V nedávné době bylo zjištěno, že SMB (Server Message Block) verze 1 systému Windows se stala zodpovědnou za hlavní bezpečnostní problémy, jako je Wannacry malware (který Microsoft opravil v březnu 2017) nebo novější problém, který hackerům umožňuje využijte výhod prohlížeče Chrome a SMB k odcizení přihlašovacího hesla systému Windows (které Google bude muset brzy napravit, viz zde). Ačkoli jsou tyto nedostatky obvykle vyřešeny, protože protokol SMB verze 1 (existují také verze 2 a 3, které nemají bezpečnostní problémy) je služba, která neslouží žádnému účelu pro většinu lidí, stejně jako v Windows 10 je ve výchozím nastavení povolen, SMB v1 ve Windows 10, 7, 8 a ve verzích Windows Server se vyplatí zcela zakázat nebo zcela odstranit .
Před deaktivací nebo odebráním SMB v1 je vhodné zkontrolovat, zda je naše síť aktivně používá, aby bylo jisté, že jeho vypnutím nebo odstraněním nebudou problémy s fungováním počítače.
Ve Windows 10, 8.1 a 7 to můžete zkontrolovat pomocí Powershell.
Pak vyhledejte Powershell z nabídky Start, otevřete ji a spusťte příkaz v Powershell
Set-SmbServerConfiguration –AuditSmb1Access $ true
Případně přejděte do Prohlížeče událostí, který je vždy přístupný z nabídky Start, poté otevřete Protokoly služeb a aplikací> Microsoft> Windows> SMBServer> Audit a zkontrolujte, zda nedošlo k nějaké aktivitě.
Obecně lze říci, že pokud není počítač připojen k jiným počítačům v síti, kde jsou přítomny počítače se systémem Windows Server 2003 nebo Windows XP, SMB v1 se nepoužívá.
Chcete-li zakázat serverovou službu SMB verze 1.0, můžete vždy otevřít Powershell ve Windows 10, Windows 7 a Windows 8.1 (stiskněte na ni pravým tlačítkem myši a spusťte jej jako správce) a spusťte příkaz:
PowerShell Get-SmbServerConfiguration EnableSMB1Protocol
Pokud je položka EnableSMB1Protocol pravdivá, poznamenejte si v seznamu, který následuje po příkazu.
V takovém případě spusťte příkaz a nastavte jej na false.
Set-SmbServerConfiguration -EnableSMB1Protocol $ false -Force
Chcete-li místo toho odebrat SMB v1, spusťte příkaz v Powershell:
Zakázat-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Odebrat
Ihned po dokončení restartujte počítač.
Pomocí příkazu Get-WindowsOptionalFeature -Online můžete zkontrolovat, zda byla odebrána SMB.
SMB v1 můžete také odebrat z Windows 10, 7 a 8 pomocí nástroje pro přidání a odebrání funkcí Windows.
Poté přejděte na Ovládací panely, poté na Programy a funkce (okno pro odinstalování programu) a poté klikněte levým tlačítkem na Aktivovat deaktivaci funkcí systému Windows .
V obecném seznamu vyhledejte „ Podpora sdílení souborů SMB 1.0 / CIFS “, odeberte výběr a stiskněte OK.
Poté restartujte počítač.
Ačkoli by to nebylo nutné, je také možné odebrat klienta SMB v1 z příkazového řádku.
Poté spusťte příkazový řádek správce (vždy z nabídky Start) a spusťte tyto dva příkazy:
sc.exe config lanmanworkstation depend = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = disabled
Alternativně k tomu je možné zabezpečit Windows před problémy SMB pomocí brány firewall a blokováním příchozího provozu.
Jak je vidět v příručce k blokování portů v systému Windows, otevřete bránu Windows Firewall z nabídky Start a poté z levé strany klikněte na Pravidla příchozího připojení a stiskněte Nové pravidlo vpravo nahoře.
Pravidlo musí být přidáno blokováním portů 137, 138, 139, 445 (napište je na pole dveří, které mají být zablokovány, také všechny děleny čárkou).
