Cómo deshabilitar la inspección SMBv3 AV
27360
Created On 06/17/21 14:48 PM - Last Modified 04/14/25 11:20 AM
Objective
Para dar un paso a paso sobre la desactivación de la inspección SMBv3 en redes internas.
Environment
Todo Pan OS
Procedure
Síntoma; Cualquier panorámica OS firewall que obtenga detecciones de falsos positivos para el tráfico SMBv3, sin nombre de archivo ni detalles.
Esta solución puede ser necesaria para las redes que no desean apagar SMBv3 multicanal y reciben detecciones de falsos positivos para el tráfico SMBv3.
1) Verifique qué regla se está aplicando para el tráfico SMBv3.
1a) Busque en los registros de amenazas los desencadenadores de falsos positivos y verifique la regla en la columna de reglas.
1b) Vaya a políticas y busque la regla y busque el AV perfil que se adjunta a esa regla.
2) Vaya a Objects -> Anti-Virus y seleccione el perfil correcto.
2a) Una vez en el perfil correcto, haga clic en el botón Agregar en la parte inferior derecha del panel Excepción de aplicación.
3) Buscar y seleccionar MS-SMBv3
4) Cambiar la acción. La acción sugerida es permitir.
5) Haga clic en aceptar y confirme.
Additional Information
Este procedimiento permitirá el tráfico SMBv3 sin causar falsos positivos debido a la división multicanal del archivo en pedazos y su envío a través del firewall. La compatibilidad ahora incluye SMBv3 (3.0, 3.0.2 y 3.1.1) y tiene capacidades adicionales de detección de amenazas e identificación de archivos, rendimiento y confiabilidad en todas las versiones de SMB.
Firewall SMB Estas mejoras proporcionan una capa adicional de seguridad para las redes, como las implementaciones de centros de datos, los segmentos de red y las redes internas, al permitir que los archivos transmitidos mediante SMB se reenvíen para WildFire su análisis. Debido a la forma en que SMBv3 Multichannel funciona en la división de archivos, los clientes deben deshabilitar el uso de la transferencia de archivos multicanal para obtener la máxima protección e inspección de archivos.
Como resultado, Palo Alto Networks recomienda deshabilitar SMB Multicanal a través de Windows PowerShell.
Si deshabilitar Multicanal no es una opción, deshabilitar la inspección SMBv3 es la otra ruta viable.
Es poco probable que esto debilite una postura de seguridad, ya que todos los archivos colocados en un recurso compartido de archivos deben inspeccionarse al entrar en la red.
Con el uso de Traps, un archivo colocado directamente en un punto final se enviará e wildfire inspeccionará.