Végre elkezdi kivezetni az SMB1-et a Microsoft
Az operációs rendszer legfrissebb béta kiadása alapértelmezésben nem támogatja már a veterán hálózati protokollt.
Biztonsági okokból megkezdi a veterán hálózati protokoll, az SMB (Server Message Block) legelső verziójának kivezetését a Microsoft - jelentette be a cég a Windows 10 legfrissebb béta kiadási jegyzeteiben. A döntés azonban nem csak az Insider Preview előzeteseket illeti, a cég elhatározta magát a Windows által nyújtott támadási felület zsugorítására, ennek megfelelően a következő Windows 10 alverzió (a Fall Creators Update) jelentős változásokat hoz az SMB1 kezelésében.
A hálózati megosztás IE6-ja
Alapértelmezett körülmények között a frissen telepített Windows 10 (Home és Pro kiadások is) az SMB1 kiszolgáló komponens nélkül működnek - a kliens viszont alapból elérhető marad. Egyszerűbben ez azt jelenti, hogy egy SMB1-et használó infrastruktúrában a Windows 10-es gép tud majd kapcsolódni a többi számítógéphez, azok azonban nem tudnak kapcsolódni SMB1-en a Windows 10-hez. A Microsoft további lépésként ajánlja még a kliens eltávolítását is, ez azonban már nem lesz alapértelmezett - egyelőre. A cég ígérete szerint egy későbbi frissítés ugyanis eltávolíthatja a klienst, ha a naplófájlok alapján azt semmi nem használja.
Szigorúbb eljárás alá esnek az Enteprise és Education kiadások, amelyek teljesen SMB1 támogatás nélkül települnek majd, mind a szerver, mind a kliens komponens hiányozni fog. Ezt valószínűleg a vállalati környezetek magasabb biztonsági igénye indokolja, a változásra azonban jó lesz felkészülniük a szervezeteknek. A váltás ezzel együtt korlátozott hatású, igény szerint a kérdéses komponensek újra feltelepíthetőek, így a kompatibilitás különösebb csorbát azért nem szenved.
Az SMB1 eltávolításával hivatalosan is kikerül az operációs rendszerből a Computer Browser funkció, amely a hálózaton lévő számítógépek tartalmának böngészését tette lehetővé. Ez a szolgáltatás az SMB1 protokollt használja, annak hiányában pedig értelemszerűen elérhetetlenné válik majd.
A Microsoft egyébként valóságos irtóhadjáratot indított az SMB első kiadása ellen, tavaly szeptemberben jelentette be a vállalat, hogy igyekszik ezt a protokollt minél szélesebb körben kivonni a forgalomból. Akkor az apropót az MS16-114 patch adta, amely az SMB-implementáció távoli kódfuttatást és DoS-t lehetővé tévő hibáját javította. Ilyen kampány már indult korábban is a hasznos élettartamukat jelentősen túlélő szoftverek ellen, elegendő csak az IE6-ra vagy a Windows XP-re gondolni.
A közel 30 éves protokoll tényleg nem mai termék, az akkori szoftvertervezési gondolkodás meghökkentően naiv nézettel rendelkezett a hálózati biztonsággal kapcsolatban - mondja Ned Pyle, az SMB microsoftos termékgazdája. Olyan alapvető biztonsági elemek hiányoznak belőle, mint a titkosítás, a MiTM-támadások elleni védelem és érzékeny a downgrade támadásokra is.
A Microsoft második érve (a biztonság mellett) az SMB1 kivezetésére, hogy nem is modern, nem is hatékony megoldás a célra. Hiányzik belőle a nagyobb transzfer-csomagok támogatása és érzékeny a nagyobb késleltetésű WAN-ra, nem támogatja a BranchCache technológiát (amely lehetővé teszi a könyvtárstruktúrák és fájllisták gyorsítótárazását), a sor hosszan folytatható az azóta bevezetett újabb funkciókkal, sebességjavító megoldásokkal.
As an owner of SMB at MS, I cannot emphasize enough how much I want everyone to stop using SMB1 https://t.co/kHPqvyxTKC
- Ned Pyle (@NerdPyle) April 12, 2016
A harmadik érv pedig az, hogy az SMB1-re ma már nem is nagyon van szükség. Olyan esetben jön csak jól a protokoll, mint Windows XP-és és Windows Server 2003-as környezetek (amelyek támogatása régen lejárt, így itt már sokkal komolyabb problémák vannak, mint az SMB1 léte), vagy valamilyen ősi szoftver, esetleg régi multifunkciósok, amelyek SMB1-et használnak a "scan-to-share" implementációhoz.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Az SMB1-re támaszkodó eszközök és szoftverek listáját a Microsoft az elmúlt több, mint 6 évben célzott programmal igyekezett minimalizálni, ennek keretében frissült a Samba, a macOS, a nagyvállalati szoftverek és számtalan más megoldás SMB-implementációja SMB2 és SMB3 irányába. A programban a Microsoft együttműködött a nyomtatógyártókkal is, friss firmware gyakorlatilag minden érintett modellhez elérhetővé vált.
Hogy a vállalati felhasználók átállását megkönnyítse, a cég eszközöket kínál ahhoz, hogy az SMB1 forgalmat detektálni lehessen a hálózaton és így azonosíthatóak a régi protokollt használó eszközök. Egyúttal a Microsoft megkönnyítette az SMB1 eltávolítását is, amely immár csoportházirendből, PowerShellből, a Windows beépített telepítőjéből (Windows Features) is kiiktatható, néhány kattintással. Egészen eddig azonban a cég nem lépte meg, hogy az SMB1 ne is települjön, ebben hoz áttörést majd az őszi Windows 10-frissítés.