Windows Server 2008/2012如何禁用SMBv1協議

　　Windows Server 2008/2012如何禁用SMBv1服務，因為最近有人爆出Windows SMB協議相關的0 Day漏洞。該漏洞可被利用進行遠程DOS攻擊，造成Windows系統內存耗盡崩潰。據研究人員稱，該漏洞是分析“永恆之藍”漏洞衍生出的新漏洞，目前微軟官方認為該漏洞屬於中等問題，不會修復此漏洞，並建議用戶通過禁用SMBv1協議進行規避。

　　一、漏洞信息

　　[CVE-ID]:無

　　[漏洞類型]：遠程拒絕服務漏洞

　　[危害等級]：高危

　　[影響版本]：Windows 2000及以上版本運行SMBv1協議的系統

　　二、漏洞分析

　　與利用常見的botnet方式發起的DDoS攻擊不同，攻擊者通過單台機器就可以利用該漏洞導致目標Windows系統崩潰。根據安全狗初步分析，Windows內核的非分頁池(non-paged pool)上處理內存分配的方式存在問題，可能導致內存池耗盡。遠程攻擊者可以通過向開放了139或445端口的目標Windows系統發送特制SMB報文導致分配所有可用內存，操作系統在耗盡所有內存後會僵死，但不會記錄下日志或使系統藍屏，因此遠程攻擊者可以利用該漏洞實施DoS攻擊。

　　三、排查方法

　　1、Windows Server 2012檢查SMBv1狀態的方法：

　　打開“開始菜單”中的 “Windows PowerShell”程序，在命令行輸入並執行以下指令：

　　Get-SmbServerConfiguration | Select EnableSMB1Protocol

　　如果打印“Ture”，則說明SMBv1為開啟狀態。

　　2、Windows Server 2008檢查SMBv1狀態的方法：

　　打開“開始”菜單中的“運行”程序，執行“regedit”命令打開注冊表，以下注冊表子項中添加SMB1，類型為REG_DWORD，將值設置為0：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　當SMB1值為0時，SMBv1狀態為已禁用

　　當SMB1值為1時，SMBv1狀態為已啟用

　　四、應急處理方式

　　注意：修復漏洞前請將資料備份，並進行充分測試。

　　1. 關閉SMBv1

　　a)Windows Server 2012關閉SMBv1的方法

　　在power shell中運行命令：

　　Set-SmbServerConfiguration -EnableSMB1Protocol $false

　　b)Windows Server 2008禁用SMBv1的方法

　　請使用 Windows PowerShell 或注冊表編輯器