Close Menu
Subscribe Login
Güvenlik

Bir veba gibi yayılan WannaCry’dan korunma yolları

HarunBy 4 Mins Read
A projection of cyber code on a hooded man is pictured in this illustration picture taken on May 13, 2017. Capitalizing on spying tools believed to have been developed by the U.S. National Security Agency, hackers staged a cyber assault with a self-spreading malware that has infected tens of thousands of computers in nearly 100 countries. REUTERS/Kacper Pempel/Illustration TPX IMAGES OF THE DAY - RTX35ORT

Windows’un SMB açığını kullanan WannaCry fidye yazılımından etkilenmemek için yapmanız gerekenler.

Geçtiğimiz hafta başlayan WannaCry fidye yazılımı (ransomware) saldırısı, Windows’un sadece eski sürümlerini değil, 1703’e kadar olan Windows 10 sürümlerini de etkiliyor. İşletim sistemine yıllar önce eklediği özellikleri her yeni sürümde kontrol etmeden pakete dahil eden Microsoft, Windows 10 kullanıcılarını da tehlikeye atıyor. Artık tedavülden kalkan SMB Sürüm 1.0’ı devre dışı bırakarak bu açıktan tamamen kurtulabilirsiniz -başka bir kullanılmayan ama Microsoft’un işletim sisteminden çıkarmaya üşendiği hizmette açık bulunana kadar!

SMB Sürüm 1.0’daki Açık

Varsayılan olarak SMB Sürüm 1.0 Windows 10’da da devrede geliyor. Bu sürüm Windows XP ve Server 2003 döneminden bu yana artık gerekli değil. SMB’nin yeni sürümleri hem daha güvenli hem de daha çok özellik sunuyor. Eğer SMB 1.0 kullanan sistemlere dosya paylaşımı yapmıyorsanız bu hizmeti devre dışı bırakabilir, hatta tamamen kaldırabilirsiniz. Zira son zamanlarda saldırılar özellikle SMB 1’i hedef alıyor.

Windowx XP, SMB 1 kullanan son işletim sistemi idi. Microsoft, bu protokol kullanılmadığından dolayı artık yeni işletim sistemlerinde SMB 1’i varsayılan olarak devre dışı bırakılmış şekilde kullanıcılara sunacak. Fakat bu kararın biraz geç verilmiş olduğunu söyleyebiliriz. Bugün halen daha devrede olmasının sebebi ise uyumluluk.

Mart ayında Microsoft, SMBv1’de bulunan ve uzaktan kod çalıştırılmasını mümkün kılan bir açığı yamalamıştı. Yamayı yüklemeyenler için ise SMB v1’i devre dışı bırakmak bu tür saldırılardan korunmak için en iyi çözüm. Özellikle de ETERNALBLUE SMBv1 açığını kullanarak yayılan WannaCry fidye yazılımından etkilenmek istemiyorsanız bu protokolü devre dışı bırakmanızda fayda var.

SMB v1 Trafiğini Denetleyin

SMB v1’i kapatmadan veya silmeden önce ağınızın bu protokolü kullanıp kullanmadığını kontrol etmekte fayda var. Zira şirketiniz eski yazılımlarını güncellemekten aciz ise halen daha bu protokolü kullanan bir sisteme sahip olabilir.

Aşağıdaki PowerShell komutu ile ağdaki SMB v1.0 trafiğini denetleyebilirsiniz:

Set-SmbServerConfiguration –AuditSmb1Access $true

Sonrasında da bu kod ile günlüğü görüntüleyebilirsiniz:

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

Komutları, yönetici olarak çalıştırdığınız bir PowerShell penceresinde kullanmanız gerektiğini belirtelim.

Buna ek olarak Olay Görüntüleyicisi’ni açıp Uygulama ve Hizmet Günlükleri > Microsoft > Windows > SMBServer > Audit yolundan da bu protokolün kullanıp kullanılmadığını denetleyebilirsiniz. Eğer ağınızda Windows XP veya Windows Server 2003 kullanan bilgisayarlar yoksa, SMBv1 kullanılmıyordur. Bu durumda burada herhangi bir rapor olmayacaktır.

SMB Sürüm 1.0 Sunucu Konfigürasyonunu Devre Dışı Bırakın

SMB hem istemci hem de sunucu tarafında devre dışı bırakılabilir. Öncelikle sunucu tarafındaki eski SMB 1.0’ı kapatalım. Windows 10’da eğer SMB üzerinden dosya paylaşımı yapıyorsanız sunucu hizmeti sunuyorsunuz demektir. İstemci tarafı ise paylaştığınız bu dosyalara erişen kullanıcı oluyor.

  1. PowerShell’i Yönetici hakları ile açın.
    • Bunun için Başlat > PowerShell yazıp çıkan sonuca sağ tıklayıp Yönetici olarak çalıştır seçeneğini seçmeniz yeterli.
  2. Normal şartlarda “Get-SmbServerConfiguration” komutunu çalıştırdığınızda EnableSMB1Protocol değerinin karşısında bu protokolün devrede olduğunu belirten True ibaresini göreceksiniz:
  3. Bu durumu “Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force” komutu ile değiştirelim:Burada komutun sonunda Force ibaresini ekliyoruz. Aksi takdirde onaylama uyarısı ile uğraşmak durumundayız. Böylece tek komutla sorunu çözmüş oluyoruz.
  4. Şimdi tekrar “Get-SmbServerConfiguration” komutu ile kontrol edelim SMBv1 durumunu:

Görüldüğü üzere artık SMBv1 devre dışı.

SMB v1’i Silin

Burada bir adım daha ileri gidip SMB V1’i Windows 10’dan tamamen kaldırabiliriz. Bunun için sağ tıklayıp Yönetici olarak çalıştır dediğiniz PowerShell penceresinde aşağıdaki komut setini kullanabilirsiniz:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Bu işlemin tamamlanması için bilgisayarınızı yeniden başlatmanız gerekiyor. Sonrasında “Get-WindowsOptionalFeature -Online” komutu ile SMB1 protokolünün tamamen kaldırılmış olduğunu görebilirsiniz.

SMB 1.0’ı kaldırmak bu yöntemler arasında en mantıklısı diyebiliriz. Zira artık kullanmayan bu özellik hem ileride olabilecek tehlikeleri engelliyor hem de sabit diskinizde boşuna yer kaplamıyor.

SMB Sürüm 1.0 İstemci Konfigürasyonunu Devre Dışı Bırakın

Yukarıda sunucu tarafındaki SMB v1’i devre dışı bırakarak Windows 10’un artık bu protokol üzerinden dosya paylaşımı yapmasının önüne geçmiş olduk. Öte yandan SMB istemcisi, uzak bir bilgisayardaki SMB v1 protokolüne bağlanmaya çalışabilir. Bunun da önüne geçmek için aşağıdaki komutları PowerShell’de veya yönetici hakları ile çalıştırılmış bir komut satırında yürütebiliriz:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Böylelikle Windows 10’da hem sunucu hem de istemci tarafındaki SMB 1.0’ı devre dışı bırakmış olduk. Microsoft’un işletim sisteminden kaldırmadığı bir sonraki eski protokole kadar şimdilik güvendesiniz.

Share.

Related Posts

Leave A Reply