WannaCry SMBv1 GPO ile kapatma / How to disable sbmv1 via GPO

Merhaba,

12.05.17 tarihinde yapılan siber saldırıda öğrendiğimiz üzere WannaCry fidye yazılımı SMBv1 deki güvenlik açığını kullanarak sistemlere erişebiliyor ve uzaktan kod çalıştırarak istediği işlemleri yapabiliyor. Microsoft SMBv1 için için güvenlik güncelleştirmesi yayınlamıştı. Fakat Türkiye'deki kullanıcılara duyuru ancak 3 gün sonra mail ile bildirildi. 

Aşağıdaki linkten gerekli güvenlik paketlerini indirip kurabilirsiniz.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Bunun dışında smbv1 kapatmak için aşağıdaki şekilde bir regedit kaydı girdikten sonra bilgisayarınızı restart etmeniz yeterlidir.

Aşağıdaki şekilde bir  Disable_SMBv1.reg oluşturup çalıştırabilirsiniz.

************************************************************************************************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

"SMB1"=dword:00000000

*************************************************************************************************

GPO ile Active Directory deki clientlarınız da kapatmak için aşağıdaki şekilde bir GPO oluşturup smbv1 i kapatabilirsiniz.

Resim yazısı ekle

Command Promt üzerinden aşağıdaki şekilde smbv1 disable veya enable edebilirsiniz.

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto

Restart sonrası servislerden (Workstation servisi) SMBv1 in gelmediğini görebilrisiniz.

Windows 10  aşağıdaki şekilde de yapabilirsiniz. 

Kontrol etmek için

Get-SmbServerConfiguration

Veya

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Disable etmek için :

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Kaynaklar;

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Ned Pyle outlines several reasons to stop using SMBv1: