By: BlackMiracle 
on 14 May 2017 - 09:26
Tags:
ขณะนี้มัลแวร์เรียกค่าไถ่ WannaCry / WannaCrypt กำลังระบาดหนักทั่วโลก มีคอมพิวเตอร์โดนโจมตีไปแล้วกว่า 200,000 เครื่องใน 99 ประเทศภายในเวลาเพียง 2 วันเท่านั้น
เรามีวิธีป้องกันตัวเองจากมัลแวร์ดังกล่าวอยู่ 2 อย่าง คือการอัพเดตวินโดวส์เพื่ออุดช่องโหว่ และอีกอย่างคือการปิดโปรโตคอล Server Message Block (SMB) ที่เป็นโปรโตคอลสำหรับการรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน
ปัจจุบันโปรโตคอล SMB มี 3 เวอร์ชันด้วยกัน คือ SMBv1, SMBv2 และ SMBv3 โดย SMBv1 เป็นรุ่นเก่ามาก ออกมาเกือบ 30 ปีแล้ว ซึ่ง WannaCry ก็ใช้ช่องโหว่ของ SMBv1 นี่แหละ เป็นช่องทางแพร่ตัวเองเข้าโจมตีคอมพิวเตอร์เครื่องอื่นในเครือข่าย โดยที่เครื่องเป้าหมายไม่ต้องคลิกเปิดไฟล์อะไรด้วยซ้ำ (เปิดคอมต่อเน็ตอยู่ดีๆ ก็ติดเลย) ดังนั้น SMBv1 จึงไม่เหมาะสมที่จะใช้งานในยุคนี้แล้ว และควรปิดทิ้งไปเสีย
เมื่อขึ้นชื่อว่าเป็นการรับส่งข้อมูลหากัน จึงต้องมีฝั่งนึงเป็น Server และอีกฝั่งเป็น Client โดยสำหรับผู้ใช้ทั่วไป จะถือว่าตัวเองเป็น Client ซึ่งการปิดแบบ Client ก็เพียงพอแล้วต่อการป้องกันตนเองไม่ให้รับมัลแวร์เข้ามา
การปิด SMBv1 ฝั่ง Client
โชคดีที่ขั้นตอนการปิด SMBv1 ใน Windows 8.1, Windows 10, Windows Server 2012 R2 และ Windows Server 2016 นั้นง่ายมาก ไม่ต้องมีความรู้ทางเทคนิคเลยก็ทำได้ ใช้เวลาไม่ถึง 5 นาทีก็เสร็จแล้ว ดังนี้
- คลิก Start
- พิมพ์ในช่อง Search ว่า "turn windows features" แล้วคลิกที่ "Turn Windows features on or off" ตามภาพ
- หน้าต่าง Windows Features จะเปิดขึ้นมา ให้เลื่อนลงไปล่างๆ หาข้อความ "SMB 1.0/CIFS File Sharing Support" โดยฟีเจอร์นี้จะถูกเปิดไว้เป็นค่าเริ่มต้น
- ให้นำติ๊กถูกออกจากช่องสี่เหลี่ยม และกด OK
- สุดท้าย ให้รีสตาร์ทเครื่อง 1 รอบ ก็เป็นอันเสร็จสิ้น เพียงเท่านี้มัลแวร์ WannaCry ก็ไม่สามารถแพร่มาหาเราได้แล้ว
อย่างไรก็ตาม การปิด SMBv1 ฝั่ง Client ในระบบปฏิบัติการรุ่นเก่าอย่าง Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 และ Windows Server 2012 มีความยุ่งยากอยู่บ้าง เพราะต้องรันคำสั่งผ่าน Command Prompt ดังนี้
- เปิด elevated command prompt โดยการคลิกขวาที่ Command Prompt แล้วคลิก Run as administrator
- พิมพ์คำสั่งด้านล่าง ทีละบรรทัด
- รีสตาร์ทเครื่อง
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled
การปิด SMBv1 ฝั่ง Server
สำหรับฝั่ง Server ที่ใช้ระบบปฏิบัติการ Windows Server 2012 R2 และ Windows Server 2016 ก็ให้เปิด Server Manager และไปที่ Dashboard จากนั้นก็นำติ๊กถูกออกตามภาพ
ส่วนการปิด SMBv1 ฝั่งเซิฟเวอร์ในระบบปฏิบัติการรุ่นเก่า อย่าง Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista และ Windows Server 2008 มีความซับซ้อนมาก จึงจะไม่นำมาสอนในบทความนี้ ขอให้ผู้ดูแลระบบเข้าไปทำตามวิธีที่ไมโครซอฟท์สอนไว้จากลิงค์อ้างอิงท้ายบทความนะครับ
สุดท้าย เราขอแนะนำให้ทุกท่านอัพเดตระบบปฏิบัติการ รวมถึงซอฟต์แวร์ต่างๆ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และใช้ซอฟต์แวร์ลิขสิทธิ์กันเถิดครับ อย่าง Windows 10 แบบ OEM ในปัจจุบันก็ราคาเพียง 3,990 บาทเท่านั้น สามารถใช้งานได้อย่างสบายใจ (และภูมิใจ) พร้อมรับแพตช์ล่าสุดตลอดเวลา ขอให้มี awareness ระหว่างการใช้งานให้มาก เพราะการโจมตีไซเบอร์สมัยนี้มันโหดร้ายกว่าแต่ก่อนเยอะครับ
อ้างอิง - How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
SMBv1 นี้นี้มันเปิดเป็นค่าเริ่มต้นหรือเปล่าครับ
Pitawat's Blog :: บล็อกผมเองครับ
กับการใช้งาน FileShare, Print Service ใน OS รุ่นเก่ามากอย่าง Windows 2003/R2 ครับ แล้วก็พวก File Share ที่เป็น appliance รุ่นเก่าๆครับ ซึ่งบางที่มีใช้งานอยู่ค่อนข้างเยอะ
Destination host unreachable!!!
ปิดเรียบร้อยแล้วครับ
ปิดแล้ว จะทำให้ใช้งานฟังก์ชันไหนใช้งานไม่ได้บ้างครับ
ถ้าไม่ปิด แต่อัพเดทแพตช์ล่าสุดไว้แล้ว จะปลอดภัยไหมครับ
ปล. Windows 10 build 1511 on Surface Pro 3
ปัจจุบัน SMBv1 แทบไม่มีความจำเป็นแล้วครับ เพราะเค้าไปใช้ v2, v3 กันหมดแล้ว ถ้าไม่ได้ใช้ฮาร์ดแวร์/ซอฟต์แวร์อะไรที่เก่าและเฉพาะทางมากๆ ก็ไม่มีผลอะไรครับ
ขนาดพนักงานไมโครซอฟท์ยังเขียนบล็อกบอกให้เลิกใช้ได้แล้วครับ อ้างอิง
Pitawat's Blog :: บล็อกผมเองครับ
น่าจะจำเป็นอย่างมาก พอปิดแล้วเข้า driver ที่ share ไฟล์ไว้ไม่ได้เลย
แล้วเปิด v2 v3 แทนได้ไหม เปิดยังไงครับ
ง่ายๆ คือ
1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 ก็เช็คๆ ก่อนว่ามีระบบที่เกี่ยวข้องยังใช้ Windows XP หรือ Windows Server 2003 อยู่หรือไม่
2. ยังใช้งานพวก Network Neighborhood อยู่หรือเปล่า
3. NAS, เครื่องพิมพ์ และพวก multi-function printers บางรุ่นใช้ SMBv1 หากปิดไปจะใช้งานพวกนี้ไม่ได้
ผมใช้งาน network file sharing บน Windows 10 ไม่ได้ครับ
ถ้าแบบนี้จะทำยังไงต่อครับ ถ้าเกิดจำเป็นต้องใช้จริงๆ
ปล Update Windows ล่าสุดแล้ว
ถ้า update patch ล่าสุดแล้วก็ เปิด SMBv1 กลับมาเหมือนเดิม
สำหรับผู้ใช้บางคนที่ใช้ Windows ภาษาไทย ชื่อ Feature จะเป็น
"การสนับสนุนการแบ่งปันแฟ้มแบบ SMB 1.0/CIFS"
ครับ
สงสัยครับ ถ้าอัพเดตวินโดส์แล้ว การปิดฟีเจอร์นี้ยังต้องทำอยู่หรือเปล่าครับ หรือทำสองอย่างเลยก็ชัวร์กว่าไรงี้...
