[Windows Security Issue] Disable SMB v1 in Windows Client.
SMB v1은 더이상 안전하지 않습니다. 왜 안전하지 않는지는 아래 링크들을 참고 하시기 바랍니다. 최근 대형 피해를 준 랜섬웨이도 이와 관련된 헛점이 일부 적용된 상태로, 가급적 SMB v1 항목은 사용 중지를 권장 합니다. 다만 클라이언트 쪽은 내부 사용자 환경을 꼭 점검하시고 적용 하시기 바랍니다. 사용자 환경 파악 없이 일단 적용하시면 Hell of Hell을 경험하실지 모릅니다.
- Pre-authentication Integrity (SMB 3.1.1+). Protects against security downgrade attacks.
- Secure Dialect Negotiation (SMB 3.0, 3.02). Protects against security downgrade attacks.
- Encryption (SMB 3.0+). Prevents inspection of data on the wire, MiTM attacks. In SMB 3.1.1 encryption performance is even better than signing!
- Insecure guest auth blocking (SMB 3.0+ on Windows 10+) . Protects against MiTM attacks.
- Better message signing (SMB 2.02+). HMAC SHA-256 replaces MD5 as the hashing algorithm in SMB 2.02, SMB 2.1 and AES-CMAC replaces that in SMB 3.0+. Signing performance increases in SMB2 and 3.
SMB v1을 제약하는 방법은 크게 3가지로 나뉘게 됩니다.
- Registery Editor를 통한 LanmanServer 항목 수정
- Powershell을 이용한 Set-SmbServerConfiguration 항목 설정
- sc.exe 명령어를 통해 lanmanworkstation 항목 수정
Registery 위치
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
- Registry entry: Start REG_DWORD: 4 = Disabled
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
- Registry entry: DependOnService REG_MULTI_SZ: “Bowser”,”MRxSmb20″,”NSI”
- Group Policy Management Console 메뉴 선택 밑 선택
- 컴퓨터 Configuration 항목 하부에 Preferences -> Windows Settings -> Registry 항목 선택 및 신규 Registry Item 생성 메뉴 선택
새로 만든 Registery 정보에 아래 정보를 입력 해주세요.
- Action: Update
- Hive: HKEY_LOCAL_MACHINE
- Key Path: SYSTEM\CurrentControlSet\services\mrxsmb10
- Value name: Start
- Value type: REG_DWORD
- Value data: 4
MrxSMB10 신규 Registriy 생성 후 아래 정보 입력 해주세요.
- Action: Replace
- Hive: HKEY_LOCAL_MACHINE
- Key Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
- Value name: DependOnService
- Value type REG_MULTI_SZ
- Value data:
- Bowser
- MRxSmb20
- NSI
적용 후, 반드시 시스템을 재부팅해야지만, 적용되는 설정 입니다.
궁금하신 사항은 언제든지 댓글이나 메일로 문의 주시면 조금 늦더라도 답변 드리겠습니다.
