windows操作系统上主机启用了SMBv1引发的威胁

一、主机启用了SMBv1 引发的威胁：

（1）由于SMBv1数据包处理不当，Microsoft Server Message Block 1.0（SMBv1）中存在多个信息泄漏漏洞。未经身份验证的远程攻击者可以通过特制的SMBv1数据包利用这些漏洞来泄露敏感信息。
（2）由于请求处理不当，Microsoft Server Message Block 1.0（SMBv1）中存在多个拒绝服务漏洞。未经身份验证的远程攻击者可以通过特制的SMB请求利用这些漏洞导致系统停止响应。
（3）由于SMBv1数据包处理不当，Microsoft Server Message Block 1.0（SMBv1）中存在多个远程执行代码漏洞。未经身份验证的远程攻击者可以通过特制的SMBv1数据包利用这些漏洞来执行任意代码。

二、建议处置措施：

关处置措施：关闭SMBv1

方法：
管理员模式运行powershell

（1）检测smb1状态
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

默认配置 = 已启用（未创建注册表项），所以不会返回 SMB1 值

（2）禁用：
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 –Force

（3）启用：
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 1 –Force

如果你觉得本篇文章对你有所帮助的话，麻烦请点击头像右边的关注按钮，谢谢！

技术在交流中进步，知识在分享中传播