各位前輩們好
小弟公司有2008及2012R2的Server以及一台群輝的NAS
NAS作為共用空間給兩台Server做使用
最近被弱點掃瞄出這三台上的SMB判斷為重大危機 因此公司想解決此問題
但在2008上找不到關閉SMB的方式
在2012R2上移除SMB功能後又無法連接到NAS的共用空間
安裝回去後又可以正常使用
可見Server與NAS間是使用SMB功能做資料傳輸
請問各位前輩們
應該是防火牆的設定不夠嚴謹,所以弱點掃描可以掃描到smb協定。 你可以把 windows server/nas 上面的防火牆設定為專用通道,讓其他端點沒法與這幾台主機溝通。你可參考保哥的文章。
smb應該是windows上面最好的內建協定,你是可以改用其他協定 如 nfs/sftp, 但這些都不是原生的協定,衍生問題應該更多,效率也更差。
被弱點掃描,是指外網的掃描嗎?
SMB不適合對外開放服務,建議在防火牆就直接關閉。
是用openvas掃嗎?
最近有一個漏洞是windows的SMBv1,被標示為10分的高危險漏洞。
下面連結教你怎麼把他關掉。
https://support.microsoft.com/zh-tw/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
但是如果你有用NAS,並且連Windows AD做權限控制,千萬不要關掉AD server的SMBv1,因為這樣NAS會無法連上AD。
上星期才踩到一次雷。
1.在Synology的控制台→安全性→防火牆可以限定只對二台Server的IP開放SMB
2.反之亦然,在windows 主機上的本機防火牆也可以限定哪些主機可以連線SMB服務
如果NAS 只給SERVER用
且沒AD 個人認為比較安全的作法
關閉SYNOLOGY的SMB,把設成ISCSI
win server使用iscsc即可
如果有開給USER使用的話
synology針對登入有做mobile token
可以開啟此功能
並設定登入失敗幾次後BAN 0
最好可以把WEB 和 SSH 都關閉