@ Virusfowl
I'm not a dev. not yet a user.
ปิดไปด้วยก็ดีครับ
สำหรับตอนนี้ผมว่าอัพเดตวินโดวส์ก็เพียงพอแล้วนะ ส่วนบทความนี้ผมว่าเป็นการป้องเผื่อช่องโหว่ที่จะมีอีกในอนาคตมากกว่า ซึ่งปิดไว้ตั้งแต่ตอนนี้เลยก็ดี จะได้ไม่ต้องมานั่งกังวลทีหลัง
กดปิดเรียบร้อย
ตามข่าวที่มี Software ของ ม.ท้าวสุรนารี ช่วยได้มากไหมครับ
Edit: แก้ไขข้อความบางส่วน
หมายถึงโพสนี้จากเพจ SUT Aiyara Cluster ใช่มั้ย?
เท่าที่ตามอ่านคือ สำหรับคนที่อัพเดตได้ปกติ ไม่มีความจำเป็นใดๆที่จะต้องลงโปรแกรมนี้เลย
1.แค่อัพเดต Windows ล่าสุดก็ป้องกันได้แล้ว
2.กรณีที่มี WannaCrypt เวอร์ชันใหม่ออกมาในอนาคต ไม่มีใครการันตีได้ว่าโปรแกรมดังกล่าวจะยังป้องกันได้อยู่
ถ้าโปรแกรมมีการออกรุ่นใหม่ออกมา ผู้ใช้ต้องไปตามโหลดจาก github
ถามว่า User บ้านๆ จะไปรู้มั้ยว่าตอนไหนมีเวอร์ชันใหม่แล้ว?
ดังนั้น ไม่ควรแนะนำให้ใครใช้โปรแกรมดังกล่าว ถ้ามีทางเลือกอื่น
+1
เห็นด้วยครับ ผมเกรงว่าสุดท้ายโปรแกรมนี้จะกลายเป็น Anti Autorun (สีเขียวๆ) ที่บุคคลทั่วไปจะเข้าใจว่าเป็นยาวิเศษแก้ปัญหาทุก Virus ในโลก
ขอบคุณครับ
ถ้าผมจำไม่ผิด win10 FFP ซึ่งย้ายเครื่องได้จะแพงกว่า OEM แค่ 500 บาท มันดูเหมือนจะคุ้มกว่านะผมว่า
นั่งหาของ windows 2008r2 ตอนแรกใจแป้ว ไม่มีให้คลิ๊ก เจอลิงข้างล่างแล้วโล่งใจ
Win10 กดปิดแล้ว รีสตาร์ท นานมากกกก ปกติมั้ยครับเนี๋ย
สรุปมันชื่อ WannaCry หรือ WannaCrypt กันแน่ครับ อ่านไปอ่านมาชักงง
ตอนแรกเข้าใจว่า WannaCry เป็นความรู้สึกหลังโดนเฉยๆ
เรียกได้หลายชื่อครับ เช่น WannaCry, Wcry, WannaCrypt หรือ WannaCryptor
คิดว่าชื่อ WannaCry มันเกิดจากการตั้งชื่อแบบ 8.3 หน่ะครับ
ใช้ Window10 pro10(upgrade จาก Window7) - ลองปิดค่า SMVB1 - ตอนนี้เข้า PC-line ไม่ได้ ครับ//
ผมเข้าได้ปกตินะครับ
โปรแกรมline แจ้งเตือนว่าอาจเกิดจากเครื่องเจอไวรัส หรือเจอCrank -- ยังไงก่อนลองBack Up ข้อมูลสำคัญไว้ด้วย
บน Windows 7 ทำไงครับ ?
