iT邦幫忙

1

SMB被弱點掃描判定為重大危機

ray11429 4 月前5731 瀏覽

各位前輩們好
小弟公司有2008及2012R2的Server以及一台群輝的NAS
NAS作為共用空間給兩台Server做使用
最近被弱點掃瞄出這三台上的SMB判斷為重大危機 因此公司想解決此問題
但在2008上找不到關閉SMB的方式
在2012R2上移除SMB功能後又無法連接到NAS的共用空間
安裝回去後又可以正常使用
可見Server與NAS間是使用SMB功能做資料傳輸

請問各位前輩們

  1. 小弟該如何關閉2008上的SMB功能
  2. 是否有其他替代方案能讓我的兩台Server不使用SMB與NAS做資料傳輸
窮嘶發發發 iT邦高手 1 級 ‧ 4 月前 檢舉
有沒有上 AD 啊,建議上了之後,把所有的用戶端加入 AD,做好該做的安全性設定,基本上 SMB 可以是安全的
如果沒有 AD,那麼 ... 保重,有了 AD 之後,請把 NAS 限制為 AD 帳戶登入,避免其他的登入方式造成安全疑慮
2
haoming
iT邦研究生 1 級 ‧ 4 月前

應該是防火牆的設定不夠嚴謹,所以弱點掃描可以掃描到smb協定。 你可以把 windows server/nas 上面的防火牆設定為專用通道,讓其他端點沒法與這幾台主機溝通。你可參考保哥的文章

smb應該是windows上面最好的內建協定,你是可以改用其他協定 如 nfs/sftp, 但這些都不是原生的協定,衍生問題應該更多,效率也更差。

ray11429 iT邦新手 5 級 ‧ 4 月前 檢舉

您好
謝謝您的回應
目前我是將WINDOWS本身的防火牆關閉
若將防火牆開啟
造您所提供的文件設定這樣是否就不會再被掃描出來呢?

haoming iT邦研究生 1 級 ‧ 4 月前 檢舉

防火牆關閉非常非常的危險喔..建議還是啟用防火牆或者啟動第三方防火牆,然後採白名單方式開放你所需要的服務就好。應該對弱掃結果有幫助,但還是要看新報告之後再做對應調整。

0
黃彥儒
iT邦新手 3 級 ‧ 4 月前

被弱點掃描,是指外網的掃描嗎?
SMB不適合對外開放服務,建議在防火牆就直接關閉。

ray11429 iT邦新手 5 級 ‧ 4 月前 檢舉

您好
謝謝您的回應
不太懂您的意思
小弟是公司內網中使用NAS與兩台Server
需要在對外的防火牆上關閉SMB服務嗎?

0
froce
iT邦新手 4 級 ‧ 4 月前

是用openvas掃嗎?
最近有一個漏洞是windows的SMBv1,被標示為10分的高危險漏洞。
下面連結教你怎麼把他關掉。
https://support.microsoft.com/zh-tw/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

但是如果你有用NAS,並且連Windows AD做權限控制,千萬不要關掉AD server的SMBv1,因為這樣NAS會無法連上AD。

上星期才踩到一次雷。

ray11429 iT邦新手 5 級 ‧ 4 月前 檢舉

您好
謝謝您的回應
小弟就因為在2012R2上關閉SMB導致無法連線NAS
所以只好再將它開啟
因此才來這裡詢問各位前輩是否有其他方式可以不通過SMB來掛載網路硬碟

1
aliok
iT邦新手 4 級 ‧ 4 月前

1.在Synology的控制台→安全性→防火牆可以限定只對二台Server的IP開放SMB
2.反之亦然,在windows 主機上的本機防火牆也可以限定哪些主機可以連線SMB服務

門神JanusLin iT邦大師 1 級 ‧ 4 月前 檢舉

關門就對了,不然兩台對接,或是前端擋住 XD

0
WilliamHuang
iT邦大師 1 級 ‧ 4 月前

網路分享本來就是弱點
關掉分享兩台對串
直接撈相對預設磁碟
就眼不見為淨了
/images/emoticon/emoticon41.gif

0
young122333
iT邦新手 4 級 ‧ 4 月前

如果NAS 只給SERVER用
且沒AD 個人認為比較安全的作法

關閉SYNOLOGY的SMB,把設成ISCSI
win server使用iscsc即可

如果有開給USER使用的話
synology針對登入有做mobile token
可以開啟此功能
並設定登入失敗幾次後BAN 0

最好可以把WEB 和 SSH 都關閉

我要發表回答

立即登入回答