一、主机启用了SMBv1 引发的威胁:
(1)由于SMBv1数据包处理不当,Microsoft Server Message Block 1.0(SMBv1)中存在多个信息泄漏漏洞。未经身份验证的远程攻击者可以通过特制的SMBv1数据包利用这些漏洞来泄露敏感信息。
(2)由于请求处理不当,Microsoft Server Message Block 1.0(SMBv1)中存在多个拒绝服务漏洞。未经身份验证的远程攻击者可以通过特制的SMB请求利用这些漏洞导致系统停止响应。
(3)由于SMBv1数据包处理不当,Microsoft Server Message Block 1.0(SMBv1)中存在多个远程执行代码漏洞。未经身份验证的远程攻击者可以通过特制的SMBv1数据包利用这些漏洞来执行任意代码。
二、建议处置措施:
关处置措施:关闭SMBv1
方法:
管理员模式运行powershell
(1)检测smb1状态
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
默认配置 = 已启用(未创建注册表项),所以