Microsoft Güvenli Olmayan SMBv1’in Kapatılmasını Öneriyor
Özellikle yakın zamanda tüm dünyayı sallayan ve çok ciddi zararlar veren WannaCrypt saldırısından sonra Microsoft BT yöneticileri için Server Message Block V1 kullanımını tespit eden bazı araçlar yayınladı.
Bildiğiniz gibi WannaCrypt saldırıları 30 yıllık çok eski bir teknoloji olan SMB v1 üzerindeki bir güvenlik açığından kaynaklanıyor. Her ne kadar bazı güvenlik üreticileri saldırılarda SMB v2’nin de etkilendiğini söyleseler de Microsoft özellikle SMB v1 üzerinde yoğunlaştığını belirtiyor.
Eğer ağınız içerisinde Windows Server 2008 ve üzeri Windows sunucular varsa SMB v1 özelliğini kapatmak çok da sorun değil çünkü bu sunucular her zaman bir üst versiyon kontrolü yapıyorlar. Ancak bazen istemci bilgisayarları SMB sunucusu gibi davranabiliyorlar, özellikle ortamınızda üretim makineleri ,eski nesil yazıcılar ya da NAS cihazları varsa. Bu noktada SMB v1’i kapatmak her ne kadar güvenlik için gerekliyse de bağımlılıklarınızı kontrol etmezseniz sorun yaşamanız da söz konusu.
Peki SMB v1 kullanımını nasıl tespit edersiniz? Bununla ilgili olarak aşağıdaki yöntemleri önerebilirim.
- Microsoft Message Analyzer aracını kullanarak ağ trafiğinizi inceleyebilir ve SMB v1 filtresi kullanarak hangi sistemlerde SMB v1 olduğunu belirleyebilirsiniz.
- Bir diğer araç olarak PowerShell Desired State Configuration Environment Analyzer (DSCEA) DSCEA çıktıları ayrıca isterseniz HTML ya da Power BI üzerinden de inceleme imkanınız var.