Windows’un SMB açığını kullanan WannaCry fidye yazılımından etkilenmemek için yapmanız gerekenler.
Geçtiğimiz hafta başlayan WannaCry fidye yazılımı (ransomware) saldırısı, Windows’un sadece eski sürümlerini değil, 1703’e kadar olan Windows 10 sürümlerini de etkiliyor. İşletim sistemine yıllar önce eklediği özellikleri her yeni sürümde kontrol etmeden pakete dahil eden Microsoft, Windows 10 kullanıcılarını da tehlikeye atıyor. Artık tedavülden kalkan SMB Sürüm 1.0’ı devre dışı bırakarak bu açıktan tamamen kurtulabilirsiniz -başka bir kullanılmayan ama Microsoft’un işletim sisteminden çıkarmaya üşendiği hizmette açık bulunana kadar!
- Diğer Windows sürümlerini kullanıyorsanız bu makalemize göz atınız.
Komutlarla uğraşmak istemeyen okurlarımız bu basit rehberle bilgisayarlarını bu saldırıya karşı tamamen koruma altına alabilirler:
SMB Sürüm 1.0’daki Açık
Varsayılan olarak SMB Sürüm 1.0 Windows 10’da da devrede geliyor. Bu sürüm Windows XP ve Server 2003 döneminden bu yana artık gerekli değil. SMB’nin yeni sürümleri hem daha güvenli hem de daha çok özellik sunuyor. Eğer SMB 1.0 kullanan sistemlere dosya paylaşımı yapmıyorsanız bu hizmeti devre dışı bırakabilir, hatta tamamen kaldırabilirsiniz. Zira son zamanlarda saldırılar özellikle SMB 1’i hedef alıyor.
Windowx XP, SMB 1 kullanan son işletim sistemi idi. Microsoft, bu protokol kullanılmadığından dolayı artık yeni işletim sistemlerinde SMB 1’i varsayılan olarak devre dışı bırakılmış şekilde kullanıcılara sunacak. Fakat bu kararın biraz geç verilmiş olduğunu söyleyebiliriz. Bugün halen daha devrede olmasının sebebi ise uyumluluk.
Mart ayında Microsoft, SMBv1’de bulunan ve uzaktan kod çalıştırılmasını mümkün kılan bir açığı yamalamıştı. Yamayı yüklemeyenler için ise SMB v1’i devre dışı bırakmak bu tür saldırılardan korunmak için en iyi çözüm. Özellikle de ETERNALBLUE SMBv1 açığını kullanarak yayılan WannaCry fidye yazılımından etkilenmek istemiyorsanız bu protokolü devre dışı bırakmanızda fayda var.
SMB v1 Trafiğini Denetleyin
SMB v1’i kapatmadan veya silmeden önce ağınızın bu protokolü kullanıp kullanmadığını kontrol etmekte fayda var. Zira şirketiniz eski yazılımlarını güncellemekten aciz ise halen daha bu protokolü kullanan bir sisteme sahip olabilir.
Aşağıdaki PowerShell komutu ile ağdaki SMB v1.0 trafiğini denetleyebilirsiniz:
Set-SmbServerConfiguration –AuditSmb1Access $true
Sonrasında da bu kod ile günlüğü görüntüleyebilirsiniz:
Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit
Komutları, yönetici olarak çalıştırdığınız bir PowerShell penceresinde kullanmanız gerektiğini belirtelim.
Buna ek olarak Olay Görüntüleyicisi’ni açıp Uygulama ve Hizmet Günlükleri > Microsoft > Windows > SMBServer > Audit yolundan da bu protokolün kullanıp kullanılmadığını denetleyebilirsiniz. Eğer ağınızda Windows XP veya Windows Server 2003 kullanan bilgisayarlar yoksa, SMBv1 kullanılmıyordur. Bu durumda burada herhangi bir rapor olmayacaktır.
SMB Sürüm 1.0 Sunucu Konfigürasyonunu Devre Dışı Bırakın
SMB hem istemci hem de sunucu tarafında devre dışı bırakılabilir. Öncelikle sunucu tarafındaki eski SMB 1.0’ı kapatalım. Windows 10’da eğer SMB üzerinden dosya paylaşımı yapıyorsanız sunucu hizmeti sunuyorsunuz demektir. İstemci tarafı ise paylaştığınız bu dosyalara erişen kullanıcı oluyor.
- PowerShell’i Yönetici hakları ile açın.
- Bunun için Başlat > PowerShell yazıp çıkan sonuca sağ tıklayıp Yönetici olarak çalıştır seçeneğini seçmeniz yeterli.
- Normal şartlarda “Get-SmbServerConfiguration” komutunu çalıştırdığınızda EnableSMB1Protocol değerinin karşısında bu protokolün devrede olduğunu belirten True ibaresini göreceksiniz:
- Bu durumu “Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force” komutu ile değiştirelim:
Burada komutun sonunda Force ibaresini ekliyoruz. Aksi takdirde onaylama uyarısı ile uğraşmak durumundayız. Böylece tek komutla sorunu çözmüş oluyoruz. - Şimdi tekrar “Get-SmbServerConfiguration” komutu ile kontrol edelim SMBv1 durumunu:
Görüldüğü üzere artık SMBv1 devre dışı.
SMB v1’i Silin
Burada bir adım daha ileri gidip SMB V1’i Windows 10’dan tamamen kaldırabiliriz. Bunun için sağ tıklayıp Yönetici olarak çalıştır dediğiniz PowerShell penceresinde aşağıdaki komut setini kullanabilirsiniz:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Bu işlemin tamamlanması için bilgisayarınızı yeniden başlatmanız gerekiyor. Sonrasında “Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol” komutu ile SMB1 protokolünün tamamen kaldırılmış olduğunu görebilirsiniz.
SMB 1.0’ı kaldırmak bu yöntemler arasında en mantıklısı diyebiliriz. Zira artık kullanmayan bu özellik hem ileride olabilecek tehlikeleri engelliyor hem de sabit diskinizde boşuna yer kaplamıyor.
SMB Sürüm 1.0 İstemci Konfigürasyonunu Devre Dışı Bırakın
Yukarıda sunucu tarafındaki SMB v1’i devre dışı bırakarak Windows 10’un artık bu protokol üzerinden dosya paylaşımı yapmasının önüne geçmiş olduk. Öte yandan SMB istemcisi, uzak bir bilgisayardaki SMB v1 protokolüne bağlanmaya çalışabilir. Bunun da önüne geçmek için aşağıdaki komutları PowerShell’de veya yönetici hakları ile çalıştırılmış bir komut satırında yürütebiliriz:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Böylelikle Windows 10’da hem sunucu hem de istemci tarafındaki SMB 1.0’ı devre dışı bırakmış olduk. Microsoft’un işletim sisteminden kaldırmadığı bir sonraki eski protokole kadar şimdilik güvendesiniz.
remove dediğimde silmiyor status: online yazıyor komutu kontrol etmeme rağmen , yeniden başlattım yine aynı sorun nedir acaba ?
“Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force” şu komut ile false yaptıktan sonra silmeyi denediniz mi?
evet denedim üst kısımda ilerleme çubuğu çıkıyor doluyor bitiyor ama , status:online yazıyor disable yaptım, fakat silme komutu çalışmadı bende
Makaleye eklediğimiz videodan yararlanın.
Yönetici ile açman gerekiyor PS i.
yönetici açmadan dediğim yere gelemiyorsun zaten, silme komutu çalışmadı bende sadece bende olan bir şey değil ayrıca
https://uploads.disquscdn.com/images/074a99eb2268f085e119bb03186e91605d8c918f6666101ec930b9b4c69b6954.png
Böyle bir hata alıyorum.Erişim engellendi. ?
yönetici çalıştırdın mı?
ya abi ben çalıştırdım ama bende smb yok heralde :D
ya abi ben çalıştırdım ama bende smb yok heralde :D https://uploads.disquscdn.com/images/fe6e0066e2f0a21f7c9990f457ce5fe9d51b8725b733b1b6ffe6728ead892bd2.png
windows 7’deki powershellde böyle diyor ben de sanal makinada denedim, windows 7 kullanıyorsan regeditten kapatabilirsin
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters altında yeni DWORD oluştur adını SMB1 yap değerini de 0 yap, yeniden başlat.
