Теперь для Windows 7 и Windows 2008 R2, выполните следующее:

Чтобы отключить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Чтобы отключить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Чтобы включить протокол SMB версии 1 на SMB-сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Чтобы включить протоколы SMB версии 2 и 3 на SMB-сервере, выполните следующий командлет:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Отключаем smb v1 через реестр

Перед тем как править реестр Windows я советую вам сделать резервную копию, так на всякий случай. Открываем реестр, делается это через нажатие кнопок Win+R и ввода команды regedit.

открываем реестр Windows

Находим ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Тут будет параметр SMB1 , по умолчанию там стоит 1, значит включено, меняем его на 0 и закрываем, после перезагрузки все будет выключено. Wannacrypt вас теперь не побеспокоит.

отключаем smb v1 через реестр

Если нужно отключить SMB2, то находим ветку и меняем там параметр SMB2, так же на ноль.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Отключить через DISM

Откройте командную стоку от имени администратора и введите команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Как видите еще один метод защититься от wannacrypt.

как защититься от wannacrypt

Отключение через sc.exe config

Начиная с Windows 7 вы можете выполнить внутри системы вот такие команды через cmd запущенного от имени администратора:

Чтобы отключить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Чтобы включить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
sc.exe config mrxsmb10 start= auto

Чтобы отключить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi 
sc.exe config mrxsmb20 start= disabled

Чтобы включить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi 
sc.exe config mrxsmb20 start= auto

sc.exe config

Как защититься от wannacrypt в Active Directory

Когда речь идет о домене Active Directory, то у системного администратора сразу это ассоциируется с групповыми политиками. Давайте посмотрим как GPO поможет нам в массовом отключении smb v1. По сути групповая политика это изменение ключей реестра на клиентах. Открываем редактор и создаем новую политику, прилинковываем ее к нужному организационному подразделению и изменяем.

Политика для серверных ОС

Нас будет интересовать объект "Конфигурация компьютера - Настройка - Конфигурация Windows - Реестр", создаем элемент реестра.

Как защититься от wannacrypt в Active Directory

Действие: Создать Куст: HKEY_LOCAL_MACHINE Путь к разделу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Имя параметра: SMB1 Тип значения: REG_DWORD. Значение: 0

создаем элемент реестра

Политика для клиентских ОС

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров. Сначала отключим службу протокола SMB v1:

путь: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10; параметр: REG_DWORD c именем Start; значение: 4.

отключение SMB на клиенте

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

отключение SMB на клиенте-2

путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation; параметр: REG_MULTI_SZ с именем DependOnService; значение: три строки – Bowser, MRxSmb20 и NSI.

Клиентским компьютерам осталось только перезагрузиться и все будет отключено

Учтите, что выключив smb v1, вы защититесь конечно от wannacrypt  и petya, но будьте осторожны, если у вас в локальной сети остались старые компьютеры, они не смогут связаться с контроллерами домена и не смогут пройти аутентификацию, так как не умеют работать по SMB 2

Популярные Похожие записи: