- 19 Haz 2016
- 8,533
- 147
- 63
Windowsun SMB açığını kullanan WannaCry fidye yazılımından etkilenmemek için yapmanız gerekenler.
Geçtiğimiz hafta başlayan WannaCry fidye yazılımı (ransomware) saldırısı, Windowsun sadece eski sürümlerini değil, 1703e kadar olan Windows 10 sürümlerini de etkiliyor. İşletim sistemine yıllar önce eklediği özellikleri her yeni sürümde kontrol etmeden pakete dahil eden Microsoft, Windows 10 kullanıcılarını da tehlikeye atıyor. Artık tedavülden kalkan SMB Sürüm 1.0ı devre dışı bırakarak bu açıktan tamamen kurtulabilirsiniz -başka bir kullanılmayan ama Microsoftun işletim sisteminden çıkarmaya üşendiği hizmette açık bulunana kadar!
Komutlarla uğraşmak istemeyen okurlarımız bu basit rehberle bilgisayarlarını bu saldırıya karşı tamamen koruma altına alabilirler:
SMB Sürüm 1.0daki Açık
Varsayılan olarak SMB Sürüm 1.0 Windows 10da da devrede geliyor. Bu sürüm Windows XP ve Server 2003 döneminden bu yana artık gerekli değil. SMBnin yeni sürümleri hem daha güvenli hem de daha çok özellik sunuyor. Eğer SMB 1.0 kullanan sistemlere dosya paylaşımı yapmıyorsanız bu hizmeti devre dışı bırakabilir, hatta tamamen kaldırabilirsiniz. Zira son zamanlarda saldırılar özellikle SMB 1i hedef alıyor.
Windowx XP, SMB 1 kullanan son işletim sistemi idi. Microsoft, bu protokol kullanılmadığından dolayı artık yeni işletim sistemlerinde SMB 1i varsayılan olarak devre dışı bırakılmış şekilde kullanıcılara sunacak. Fakat bu kararın biraz geç verilmiş olduğunu söyleyebiliriz. Bugün halen daha devrede olmasının sebebi ise uyumluluk.
Mart ayında Microsoft, SMBv1de bulunan ve uzaktan kod çalıştırılmasını mümkün kılan bir açığı yamalamıştı. Yamayı yüklemeyenler için ise SMB v1i devre dışı bırakmak bu tür saldırılardan korunmak için en iyi çözüm. Özellikle de ETERNALBLUE SMBv1 açığını kullanarak yayılan WannaCry fidye yazılımından etkilenmek istemiyorsanız bu protokolü devre dışı bırakmanızda fayda var.
SMB v1 Trafiğini Denetleyin
SMB v1i kapatmadan veya silmeden önce ağınızın bu protokolü kullanıp kullanmadığını kontrol etmekte fayda var. Zira şirketiniz eski yazılımlarını güncellemekten aciz ise halen daha bu protokolü kullanan bir sisteme sahip olabilir.
Aşağıdaki PowerShell komutu ile ağdaki SMB v1.0 trafiğini denetleyebilirsiniz:
Set-SmbServerConfiguration AuditSmb1Access $true
Sonrasında da bu kod ile günlüğü görüntüleyebilirsiniz:
Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit
Komutları, yönetici olarak çalıştırdığınız bir PowerShell penceresinde kullanmanız gerektiğini belirtelim.
Buna ek olarak Olay Görüntüleyicisini açıp Uygulama ve Hizmet Günlükleri > Microsoft > Windows > SMBServer > Audit yolundan da bu protokolün kullanıp kullanılmadığını denetleyebilirsiniz. Eğer ağınızda Windows XP veya Windows Server 2003 kullanan bilgisayarlar yoksa, SMBv1 kullanılmıyordur. Bu durumda burada herhangi bir rapor olmayacaktır.
SMB Sürüm 1.0 Sunucu Konfigürasyonunu Devre Dışı Bırakın
SMB hem istemci hem de sunucu tarafında devre dışı bırakılabilir. Öncelikle sunucu tarafındaki eski SMB 1.0ı kapatalım. Windows 10da eğer SMB üzerinden dosya paylaşımı yapıyorsanız sunucu hizmeti sunuyorsunuz demektir. İstemci tarafı ise paylaştığınız bu dosyalara erişen kullanıcı oluyor.
- PowerShelli Yönetici hakları ile açın.
- Bunun için Başlat > PowerShell yazıp çıkan sonuca sağ tıklayıp Yönetici olarak çalıştır seçeneğini seçmeniz yeterli.
- Normal şartlarda Get-SmbServerConfiguration komutunu çalıştırdığınızda EnableSMB1Protocol değerinin karşısında bu protokolün devrede olduğunu belirten True ibaresini göreceksiniz:
- Bu durumu Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force komutu ile değiştirelim:
Burada komutun sonunda Force ibaresini ekliyoruz. Aksi takdirde onaylama uyarısı ile uğraşmak durumundayız. Böylece tek komutla sorunu çözmüş oluyoruz. - Şimdi tekrar Get-SmbServerConfiguration komutu ile kontrol edelim SMBv1 durumunu:
Görüldüğü üzere artık SMBv1 devre dışı.
SMB v1i Silin
Burada bir adım daha ileri gidip SMB V1i Windows 10dan tamamen kaldırabiliriz. Bunun için sağ tıklayıp Yönetici olarak çalıştır dediğiniz PowerShell penceresinde aşağıdaki komut setini kullanabilirsiniz:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Bu işlemin tamamlanması için bilgisayarınızı yeniden başlatmanız gerekiyor. Sonrasında Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol komutu ile SMB1 protokolünün tamamen kaldırılmış olduğunu görebilirsiniz.
SMB 1.0ı kaldırmak bu yöntemler arasında en mantıklısı diyebiliriz. Zira artık kullanmayan bu özellik hem ileride olabilecek tehlikeleri engelliyor hem de sabit diskinizde boşuna yer kaplamıyor.
SMB Sürüm 1.0 İstemci Konfigürasyonunu Devre Dışı Bırakın
Yukarıda sunucu tarafındaki SMB v1i devre dışı bırakarak Windows 10un artık bu protokol üzerinden dosya paylaşımı yapmasının önüne geçmiş olduk. Öte yandan SMB istemcisi, uzak bir bilgisayardaki SMB v1 protokolüne bağlanmaya çalışabilir. Bunun da önüne geçmek için aşağıdaki komutları PowerShellde veya yönetici hakları ile çalıştırılmış bir komut satırında yürütebiliriz:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Böylelikle Windows 10da hem sunucu hem de istemci tarafındaki SMB 1.0ı devre dışı bırakmış olduk. Microsoftun işletim sisteminden kaldırmadığı bir sonraki eski protokole kadar şimdilik güvendesiniz.
