วิธีปิด SMBv1 เพื่อป้องกันตัวเองจากมัลแวร์เรียกค่าไถ่ WannaCry

ขณะนี้มัลแวร์เรียกค่าไถ่ WannaCry / WannaCrypt กำลังระบาดหนักทั่วโลก มีคอมพิวเตอร์โดนโจมตีไปแล้วกว่า 200,000 เครื่องใน 99 ประเทศภายในเวลาเพียง 2 วันเท่านั้น

เรามีวิธีป้องกันตัวเองจากมัลแวร์ดังกล่าวอยู่ 2 อย่าง คือการอัพเดตวินโดวส์เพื่ออุดช่องโหว่ และอีกอย่างคือการปิดโปรโตคอล Server Message Block (SMB) ที่เป็นโปรโตคอลสำหรับการรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน

No Description

ปัจจุบันโปรโตคอล SMB มี 3 เวอร์ชันด้วยกัน คือ SMBv1, SMBv2 และ SMBv3 โดย SMBv1 เป็นรุ่นเก่ามาก ออกมาเกือบ 30 ปีแล้ว ซึ่ง WannaCry ก็ใช้ช่องโหว่ของ SMBv1 นี่แหละ เป็นช่องทางแพร่ตัวเองเข้าโจมตีคอมพิวเตอร์เครื่องอื่นในเครือข่าย โดยที่เครื่องเป้าหมายไม่ต้องคลิกเปิดไฟล์อะไรด้วยซ้ำ (เปิดคอมต่อเน็ตอยู่ดีๆ ก็ติดเลย) ดังนั้น SMBv1 จึงไม่เหมาะสมที่จะใช้งานในยุคนี้แล้ว และควรปิดทิ้งไปเสีย

เมื่อขึ้นชื่อว่าเป็นการรับส่งข้อมูลหากัน จึงต้องมีฝั่งนึงเป็น Server และอีกฝั่งเป็น Client โดยสำหรับผู้ใช้ทั่วไป จะถือว่าตัวเองเป็น Client ซึ่งการปิดแบบ Client ก็เพียงพอแล้วต่อการป้องกันตนเองไม่ให้รับมัลแวร์เข้ามา

การปิด SMBv1 ฝั่ง Client

โชคดีที่ขั้นตอนการปิด SMBv1 ใน Windows 8.1, Windows 10, Windows Server 2012 R2 และ Windows Server 2016 นั้นง่ายมาก ไม่ต้องมีความรู้ทางเทคนิคเลยก็ทำได้ ใช้เวลาไม่ถึง 5 นาทีก็เสร็จแล้ว ดังนี้

    1. คลิก Start
    2. พิมพ์ในช่อง Search ว่า "turn windows features" แล้วคลิกที่ "Turn Windows features on or off" ตามภาพ

No Description

3. หน้าต่าง Windows Features จะเปิดขึ้นมา ให้เลื่อนลงไปล่างๆ หาข้อความ "SMB 1.0/CIFS File Sharing Support" โดยฟีเจอร์นี้จะถูกเปิดไว้เป็นค่าเริ่มต้น

No Description

4.ให้นำติ๊กถูกออกจากช่องสี่เหลี่ยม และกด OK

No Description

5. สุดท้าย ให้รีสตาร์ทเครื่อง 1 รอบ ก็เป็นอันเสร็จสิ้น เพียงเท่านี้มัลแวร์ WannaCry ก็ไม่สามารถแพร่มาหาเราได้แล้ว

No Description

อย่างไรก็ตาม การปิด SMBv1 ฝั่ง Client ในระบบปฏิบัติการรุ่นเก่าอย่าง Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 และ Windows Server 2012 มีความยุ่งยากอยู่บ้าง เพราะต้องรันคำสั่งผ่าน Command Prompt ดังนี้

    1. เปิด elevated command prompt โดยการคลิกขวาที่ Command Prompt แล้วคลิก Run as administrator

No Description

 

