SMB Protokolü, Tüm windows işletim sistemleri için dosya paylaşımı, yazıcı paylaşımı ve windows yönetimi için üzerinden geçen paketlerin değiştirilmemesi için veri şifreleme yapmaktadır. Bu özelliğin hem sunucu tarafında, hem de client(istemci) tarafında etkin olması gerekir. Bu sayede SMB imzası etkin olmayan istemci bilgisayarlar, sunucuyla iletişim kuramaz.
***SMB Paket imzalamasının etkinleştirilmesi dosya hizmeti işlemlerinin performansını %15 oranında düşürmektedir.
ilgili registry ayarı;
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
Microsoft network server: Digitally sign communications (always) ilgili ayarı etkinleştirilerek bu zafiyetten korunmak mümkündür.
yerel bilgisayarda yapıyorsanız eğer
başlat>çalıştır>Gpedit ten security local security de
Microsoft network client: Digitally sign communications (always) enable edilir
gpo ile yapıyorsanız da aynı adımları takip edebilirsiniz,gpedit yerine group policy oluşturabilirsiniz.
ek olarak, test edildikten sonra aşağıdaki policy lerin de ayarını değiştirebilirsiniz.
Computer Configuration->Policies->Windows Settings->Security Settings->Local Policies->Security Options
Disable Microsoft Network Client: Digitally Sign Communications (Always).
Disable Microsoft Network Server: Digitally Sign Communications (Always).
Enable Microsoft Network Client: Digitally Sign Communications (If Server Agrees).
Enable Microsoft Network Server: Digitally Sign Communications (If Client Agrees).
bu ayarlar eğer sisteminiz üzerinde istemci ve sunucu üzerinde imzalama etkinleştirilmemişse, paylaşım klasörlerine erişim sağlayamayabilirsiniz, bu yüzden test etmeden gerçek sistemler üzerinde denememenizi öneririz.