abi yardım ya L diye bi dosya yok yardım et ve bi ss falan at adım adım söle
L diye bi dosyadan bahsetmedim ki, sanırım yazı tam gözükmüyor, şöyle bak bir de, regeditten ss atıyorum
https://uploads.disquscdn.com/images/1311177024546677f289ff6f04139f34f88793f4c2da825421cb2e9d8f23e341.png
abi salla ben recep abinin paylaştığını indirdim bdoor varmıdır bunda windows update ???
https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/
burdaki win7 sürümünden kesinlikle indiri indirdim onla güncelledim
heh gördüm sste
burasımı baksana https://uploads.disquscdn.com/images/03cdecbd421656b23d27e9e9c1b5398b26d297ec36e1ced4cbb580d726c6ed98.png
şimdi napcam dword mu oluşturcam işte ben 64 üm 32 degl ama
Videoya baktınız mı? SMB’yi programlar altından da kaldırabilirsiniz.
Abi orda çıkmıyo işte bende smb olup olmadığınıda bilmiyom…
evet DWORD oluşturacaksın 64 bit kullanman bişeyi değiştirmez
recep baltaşın gösterdiği güncellemeyi de kur
güncelleme yükledim gerek varmı smb kaldırmama ben bilgisayarımda smb olduğundan bile emin değilim
hiç olmazsa senin dediğinide yapam Services ten sonrasını at yazı gözükür
Videoya bakabilirsiniz. Makaleye ekledik.
Silme komutu çalışmadı ! Status : Enabled yazmakta
PS i yönetici çalıştırıp ‘Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force’ komutunu girdikten sonra false durumuna geçtiğini teyit ettin mi? false ise ‘SMB Sürüm 1.0 İstemci Konfigürasyonunu Devre Dışı Bırakın’ başlığı altındaki işlemi yapıp silmeyi dene.
Video ekledik. Videoya göz atabilirsiniz.
Tüm bilgisayar kullanıcılarını ilgilendiren kritik öneme sahip bir makale elinize kolunuza sağlık.
Windows 7 de ne yapacağız?
Windows 10’na geçeceğiz
daha yeni windows 7e döndüm. Sistem eski windows 10dan hafif olsun diye geçtim. Sistemdeki en pahalı bileşen hdd o giderse sistem çöp oluyor.
Güncelleyeceksiniz: https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/
Windows 8.1 de ne yapmak lazım korunmak için?
Yama yükleyeceksiniz: https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/
dediğiniz gibi komple kaldırdım artık böyle bi servis yok teşekkürler
FeatureName : SMB1Protocol
State : Disabled
bu şekilde yazı çıktı dimi ?
evet
EnableSMB2Protocol buda var nasıl olucak
Onda bir sorun yok. O güvenli.
teşekkürler
işlemleri başarılı bir şekilde yaptım. Çok teşekkürler.
Rica ederiz.
bende yaptım sağolun recep bey
Güvenle kullanın.
Windows özellikleri aç ve kapat penceresinden tikini kaldırmak yeterli olmuyor mu?
Oluyor.
Yine de sizin yönteminizle bilgisayardan temelli kaldırmadan içim rahat etmedi benim, bir an önce kaldırayım. :) Teşekkürler Recep abi.
SMB Sürüm 1.0 İstemci Konfigürasyonunu Devre Dışı Bırakma Kodunu yapıştırdıktan sonra bu hatayı aldım
[SC] ChangeServiceConfig SUCCESS
[SC] OpenService FAILED 1060:
Belirtilen hizmet, yüklü bir hizmet olarak yok.
Sisteminizde yok. Yine de güncel olun: https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/
Bir çok insan bunu yapamayabilir videolu anlatım olması gerek.
Hazırlandı ve makaleye eklendi.
Teşekkürler.
teşekürler işime yaradı açıklayıcı ve ayrıntılı olmuş
SMB v1’i Silin konusunda “Get-WindowsOptionalFeature -Online” komutundan sonra aşağıdaki yazı çıktı silinmiş demektir dimi ?