2. พิมพ์คำสั่งด้านล่าง ทีละบรรทัด

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
3. รีสตาร์ทเครื่อง

การปิด SMBv1 ฝั่ง Server

สำหรับฝั่ง Server ที่ใช้ระบบปฏิบัติการ Windows Server 2012 R2 และ Windows Server 2016 ก็ให้เปิด Server Manager และไปที่ Dashboard จากนั้นก็นำติ๊กถูกออกตามภาพ

No Description

ส่วนการปิด SMBv1 ฝั่งเซิฟเวอร์ในระบบปฏิบัติการรุ่นเก่า อย่าง Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista และ Windows Server 2008 มีความซับซ้อนมาก จึงจะไม่นำมาสอนในบทความนี้ ขอให้ผู้ดูแลระบบเข้าไปทำตามวิธีที่ไมโครซอฟท์สอนไว้จากลิงค์อ้างอิงท้ายบทความนะครับ

สุดท้าย เราขอแนะนำให้ทุกท่านอัพเดตระบบปฏิบัติการ รวมถึงซอฟต์แวร์ต่างๆ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และใช้ซอฟต์แวร์ลิขสิทธิ์กันเถิดครับ อย่าง Windows 10 แบบ OEM ในปัจจุบันก็ราคาเพียง 3,990 บาทเท่านั้น สามารถใช้งานได้อย่างสบายใจ (และภูมิใจ) พร้อมรับแพตช์ล่าสุดตลอดเวลา ขอให้มี awareness ระหว่างการใช้งานให้มาก เพราะการโจมตีไซเบอร์สมัยนี้มันโหดร้ายกว่าแต่ก่อนเยอะครับ

 

ที่มา : https://www.blognone.com/node/92410

 

 


 

คู่มือการปิด SMBv1 บน Windows และ Windows Server แทบทุกรุ่น โดย Microsoft

หนึ่งในลิงค์ที่ถูกแชร์กันมาที่สุดบน Facebook เวลานี้ คือคู่มือการปิด SMBv1 บนทั้ง Microsoft Windows และ Microsoft Windows Server ทุกรุ่นที่ทาง Microsoft ปล่อยออกมานั่นเอง ซึ่งลิงค์นี้อยู่ที่ https://support.microsoft.com/th-th/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 

คู่มือนี้ครอบคลุมการปิด SMBv1 ตั้งแต่บน Windows Vista, 7, 8.1, 10 และ Windows Server 2008, 2012 R2, 2016 และอันที่จริงก็สอนปิด SMBv2 กับ v3 ด้วย แต่หากต้องการป้องกันตัวเองจาก WannaCry Ransomware ที่ระบาดอยู่ตอนนี้ซึ่งใช้ SMBv1 ก็สามารถตรวจสอบวิธีการทั้งแบบ CLI และ GUI หลากหลายวิธีการจากในคู่มือได้เลยครับ

การแก้ไขระยะยาวคือการอัปเดต Patch ให้ปลอดภัยจาก Microsoft โดยตรง

ส่วนรายละเอียดและวิธีการแก้ไขแบบระยะยาวที่ปลอดภัยกว่าอยู่ในข่าว https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/ นะครับ โดยคร่าวๆ คือแนะนำให้อัปเดต Patch จากทาง Microsoft โดยตรงสำหรับ Windows ทุกๆ รุ่น และหากไม่สะดวกที่จะอัปเดต Patch ก็ควรปิด SMBv1 หรือปิดพอร์ต 445 แทนไปก่อนครับ ส่วนสำหรับผู้ใช้งาน Windows XP, Windows 8 และ Windows Server 2003 สามารถโหลด Patch ได้ตามข่าวนี้ครับ https://www.techtalkthai.com/microsoft-releases-patches-to-protect-from-wannacrypt-ransomware-for-windows-xp-8-and-windows-server-2003/

ทั้งนี้การ Backup ข้อมูลไว้ภายนอกเครื่องซึ่งเป็นวิธีการมาตรฐานในการรับมือกับ Ransomware เองก็ถือเป็นสิ่งที่ควรทำอย่างสม่ำเสมอเช่นกันครับ

ที่มา : https://www.techtalkthai.com/disabling-smbv1-guide-for-windows-from-microsoft/