SMB v1은 더이상 안전하지 않습니다. 왜 안전하지 않는지는 아래 링크들을 참고 하시기 바랍니다. 최근 대형 피해를 준 랜섬웨이도 이와 관련된 헛점이 일부 적용된 상태로, 가급적 SMB v1 항목은 사용 중지를 권장 드립니다.
- Pre-authentication Integrity (SMB 3.1.1+). Protects against security downgrade attacks.
- Secure Dialect Negotiation (SMB 3.0, 3.02). Protects against security downgrade attacks.
- Encryption (SMB 3.0+). Prevents inspection of data on the wire, MiTM attacks. In SMB 3.1.1 encryption performance is even better than signing!
- Insecure guest auth blocking (SMB 3.0+ on Windows 10+) . Protects against MiTM attacks.
- Better message signing (SMB 2.02+). HMAC SHA-256 replaces MD5 as the hashing algorithm in SMB 2.02, SMB 2.1 and AES-CMAC replaces that in SMB 3.0+. Signing performance increases in SMB2 and 3.
SMB v1을 제약하는 방법은 크게 3가지로 나뉘게 됩니다.
- Registery Editor를 통한 LanmanServer 항목 수정
- Powershell을 이용한 Set-SmbServerConfiguration 항목 설정
- sc.exe 명령어를 통해 lanmanworkstation 항목 수정
위 3가지를 모두 적용하기에는 서버는 별다른 문제가 없지만, 클라이언트는 내부 네트워크 공유 폴더 접근 또는 파일 서버 네트워크 접근 등에 여전히 사용되고 있기 때문에 내부적으로 SMB v1 사용 중지를 서로 협의된게 아니라면, 서버쪽만 설정하시길 권장 합니다.
Registery 위치
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Registry entry: SMB1 REG_DWORD: 0 = Disabled
- GPO 관리자 MMC(Group Policy Management Console)를 열어주세요
- 컴퓨터 Configuration 항목 하부에 Preferences -> Windows Settings -> Registry 항목 선택 및 신규 Registry Item 생성 메뉴 선택
- 아래 값들로 입력
- Action: Create
- Hive: HKEY_LOCAL_MACHINE
- Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Value name: SMB1
- Value type: REG_DWORD
- Value data: 0
위 설정은 다시 말씀드리지만, 서버에서 SMB v1 항목을 제약하는 방법으로 클라이언트는 별도의 글로 정리할 예정 입니다.
궁금하신 사항은 언제든지 댓글이나 메일로 문의 주시면 조금 늦더라도 답변 드리겠습니다.