在 Windows 10 上修补 SMBv1 客户端/服务器后使用它是否安全？

Question

SMBv1 的安全问题是一个协议设计错误，因此即使微软已经找到了阻止 SMBv1 的方法，特别的尽管迄今为止已经发现了一些攻击，但仍有新的可以逃避阻止的变种被开发出来。

尝试继续使用 SMBv1 会导致与恶意软件编写者陷入一场“打地鼠”游戏，要求每个人都留意新的漏洞，并在漏洞出现时尽快创建和应用补丁。只要 SMBv1 得到广泛使用，新漏洞就会源源不断。

当 WannaCry 蠕虫利用 SMBv1 漏洞迅速传播时，微软已经宣布了 SMBv1 的弃用计划。因此，微软决定通过加速弃用计划来解决问题：这将彻底消除漏洞的根本原因。

https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858

SMB1 并不安全

当您使用 SMB1 时，您将失去后续 SMB 协议版本提供的关键保护：

预身份验证完整性 (SMB 3.1.1+)。防止安全降级攻击。

安全方言协商 (SMB 3.0、3.02)。防止安全降级攻击。

加密（SMB 3.0+）。防止在线检查数据和中间人攻击。在 SMB 3.1.1 中，加密性能甚至比签名更好！

不安全的访客身份验证阻止（Windows 10+ 上的 SMB 3.0+）。防止 MiTM 攻击。

更好的消息签名（SMB 2.02+）。HMAC SHA-256 取代 MD5 成为 SMB 2.02、SMB 2.1 中的哈希算法，AES-CMAC 取代 SMB 3.0+ 中的哈希算法。SMB2 和 3 中的签名性能有所提升。

糟糕的是，无论你如何保护所有这些，如果你的客户端使用 SMB1，那么中间人可以告诉你的客户端忽略以上所有内容。他们需要做的就是自行阻止 SMB2+ 并响应您的服务器名称或 IP。除非您首先要求对该共享进行加密以防止 SMB1，否则您的客户端将愉快地在 SMB1 上闲逛并分享其所有最黑暗的秘密。这不是理论上的——我们已经看到了。

这句话出自 Ned Pyle，他是本文撰写时微软 SMB 协议的所有者。所以这是你能从他们口中得到的最直接的答案。

Answer 1

SMBv1 的安全问题是一个协议设计错误，因此即使微软已经找到了阻止 SMBv1 的方法，特别的尽管迄今为止已经发现了一些攻击，但仍有新的可以逃避阻止的变种被开发出来。

尝试继续使用 SMBv1 会导致与恶意软件编写者陷入一场“打地鼠”游戏，要求每个人都留意新的漏洞，并在漏洞出现时尽快创建和应用补丁。只要 SMBv1 得到广泛使用，新漏洞就会源源不断。

当 WannaCry 蠕虫利用 SMBv1 漏洞迅速传播时，微软已经宣布了 SMBv1 的弃用计划。因此，微软决定通过加速弃用计划来解决问题：这将彻底消除漏洞的根本原因。

https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858

SMB1 并不安全

当您使用 SMB1 时，您将失去后续 SMB 协议版本提供的关键保护：

预身份验证完整性 (SMB 3.1.1+)。防止安全降级攻击。

安全方言协商 (SMB 3.0、3.02)。防止安全降级攻击。

加密（SMB 3.0+）。防止在线检查数据和中间人攻击。在 SMB 3.1.1 中，加密性能甚至比签名更好！

不安全的访客身份验证阻止（Windows 10+ 上的 SMB 3.0+）。防止 MiTM 攻击。

更好的消息签名（SMB 2.02+）。HMAC SHA-256 取代 MD5 成为 SMB 2.02、SMB 2.1 中的哈希算法，AES-CMAC 取代 SMB 3.0+ 中的哈希算法。SMB2 和 3 中的签名性能有所提升。

糟糕的是，无论你如何保护所有这些，如果你的客户端使用 SMB1，那么中间人可以告诉你的客户端忽略以上所有内容。他们需要做的就是自行阻止 SMB2+ 并响应您的服务器名称或 IP。除非您首先要求对该共享进行加密以防止 SMB1，否则您的客户端将愉快地在 SMB1 上闲逛并分享其所有最黑暗的秘密。这不是理论上的——我们已经看到了。

这句话出自 Ned Pyle，他是本文撰写时微软 SMB 协议的所有者。所以这是你能从他们口中得到的最直接的答案。

在 Windows 10 上修补 SMBv1 客户端/服务器后使用它是否安全？

答案1

SMB1 并不安全

相关内容