Windows10でSMB1を無効にする理由と方法

システムのセキュリティ上の懸念は決して目新しいものではありませんが、Wannacryptランサムウェアによって引き起こされた混乱は、ネチズンの間で即座の行動を促しました。ランサムウェアは、WindowsオペレーティングシステムのSMBサービスの脆弱性を標的にして伝播します。

SMBまたはサーバーメッセージブロックは、コンピューター間でファイルやプリンターなどを共有するためのネットワークファイル共有プロトコルです。サーバーメッセージブロック(SMB)バージョン1(SMBv1)、SMBバージョン2(SMBv2)、およびSMBバージョン3(SMBv3)の3つのバージョンがあります。マイクロソフトは、セキュリティ上の理由からSMB1を無効にすることをお勧めします。これは、WannaCryptまたはNotPetyaランサムウェアの流行を考慮するとそれほど重要ではありません。

WindowsでSMB1を無効にする

WannaCryptランサムウェアから身を守るには、SMB1を無効にし、Microsoftからリリースされたパッチインストールすることが不可欠です。Windows10 / 8/7でSMB1を無効にするいくつかの方法を見てみましょう。

コントロールパネルからSMB1をオフにします

[コントロールパネル]> [プログラムと機能]> [Windowsの機能をオンまたはオフにする]を開きます

オプションのリストで、1つのオプションはSMB 1.0 / CIFSファイル共有サポートです。関連付けられているチェックボックスをオフにして、[OK]を押します。WindowsでSMB1を無効にする

コンピュータを再起動してください。

Powershellを使用してSMBv1を無効にする

管理者モードでPowerShellウィンドウを開き、次のコマンドを入力してEnterキーを押し、SMB1を無効にします。

Set-ItemProperty -Path "HKLM:\ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 –Force

Powershellスクリプト

何らかの理由でSMBバージョン2およびバージョン3を一時的に無効にする必要がある場合は、次のコマンドを使用します。

Set-ItemProperty -Path "HKLM:\ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 –Force

SMBバージョン1は古く、30年近く前のテクノロジを使用しているため、無効にすることをお勧めします。

Microsoftによると、SMB1を使用すると、次のような後のSMBプロトコルバージョンで提供されるキー保護が失われます。

  1. 事前認証の整合性(SMB 3.1.1 +)–セキュリティダウングレード攻撃から保護します。
  2. 安全でないゲスト認証ブロッキング(Windows10以降ではSMB3.0以降)–MiTM攻撃から保護します。
  3. 安全な方言ネゴシエーション(SMB 3.0、3.02)–セキュリティダウングレード攻撃から保護します。
  4. より優れたメッセージ署名(SMB 2.02 +)– SMB 2.02、SMB 2.1、およびAES-CMACのハッシュアルゴリズムがSMB 3.0以降のハッシュアルゴリズムに取って代わるため、HMACSHA-256がMD5に取って代わります。SMB2および3では署名のパフォーマンスが向上します。
  5. 暗号化(SMB 3.0 +)–ネットワーク上のデータの検査やMiTM攻撃を防ぎます。SMB 3.1.1では、暗号化のパフォーマンスは署名よりも優れています。

後でそれらを有効にしたい場合(SMB1には推奨されません)、コマンドは次のようになります。

SMB1を有効にする場合:

Set-ItemProperty -Path "HKLM:\ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force

SMB2およびSMB3を有効にする場合:

Set-ItemProperty -Path "HKLM:\ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 –Force

Windowsレジストリを使用してSMB1を無効にする

Windowsレジストリを微調整してSMB1を無効にすることもできます。

regeditを実行し、次のレジストリキーに移動します。

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

右側では、DWORD SMB1が存在しないか、値が0である必要があります。

有効または無効にする値は次のとおりです。

  • 0 =無効
  • 1 =有効

SMBサーバーとSMBクライアントでSMBプロトコルを無効にするその他のオプションと方法については、Microsoftにアクセスしてください。

WindowsでSMB1を無効にする