แล้วบน 7 ละ
รัน command นี้
แล้ว restart ตามด้านบนเลยครับ
ขอบคุณครับ ..ปิดเรียบร้อย
สำหรับ windows server2008 r2 ถ้ารัน 2 บรรทัดด้านล่างนี้แล้วรีสตาร์ทแล้วระบบ network จะใช้งานได้ไหมครับ
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
ภาษาไทย :D
ผมทำตามแล้ว ไม่สามารถเชื่อมต่อเข้า network ที่ทำการ map drive ได้ครับ กรณีออฟฟิศผมคือ share file ผ่าน nas ไม่สามารถ access ได้เลย
ที่ผมเจอคือ Share Files ผ่าน Windows Server 2003 ไม่สามารถเข้าได้ เห็นทีคงต้องถึงเวลาอัพเกรดระบบละ ;_;
การปิด SMBv1 มีผลกระทบดังนี้
1. SMBv1 ทำงานบน Windows XP หรือ Windows Server 2003 ก็เช็คๆ ก่อนว่ามีระบบที่เกี่ยวข้องยังใช้ Windows XP หรือ Windows Server 2003 อยู่หรือไม่
2. ยังใช้งานพวก Network Neighborhood อยู่หรือเปล่า
3. NAS, เครื่องพิมพ์ และพวก multi-function printers บางรุ่นใช้ SMBv1 หากปิดไปจะใช้งานพวกนี้ไม่ได้
WinXP ถ้าปิดไปแล้วมีทางแก้ไหมครับ
ตอนนี้ใน สนง. แชร์ปรินเตอร์กันไม่ได้เลยครับ
ลองทำกระบวนการเปิด SMB v1 แล้วก็ไม่หาย
ใช่ครับ โดนเหมือนกัน
เป็นไงบ้างครับ เจอวิธีแก้บ้างยังครับ
ยังเลยครับ ในเครื่องที่ทำไปทั้งหมดมี Win7 อยู่เครื่องนึง แก้ได้แค่เครื่องนี้เครื่องเดียว
นอกนั้นที่เป็น XP ทำอะไรไม่ได้เลยครับ
แก้ได้ละครับ Win XP
รัน command : sc.exe config lanmanworkstation depend= ""
แล้วรีสตาทเครื่อว
ขอบคุณครับ
ส่วนผมใช้วิธี แก้ registry HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation แล้วลบค่าใน DependOnService ออก
ขอให้เครดิตคุณ โทษทีมีเม็ดเดียว จาก pantip ด้วยครับ
ลองทำตามข้างบนหมดแล้ว ก็ยังไม่ได้ของผมเป็น win Server 2008 r2 นะครับ
รบกวนผู้รู้ช้วยผมด้วย ผมไม่อยากลงใหม่ (พลาดตรงไม่เก้บโกสไว้ T_T)
add role กลับเข้าไปหรือยังครับ?
window server 2008 R2 เหมือนกัน ต้อง Add Role อะไร ยังไงคะ ?
