什么是SMBv1？

SMB是一种应用层网络协议，主要用于提供对文件、打印机和串行端口的共享访问以及网络节点之间的各种通信。微软在过去几年里已经实现了三个版本的SMB；SMBv2和SMBv3比SMBv1安全得多。

许多勒索软件和加密货币挖掘恶意软件变种通过利用Microsoft的SMB版本1实现中的关键漏洞在计算机之间传播。Microsoft最近宣布，便宜ddos防御，他们的安全可视化工具（VAST）可以报告SMBv1活动。这是为了响应网络和安全经理的要求，他们想知道SMBv1在他们的网络上是否仍然处于活动状态。不过，在下载之前，让我们先看看备选方案。

如何从您的网络中根除SMBv1。您应该下载VAST还是使用其他方法？

有两种主要方法可以检测您网络上的SMBv1活动。您可以使用日志文件，也可以分析进出文件服务器的网络流量。日志文件需要在文件服务器上进行更改，您需要增加日志记录以捕获SMBv1事件。流量分析是被动的，不会对服务器的性能或存储造成任何影响，但您确实需要设置SPAN或镜像端口。

2018年3月底，Microsoft发布了Project VAST或Visual Auditing安全工具（VAST）。它使用Windows事件日志作为数据源，每次客户端尝试使用SMB1访问服务器时，Azure日志分析都会在EventID 3000上进行筛选。您确实需要使用下面的命令在每个文件服务器上启用审核，ddos防御多少g，ddos基础防御怎样开通，这种方法不适用于NAS单元等非Windows设备。

"$computers=Get Content"c:\SMB\u computers.txt"foreach（$computers中的computer）{Invoke command-ComputerName$computer-ScriptBlock{set smbserverconfiguration-auditsmb1Access$true-Force}}"

下图显示了这些事件的一个例子。如果您只有一个文件服务器，您可以手动检查这些事件，但是如果您有多个服务器，您最好使用单独的应用程序来完成此项工作。

检测SMBv1的一种更被动的方法是使用网络流量分析。要获取数据源，您需要监视进出任何文件服务器或网络连接存储设备的网络流量。这很容易设置，因为所有受管交换机都有一个称为跨端口或端口镜像的功能。

下图显示了一个典型的设置。通过核心交换机的通信量的副本被发送到监控端口。您需要将流量分析应用程序\设备连接到此端口，淘宝是如何防御ddos，阿里云服务器防御ddos，它会检查SMBv1活动的文件共享流量。

如果您将文件服务器托管在虚拟平台（如VMWare ESX）上，则不需要SPAN或镜像端口，您可以通过设置特殊的虚拟端口组来监视虚拟环境中的流量。我们在这个页面上有几个视频描述了设置过程。

下图显示了我们的LANGuardian系统的一个示例报告，可以用来检测SMBv1的活动。它还与Active Directory集成，因此您还可以查看相关的用户名。

在下载大量或类似的日志分析工具之前，请确保查看其他选项。监控流量会比在服务器上进行更改更容易吗？你有没有没有没有没有日志记录功能的文件共享设备？