Windows Güvenlik Duvarı ile SMB'yi saldırılara karşı koruyun

SMB protokolü, bilgisayar korsanlarının saldırıları için sömürdüğü zayıf bir nokta olduğunu defalarca kanıtlamıştır. CVE-2020-0796 bunun en son örneğidir. Bilinen güvenlik açıklarını azaltmak için düzeltme ekleri yüklemeye ek olarak, yalnızca ağınızdaki bilgisayarlarda en gerekli SMB iletişimine izin vermelisiniz.

İlgili güvenlik açığı :

Microsoft Sunucu İleti Bloğu 3.1.1 (SMBv3) protokolünün belirli istekleri işleme biçiminde bir uzaktan kod yürütme güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, hedef sunucuda veya istemcide kod yürütebilir.

Bir sunucuya karşı güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırgan, hedeflenen bir SMBv3 sunucusuna özel hazırlanmış bir paket gönderebilir. Bir istemciye karşı güvenlik açığından yararlanmak için, kimliği doğrulanmamış bir saldırganın kötü amaçlı bir SMBv3 sunucusu yapılandırması ve kullanıcıyı bu sunucuya bağlanmaya ikna etmesi gerekir.

Güvenlik güncelleştirmesi, SMBv3 protokolünün bu özel hazırlanmış istekleri işleme biçimini düzelterek bu güvenlik açığını giderir.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

Yakın zamanda keşfedilen uzaktan kod yürütme güvenlik açığı, Windows 10 1903 ve 1909'da kullanılan SMB 3.1.1'i etkiler . Mart toplu güncelleştirmesi ( KB4551762 ) bu sorun için bir düzeltme içermektedir. WSUS ve Windows Update aracılığıyla her zamanki gibi dağıtılır. Çevrimdışı yama için Microsoft'un kataloğundan indirilebilir .

Hizmetlerin durumunu sorgulama 
SMB'deki gelecekteki güvenlik açıklarına daha iyi hazırlanabilmek için, dizin veya yazıcı paylaşmayan bilgisayarlar SMB isteklerine yanıt vermemelidir.

Bununla birlikte, PC güvenliği ihlal edilmiş bir SMB sunucusuna bağlandığında sadece bir PC'ye kötü amaçlı erişimden değil, diğer yönde de bir tehdit vardır. Bu nedenle en basit çözüm LanmanWorkstation ve LanmanServer hizmetlerini devre dışı bırakmak olacaktır . PowerShell'de durumunu kontrol etmek için

Get-Service -Name Lanman*

Ancak bu yaklaşımdaki sorun, bir etki alanındaki makinelerin, bir etki alanı denetleyicisinden (DC) grup ilkeleri almak için iş istasyonu hizmetine gereksinim duymasıdır. Ayrıca, neredeyse tüm şirketler KOBİ istemcisi olmadan erişilemeyecek bir dosya sunucusu veya NAS kullanır.

Bu nedenle, sunucu hizmeti kapalı olsa bile, istemcinin güvenliğini sağlamak gerekir. Bir önlem SMB1'in kurulu olmadığından emin olmaktır. Normalde, hiçbir modern sistem veya uygulama artık bu eski protokolü gerektirmemelidir.

SMB1'i devre dışı bırakma 

Windows'un daha yeni sürümlerinde, SMB1 varsayılan olarak devre dışıdır. Aşağıdaki komutu kullanarak PowerShell'de bunu doğrulayabilirsiniz:

 

Get-WindowsOptionalFeature -online | where FeatureName -like SMB1*

veya gerekirse kaldırmak için

Get-WindowsOptionalFeature -online | where FeatureName -like SMB1* |
Disable-WindowsOptionalFeature -Online

İnternete SMB bağlantılarını engelleme 


Windows etki alanlarında SMB olmadan yapamayacağınız için erişimi kısıtlamak için güvenlik duvarları kullanılmalıdır. Özellikle dışarıdan başlatılırsa, Internet'teki bilgisayarlarla SMB iletişimi genellikle gerekli değildir. Bu nedenle, 445 numaralı bağlantı noktası gelen ve giden trafik için çevre güvenlik duvarlarında kapatılmalıdır.

Dahili saldırıları önlemek için, kaynakları paylaşmayan ve bu hizmetlere erişimi engelleyen makinelerde Windows Defender Güvenlik Duvarını yapılandırın:

  • Netlogon Service (NP-In)
  • File and Printer Sharing (SMB-In)
  • Remote Event Log Management (NP-In)
  • Remote Service Management (NP-In)

Kuralların durumunu kontrol etme 

Tüm profiller için ad alma kuralları Windows 10'da varsayılan olarak devre dışıdır. PowerShell bunu aşağıdakilerle doğrulayabilir:

Get-NetFirewallRule -Direction Inbound |
where {($_.DisplayName -Like "*(NP*" -or $_.DisplayName -Like "*(SMB*") } | 
select DisplayName, Enabled, Profile

Microsoft ayrıca gelen trafik için 445 numaralı bağlantı noktasını engellemek ve yalnızca varsayılan ayarlara güvenmemek için ek bir kural oluşturulmasını önerir . Bilgisayarlar gelen SMB isteklerini yanıtlayacak şekilde bir yazılım paketi yüklenerek varsayılan kurallar yanlışlıkla etkinleştirilebilir.

Microsoft ayrıca gelen trafik için 445 numaralı bağlantı noktasını engellemek ve yalnızca varsayılan ayarlara güvenmemek için ek bir kural oluşturulmasını önerir . Bilgisayarlar gelen SMB isteklerini yanıtlayacak şekilde bir yazılım paketi yüBöyle bir bağlantı noktası kuralı TCP, tüm uzak bilgisayarlar, programlar ve profiller için geçerli olmalıdır. Merkezi olarak yönetilen ortamlarda, grup ilkesi kullanılarak dağıtılabilir.

Windows Server için özel kural 


Windows sunucuları, bağlantı noktası 445 için Windows 10 ile aynı varsayılan kurallara sahiptir . DC'ler veya dosya sunucuları gibi dosya / depolama hizmetleri etkinleştirilirse, en azından Dosya ve Yazıcı Paylaşımı (SMB gelen) kuralı da etkinleştirilir.

Bu durumda, bu kuralı devre dışı bırakabilir ve belirli IP adreslerine erişimi sınırlayan kendi kuralınızı oluşturabilirsiniz. PowerShell ile şu şekilde yapabilirsiniz:

New-NetFirewallRule -Name "AllowSMB" -DisplayName "Allow SMB" -Enabled True  -Profile Domain

-Direction Inbound -Action Allow -RemoteAddress 192.168.0.64

-Protocol TCP -LocalPort 445 -Program System


RemoteAddress için 1.2.3.0-1.2.3.100 formunda bir aralık da belirleyebilirsiniz. Alternatif olarak, bu parametre DNS, DHCP, WINS, DefaultGateway, Internet veya Intranet gibi önceden tanımlanmış sabitleri kabul eder , ancak bunlar belgelenmez. LocalSubnet kendisi için konuşur, bu da birçok durumda sığar

 

Bu gönderi 487 defa okunmuş.
487

3 Comments

John Doe

March 27, 2018 at 8:00 am Reply

Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

John Doe

March 27, 2018 at 8:00 am Reply

Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Yorum Ekle

yorumunuz onaylandıktan sonra eklenecektir. *

İsminiz *
Eposta *