FeatureName : SMB1Protocol
State : Disabled
Evet.
teşekkürler :)
Kodlarla uğraşmak istemeyenler için video rehberimiz: https://www.youtube.com/watch?v=y3ZoflpV1Ig
Merhaba bu sorunlarla karşılaştım ?https://uploads.disquscdn.com/images/ca827862e3862472629359c411dd06988d168bec468c0dc5b22e3d22a3c02290.png https://uploads.disquscdn.com/images/4ec2cc6f60515534779876769d6a846a7b85cc0d477ad4467228421b3317f5da.png
Videoyu izlemeniz yeterli.
yaptım da işte powershellden bu sıkıntıları alınca aklım karıştı neyse sağolun :)
ilkini kaldırmaya çalıştığımda 2.sini de sunucudakini de kapatmaya çalışınca
Win7 si olanlar ne yapacak ?
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters altında yeni DWORD oluştur adını SMB1 yap değerini de 0 yap, yeniden başlat.
Alternatif olarak güncelleyin: https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/
GPO ile nasıl dağıtabiliriz bu ayarı kullanıcılara ?
Öncelikle Group Policy Management’den yeni bir Group Policy object açıp bunu Defult policy objectin altına almalısınız. Ardından açtığınız objecti düzenleyip. Windows ayarları -> script kısmından bir bat dosyası entegre edebilirsiniz. Technette ilgili dökümanlar mevcut kolay gelsin.
Alternatif olarak şu yamaları da deploy edebilirsiniz: https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/
Sanırım windows 7 için böyle yapılıyor. tabi önce powershell 2.0 ı kurmak lazım deneyip döneceğim
https://support.microsoft.com/tr-tr/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
Ya da güncelleyebilirsiniz: https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/
hem güncelledim hem smb 1.0ı kapattım.
çok makbule geçti
Başarıyla kaldırdım. Teşekkürler.
Merhaba, sanırım başarıyla direkt sildim. Paylaşmış olduğunuz SS kaldırdığımıza dair verilen SS mi acaba.
Evet.
Dahili depolama disklerimi bitlocker ile korumaktayım. WannaCry’ın bulaşması halinde bu diskler etkilenir mi?
Hesabınıza giriş yaptığınız sürece dosyaların şifresi çözülmüş oluyor. Bu durumda etkilenecektir.
devre dışı bıraktığım zaman ofisteki 15 adet pc ye yazıcıdan dosya taraması gönderemiyorum. benim için sıkıntı. bilgisayarlarda ki anti-virüsler ve windows güncellemeleri tam. sunucumuz windows 2012 r2 güncel ve anti-virüs de aynı şekilde güncel. sıkıntı olur mu benim için? windows yama yayınlamadı mı ?
Yamayı yüklediyseniz devre dışı bırakmanıza gerek yok. Yine de SMB 1.0 kapatınca bu sorunu yaşamamanız gerek. Windows 10 SMB 3.1.1 kullanıyor.
1703 Sürümü güncellenmiş olan w10’larda yapmamız’a gerek var mı? Yoksa korunmak için o güncelleme yeterli mi yardım eder misiniz?
1703 kullanıyorum ama yinede yaptım smb açık görünüyordu.
1703 etkilenmiyor. Kapatmanıza gerek yok.
Teşekkür ederim recep abi.
videodaki yere baktım işaretli değildi yinede powershellden yaptım sıkıntı olur mu
Genelde PwerShell garanti oluyor sanırım. Ben tik’i kaldırdım ama PowerShell’den kontrol edince yine açık görünüyordu. Ben de kodlar ile PowerShell’den tekrardan yaptım.
Sorun olmaz.
@Recep_Baltas:disqus , birkaç sorum olacak;
1) Ben “SMB v1 Trafiğini Denetle”meden direkt olarak kapattım ama, sorun olmaz değil mi?