ผมเพิ่งเห็นว่า server 2008 ไม่ได้ใช้ remove role ตอนเอาออกครับ แต่ที่มาท้ายข่าวมีวิธีทั้งเปิดและปิด SMB v1, 2, 3 ไว้ให้นะครับ ตามในนั้น
https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
ขอบคุณค่ะ เราทำตามนี้แล้ว แต่เหมือนมันมีปัญหาที่ connect กับเครื่อง scan โดยปกติต่อผ่าน port SMB ตอนนี้มัน scan ไม่ผ่าน น่าจะเกี่ยวกับตอนปิด SMB แต่รัน commands เปิด SMB แล้ว ยังไม่ได้ค่ะ แถม windows xp ยังเข้าพวก file server ไม่ได้อีก :(
มีปัญหากับเครื่อง Win 8 เหมือนกันครับ คล้ายๆ ว่าตอนปิดไปแล้วมาเปิดใหม่แต่เข้าพวก file sharing ของเครื่องเก่าๆ ที่ใช้ SMB v1 ไม่ได้แล้ว ใครพอมีวิธีแนะนำ รบกวนด้วยนะครับ
update patch เป็นตัวล่าสุดที่ปิดช่องโหว่ก็จบแล้วครับ ไม่ต้องไปปิด SMBv1
ผมทำได้แล้วแล้วนะครับ
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012
Note When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. This behavior occurs because these protocols share the same stack.
To disable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
To enable SMBv1 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
To disable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled
To enable SMBv2 and SMBv3 on the SMB client, run the following commands:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
ตามท่านข้างบนเลยครับ
ปล. 1.รัน cmd โหมดแอดมินินะครับอันนี้สำคัญมาก
2.แนะนำให้ก๊อปปี้ไปวางนะครับบางทีพิมพ์เองแล้วผิด ๆ ถูก ๆ หรือตกหล่นอะไรมันจะไม่ได้ครับ
3.ข้อสุฃังเกตุสำคัญคือถ้า Enter แล้วมันจะขึ้นเตือนว่า success นะครับอันนี้ถือว่าผ่านแต่ถ้าขึ้นหตัวหนังสืออื่น ๆเยอะ ๆ แสดงว่าไม่ผ่าน
4.แต่ด้วยผมทำทุกอย่างจากที่แนะนำด้านบนพร้อม ๆ กันทั้งหมด ผมเลยไม่รู้ว่าวิธีไหนถึงแก้ได้ถ้าจะเอาง่ายคือทำทุกอย่างไปเลยครับ
ลองทำดูนะครับ ^_^
ขอเสริมนิดหน่อยนะครับ รบกวนคุณ BlackMiracle หรือ Mod เพิ่มแท็ก WannaCrypt ในบทวามนี้ทีครับ เผื่ออนาคตมีการค้นหาบทความที่เกี่ยวข้อง
ถ้าเห็นว่าเหมาะสมก็รบกวนด้วยนะครับ ขอบคุณครับ
เพิ่มละครับ
Pitawat's Blog :: บล็อกผมเองครับ
ของผมเป็น windows7 ใช้งานในบริษัท พอทำแล้วเข้าระบบ public drive ของบริษัทไม่ได้เลยครับ อยากให้กลับไปเหมือนเดิมได้ไหม แล้วผมจะให้ทาง IT เข้ามาจัดการเอง
ขอแนวทางด้วยครับ ขอบคุณครับ
รับคำสั่งตามนี้
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start= auto
อ้างอิง How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
ขอบคุณครับ
ขอบคุณครับ
สอบถามหน่อยครับ เครื่อง PC ที่บ้านไม่มีแชร์ไดร์เลยไม่มีปัญหา
เลยมาลองกับ PC ที่ออฟฟิศ ปิดแล้วเข้าแชร์ไดร์บาง Server ไม่ได้แต่ถ้าติ๊กกลับมาใช้งานเข้าได้ปกติ
ขอโทษครับ พอดีอ่านไม่ครบทุก comment พึ่งเจอว่า Share Files ผ่าน Windows Server 2003 ไม่สามารถเข้าได้ ขอบคุณครับ
อยากให้เจ้าของผู้เขียนบทความเขียนคำแนะนำเพิ่มเติมว่าการปิด SMBv1 จะมีผลอะไรบ้าง เช่น
พร้อมแนะนำการเปิดกลับมาหลังจาก update patch เสร็จแล้ว เพื่อให้สามารถใช้งานได้ดังเดิมครับ