¿Qué hacer si aún tiene SMBv1 en ejecución en su red?

Navega tus respuestas
4

Estaba investigando el tráfico de la red en nuestra empresa mientras realizaba una auditoría de seguridad y descubrí que todavía tenemos un servidor que ejecuta SMBv1 en la red.

El servidor es un controlador de dominio de Windows 2003 y también se utiliza como servidor de archivos para la empresa. Por lo que sé, se está utilizando SMBv1 para manejar las funciones de inicio de sesión de las máquinas de los usuarios para que puedan acceder al servidor de archivos. Cuando creo una regla de firewall en el servidor para bloquear todo el tráfico SMBv1, se hace que nadie pueda iniciar sesión en el servidor de archivos.

He aconsejado que actualicemos el controlador de dominio y el servidor de archivos a una plataforma más nueva y segura, pero sé que esto no va a suceder por algún tiempo. Mientras tanto, me preguntaba si habría alguna manera de desactivar SMBv1 en el servidor y usar un protocolo más seguro y diferente para manejar las funciones de inicio de sesión. ¿Es esta una opción o simplemente tengo que esperar a que se actualice el hardware?

    
pregunta Jack 06.07.2017 - 23:04
fuente

1 respuesta

5

La solución real

En primer lugar, recomendaría enfáticamente que solo se centre en convencer a los tomadores de decisiones de que es muy irresponsable continuar con el uso de Windows Server 2003 en entornos de producción. La forma más fácil de hacerlo es señalar su responsabilidad y responsabilidad y los riesgos potenciales. Aclare eso y pregúnteles si realmente quieren aceptar esos riesgos, ¡probablemente no! Es probable que simplemente no entiendan los riesgos.

Además, convencerlos con muchas razones diferentes, lo más importante:

  

Microsoft finalizó la compatibilidad con el sistema operativo Windows Server 2003 el 14 de julio de 2015. Después de esa fecha, este producto ya no recibirá: parches de seguridad que ayudan a proteger las PC de virus dañinos, software espía y otro software malicioso.

Además, si no me equivoco, Ransomware como WannaCry y Petya explotaron SMBv1. Obtuvo mucha atención de los medios para subrayar su declaración.

La actualización o la migración deben obtener una prioridad seria y un presupuesto (de tiempo) para solucionar el problema subyacente aquí.

Lo mejor de lo peor

O, "la solución irreal y terrible". Si está seguro de haber intentado todo lo que está a su alcance para convencerlos de por qué es una idea terrible continuar con el uso de Windows Server 2003. Esto va en contra de todos mis principios y me duele decirlo, pero ... haga Lo mejor de lo peor. Creo que podría ser técnicamente capaz de instalar y habilitar SMBv2 o incluso SMBv3, después de lo cual puede deshabilitar SMBv1 (probablemente del lado del servidor y del lado del cliente).

Pero, este es un camino que realmente no quieres ir. Por lo que sé, hay no hay soporte oficial para SMBv2 y v3 en Windows Server 2003 desde su finalización. Pero si maneja de alguna manera (en primer lugar el respeto por sus habilidades técnicas) en segundo lugar, ahora tiene una nueva versión SMB en su lugar y puede desactivar SMBv1, así como bloquear posiblemente el tráfico SMBv1 en el firewall. Probablemente necesite algún tipo de firewall avanzado ya que creo que SMB está utilizando los mismos puertos de red para v1, v2 y v3. Por lo tanto, es probable que el fallo del cortafuegos no te lleve a ningún lado.

Pero, una vez más, es probable que tenga más u otros problemas de los que preocuparse que deshabilitar SMBv1 cuando ejecute Windows Server 2003.

Por último, si el servidor solo se usó como servidor de archivos, tal vez podría buscar alternativas SMB como NFS. Pero eso no es ideal para los servidores (y clientes) de Windows.

    
respondido por el Bob Ortiz 07.07.2017 - 00:34
fuente

Lea otras preguntas en las etiquetas

Seguridad del disco duro externo sin cifrado completo del disco ¿Qué hacer si cree que descubrió una vulnerabilidad de día cero? (estilo de sombrero blanco) [duplicar]