Windows’un ağ üzerinden dosya paylaşımı, yazıcı paylaşımı erişimlerini sağlayan Server Message Block – SMB herhalde hiç bu kadar tartışılır bir durumda olmamıştı. Özellikle SMB 1.0’dan sonra daha yeni sürümlerinin çıkması ile saldırganların uzaktan kod çalıştırmasına olanak vererek ataklara maruz kalan SMB 1.0 protokolünü birçok sistem yöneticisi kapatmayı düşündürmüştür. Bu yazımda sizlere SMB 1.0 protokolünü devre dışı bırakmadan önce ağınızda SMB 1.0 kullanan istemcileri tespit edebilmek için nasıl bir Powershell komutunu Domain Controller sunucularında çalıştırarak SMB 1.0 erişimleri için denetimi nasıl açabileceğinizi anlatacağım.
İlk olarak PowerShell’i administrator olarak çalıştırıyoruz ve sonrasında Set-SmbServerConfiguration -AuditSmb1Access $true komutunu yürütüyoruz.
Resim-1
Resim-1’deki ayarı yaptıktan sonra Applications and Services -> Microsoft -> Windows -> SMBServer -> Audit altında SMB 1.0 ile erişen istemciler görüntülenebilir.
Resim-2
Audit logunda SMB 1.0 kullandığı tespit edilen sunucularda Get-SmbServerConfiguration cmdlet çalıştırılarak SMB konfigürasyonu görüntülenebilir.
Resim-3
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force komutu ile daha önce True olan değer False yapılarak SMB 1.0 kullanımı kapatılabilir.
Resim-4
Umarım SMB 1.0 protokolünü devre dışı bırakmak isteyipte nereden başlayacağını bilemeyenler için yararlı bir içerik olmuştur.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: smb 1.0,smb, SMB 1.0 Access Auditing,Windows, Powershell, SMB 1.0 kapama, Domain Controller