26 Ağustos 2021 14:37

SMB Protokolü, Tüm windows işletim sistemleri için dosya paylaşımı, yazıcı paylaşımı ve windows yönetimi için üzerinden geçen paketlerin değiştirilmemesi için veri şifreleme yapmaktadır. Bu özelliğin hem sunucu tarafında, hem de client(istemci) tarafında etkin olması gerekir. Bu sayede SMB imzası etkin olmayan istemci bilgisayarlar, sunucuyla iletişim kuramaz. 

***SMB Paket imzalamasının etkinleştirilmesi dosya hizmeti işlemlerinin performansını %15 oranında düşürmektedir.

ilgili registry ayarı;

HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature

Microsoft network server: Digitally sign communications (always) ilgili ayarı etkinleştirilerek bu zafiyetten korunmak mümkündür.

yerel bilgisayarda yapıyorsanız eğer

başlat>çalıştır>Gpedit ten security local security de 

Microsoft network client: Digitally sign communications (always) enable edilir

gpo ile yapıyorsanız da aynı adımları takip edebilirsiniz,gpedit yerine group policy oluşturabilirsiniz.

ek olarak, test edildikten sonra aşağıdaki policy lerin de ayarını değiştirebilirsiniz.

Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Security Options

Disable Microsoft Network Client: Digitally Sign Communications (Always).

Disable Microsoft Network Server: Digitally Sign Communications (Always).

Enable Microsoft Network Client: Digitally Sign Communications (If Server Agrees).

Enable Microsoft Network Server: Digitally Sign Communications (If Client Agrees).

bu ayarlar eğer sisteminiz üzerinde istemci ve sunucu üzerinde imzalama etkinleştirilmemişse, paylaşım klasörlerine erişim sağlayamayabilirsiniz, bu yüzden test etmeden gerçek sistemler üzerinde denememenizi öneririz.