2) SMB’yi “Program ve Özellikler”e girdim ve “Program Özelliklerini aç veya kapat”tan yaptım ve yeniden başlattım ama, “PowerShell”den kontrol ettiğimde hala açık olduğunu gördüm! Ben de “Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force” kodunu kullandım. Bu şekilde, yani bu ikinci yöntem ile kapatabildim.
3) Sonra, “Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove” kodu ile SMB’yi sildim.
4) “Get-SmbServerConfiguration” yazdım ve kontrol ettim;
“EnableSMB1Protocol : False” yazıyor. Sildikten sonra, bunun listede yazması gerekiyor muydu yoksa gerekmiyor mu?
5) Daha sonra da “sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled” yazdım ve;
“PS C:WINDOWSsystem32> sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
>> sc.exe config mrxsmb10 start= disabled
[SC] ChangeServiceConfig SUCCESS
[SC] OpenService FAILED 1060:
Belirtilen hizmet, yüklü bir hizmet olarak yok.” yazdı, doğru mudur?
6) Windows sürümüm: 10 Pro 1703 – İS Derlemesi: 15063.296
https://uploads.disquscdn.com/images/fac151c4fe63d5df27e4e26629c597bac0f72d920775b6159e08d7025c69d137.png
6-a) WannaCry Saldırılarından Korunmak İçin Yapılması Gerekenler (https://www.technopat.net/2017/05/15/wannacry-saldirilarindan-korunmak-icin-yapilmasi-gerekenler/) konusunda, “Eğer Windows 10 Creators Update güncellemesini (1703) aldıysanız ek bir işlem yapmanıza gerek yok.” demişsiniz. Eğer yine de bir yama yüklemem gerekiyor ise, şu resimdeki tablodan hangi güncellemeyi (ya da https://technet.microsoft.com/en-us/library/security/ms17-010.aspx adresinde yer alan hangi güncelleme) yükleyeceğim?
https://uploads.disquscdn.com/images/6869ad0b6a9ae7e11c83a30043afbf62f58bb9917efb14502c7fa0216f74e7fe.png
1. Sorun olmaz.
2. Programlar ve Özellikler yeterli. Yine de komutla işinizi sağlama almışsınız. O da olur.
3.Tamam.
4.Yazması gerek. Normal bir durum.
5.Olması gereken.
6.1703 kullanıcıları zaten etkilenmiyor.
Çok teşekkür ederim ^_^
ben windows 8.1 de silemedim bunu yolu nedir
@Recep_Baltas:disqus
1- SMB’yi Programlar ve Özelliklerden direkt devre dışı bıraktım, bir sorun olur mu?
2- SMB’yi devre dışı bıraktıktan sonra bir şeyler oldu, bazı şeyler değişti, bir sorun olur mu?
Değişen şeyler: https://uploads.disquscdn.com/images/146e47fee13daeac44cc9e7f950ac83be39f290838c407c8f2d809aa45c2f6b6.png
https://uploads.disquscdn.com/images/706d0b40b80bdab2d62eaea8ac68776886f626c48e1ee33601b5fd173184d62a.png
Kullandığım işletim sistemi: Windows 10 Sürüm 1607 (14393.1198)
Windows özellikleri boşsa ya da komutlarla sorun yaşıyorsanız Windows 1607’den ve diğer eski sürümlerden güncel 1703’e geçme seçeneğini de kullanabilirsiniz. https://www.microsoft.com/en-us/software-download/windows10 üzerinden Windows 10 Creators Update’i indirip çalıştırın.
Merhaba,
winver ile baktığımızda, Windows 10’da en az 1511 için 10586.839, 1607 için 14393.953 güncellemesi sistemde görünüyorsa bu virüsten korunuyorsunuz demektir diye bir yazı okumuştum. Bu doğru mudur? yoksa mutlaka 1703 mü yüklü olmalıdır? Teşekkürler.
Windows 10’un güncel sürümünde kapalı olarak geliyor. Ancak bu sefer de modemde takılı olan HDD’ye erişemiyorum. Modem 3-4 yıllık olmasına karşın SBM1 kullanıyormuş. Bunun için çözüm öneriniz var mı?
Açsam sıkıntı oluşturur mu?
Veya Modemi SMB2 protokolüne yükseltmem mümkün mü?