iT邦幫忙

1

SMB被弱點掃描判定為重大危機

  • 分享至 

  • xImage

各位前輩們好
小弟公司有2008及2012R2的Server以及一台群輝的NAS
NAS作為共用空間給兩台Server做使用
最近被弱點掃瞄出這三台上的SMB判斷為重大危機 因此公司想解決此問題
但在2008上找不到關閉SMB的方式
在2012R2上移除SMB功能後又無法連接到NAS的共用空間
安裝回去後又可以正常使用
可見Server與NAS間是使用SMB功能做資料傳輸

請問各位前輩們

  1. 小弟該如何關閉2008上的SMB功能
  2. 是否有其他替代方案能讓我的兩台Server不使用SMB與NAS做資料傳輸
有沒有上 AD 啊,建議上了之後,把所有的用戶端加入 AD,做好該做的安全性設定,基本上 SMB 可以是安全的
如果沒有 AD,那麼 ... 保重,有了 AD 之後,請把 NAS 限制為 AD 帳戶登入,避免其他的登入方式造成安全疑慮
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
haoming
iT邦好手 1 級 ‧ 2017-05-03 10:26:37

應該是防火牆的設定不夠嚴謹,所以弱點掃描可以掃描到smb協定。 你可以把 windows server/nas 上面的防火牆設定為專用通道,讓其他端點沒法與這幾台主機溝通。你可參考保哥的文章

smb應該是windows上面最好的內建協定,你是可以改用其他協定 如 nfs/sftp, 但這些都不是原生的協定,衍生問題應該更多,效率也更差。

ray11429 iT邦新手 4 級 ‧ 2017-05-04 09:08:37 檢舉

您好
謝謝您的回應
目前我是將WINDOWS本身的防火牆關閉
若將防火牆開啟
造您所提供的文件設定這樣是否就不會再被掃描出來呢?

haoming iT邦好手 1 級 ‧ 2017-05-05 09:22:23 檢舉

防火牆關閉非常非常的危險喔..建議還是啟用防火牆或者啟動第三方防火牆,然後採白名單方式開放你所需要的服務就好。應該對弱掃結果有幫助,但還是要看新報告之後再做對應調整。

0
黃彥儒
iT邦高手 1 級 ‧ 2017-05-03 12:40:44

被弱點掃描,是指外網的掃描嗎?
SMB不適合對外開放服務,建議在防火牆就直接關閉。

ray11429 iT邦新手 4 級 ‧ 2017-05-04 09:09:39 檢舉

您好
謝謝您的回應
不太懂您的意思
小弟是公司內網中使用NAS與兩台Server
需要在對外的防火牆上關閉SMB服務嗎?

0
froce
iT邦大師 1 級 ‧ 2017-05-03 19:43:09

是用openvas掃嗎?
最近有一個漏洞是windows的SMBv1,被標示為10分的高危險漏洞。
下面連結教你怎麼把他關掉。
https://support.microsoft.com/zh-tw/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

但是如果你有用NAS,並且連Windows AD做權限控制,千萬不要關掉AD server的SMBv1,因為這樣NAS會無法連上AD。

上星期才踩到一次雷。

ray11429 iT邦新手 4 級 ‧ 2017-05-04 09:10:45 檢舉

您好
謝謝您的回應
小弟就因為在2012R2上關閉SMB導致無法連線NAS
所以只好再將它開啟
因此才來這裡詢問各位前輩是否有其他方式可以不通過SMB來掛載網路硬碟

1
aliok
iT邦新手 4 級 ‧ 2017-05-04 11:32:26

1.在Synology的控制台→安全性→防火牆可以限定只對二台Server的IP開放SMB
2.反之亦然,在windows 主機上的本機防火牆也可以限定哪些主機可以連線SMB服務

關門就對了,不然兩台對接,或是前端擋住 XD

WilliamHuang
iT邦研究生 1 級 ‧ 2017-05-05 14:07:37
【**此則訊息已被站方移除**】
0
阿海
iT邦新手 2 級 ‧ 2017-05-12 15:46:42

如果NAS 只給SERVER用
且沒AD 個人認為比較安全的作法

關閉SYNOLOGY的SMB,把設成ISCSI
win server使用iscsc即可

如果有開給USER使用的話
synology針對登入有做mobile token
可以開啟此功能
並設定登入失敗幾次後BAN 0

最好可以把WEB 和 SSH 都關閉

我要發表回答

立即登入回答