Deaktivieren der SMBv3-Überprüfung AV
27360
Created On 06/17/21 14:48 PM - Last Modified 04/14/25 11:20 AM
Objective
Eine Schritt-für-Schritt-Anleitung zum Deaktivieren der SMBv3-Überprüfung in internen Netzwerken.
Environment
Alle Pfannen OS
Procedure
Symptom; Jeder Pan OS firewall , der falsch positive Erkennungen für SMBv3-Datenverkehr erhält, ohne Dateinamen und ohne Details.
Diese Problemumgehung kann für Netzwerke erforderlich sein, die SMBv3 Multichannel nicht abschalten möchten und falsch positive Erkennungen für SMBv3-Datenverkehr empfangen.
1) Überprüfen Sie, welche Regel für den SMBv3-Datenverkehr getroffen wird.
1a) Suchen Sie in den Bedrohungsprotokollen nach den falsch-positiven Auslösern und überprüfen Sie die Regel in der Regelspalte.
1b) Gehen Sie zu Richtlinien und suchen Sie nach der Regel, um das Profil zu finden, das AV dieser Regel zugeordnet ist.
2) Gehen Sie zu Objekte -> Anti-Virus und wählen Sie das richtige Profil aus.
2a) Sobald Sie sich im richtigen Profil befinden, klicken Sie auf die Schaltfläche Hinzufügen unten rechts im Bereich Anwendungsausnahme.
3) Suchen und wählen Sie SMBv3
4) Ändern Sie MS-die Aktion. Die vorgeschlagene Aktion ist zulässig.
5) Klicken Sie auf OK und verpflichten Sie sich.
Additional Information
Dieses Verfahren ermöglicht SMBv3-Datenverkehr, ohne Fehlalarme zu verursachen, da die Datei über mehrere Kanäle in Teile aufgeteilt und über die firewallgesendet wird. Die Unterstützung umfasst jetzt SMBv3 (3.0, 3.0.2 und 3.1.1) und verfügt über zusätzliche Funktionen zur Bedrohungserkennung und Dateiidentifizierung, Leistung und Zuverlässigkeit in allen Versionen von SMB.
Firewall SMB Diese Verbesserungen bieten eine zusätzliche Sicherheitsebene für Netzwerke, z. B. Rechenzentrumsbereitstellungen, Netzwerksegmente und interne Netzwerke, indem Dateien, die über übertragen wurden SMB , zur Analyse weitergeleitet WildFire werden können. Aufgrund der Art und Weise, wie SMBv3 Multichannel beim Aufteilen von Dateien arbeitet, sollten Kunden die Verwendung der Mehrkanal-Dateiübertragung deaktivieren, um Dateien optimal zu schützen und zu überprüfen.
Daher empfiehlt Palo Alto Networks, Multichannel über Windows PowerShell zu SMB deaktivieren.
Wenn das Deaktivieren von Multichannel keine Option ist, ist das Deaktivieren der SMBv3-Überprüfung die andere praktikable Route.
Es ist unwahrscheinlich, dass dies die Sicherheitslage schwächt, da alle Dateien, die sich auf einer Dateifreigabe befinden, überprüft werden sollten, wenn sie in das Netzwerk gelangen.
Mit der Verwendung von Trapswird eine Datei, die direkt auf einem Endpunkt abgelegt wird, an wildfire diesen gesendet und überprüft.