SMBv1’i devre dışı bırakmak veya kaldırmak bazı bilgisayarlar da veya yazılımlarla uyumluluk sorunlarına neden olabilmektedir. SMBv1’in önemli güvenlik açıkları vardır ve o nedenle disable etmeden önce kesinlikle audit’lerinin açılması ve incelenmesini önerilmektedir.
SMBv2 protokolü Windows Vista ve Windows Server 2008’de ve SMBv3 ise Windows 8 ve Windows Server 2012’de aktif olarak kullanılmaya başlandı.
SMBv1 protoklü disable edildikten sonra suunucu veya istemci restart edilmelidir.
SMBv1 Auditing’i aktif hale getirmek için aşağıdaki powershell komutu kullanılır.
Get-SMBserverConfiguration ile mevcut durum kontrol edilir.
Yukarıda görüldüğü gibi AuditSmb1Access false durumundadır yani aktif değildir.
Auditing’i aktif hale getirmek için aşağıdaki powershell komutu kullanılır.
Set-SmbServerConfiguration -AuditSmb1Access $true
Tekrar kontrol ettiğimizde,
AuditSmb1Access’in true olduğunu görüyoruz.
Artık log’larımızı aşağıdaki gibi görebiliriz.
Microsoft-Windows-SMBServer/Audit
Log Name: Microsoft-Windows-SMBServer/Audit
Source: Microsoft-Windows-SMBServer
Event ID: 3000
Task Category: None
Level: Information
SMBv1 kapatma ile ilgili aşağıdaki link referans alınabilir.
Azure Security - Cyber Security 