Comment désactiver l’inspection SMBv3 AV
27338
Created On 06/17/21 14:48 PM - Last Modified 04/14/25 11:20 AM
Objective
Pour donner une étape par étape sur la désactivation de l’inspection SMBv3 sur les réseaux internes.
Environment
Tout en casserole OS
Procedure
Symptôme; Tout Pan OS firewall qui reçoit des détections de faux positifs pour le trafic SMBv3, sans nom de fichier et sans détails.
Cette solution de contournement peut être nécessaire pour les réseaux qui ne souhaitent pas arrêter SMBv3 Multichannel et qui reçoivent des détections de faux positifs pour le trafic SMBv3.
1) Vérifiez quelle règle est touchée pour le trafic SMBv3.
1a) Recherchez les déclencheurs de faux positifs dans les journaux des menaces et vérifiez la règle dans la colonne de la règle.
1b) Accédez aux stratégies et recherchez la règle, trouvez le AV profil attaché à cette règle.
2) Allez dans Objets -> Antivirus et sélectionnez le bon profil.
2a) Une fois dans le bon profil, cliquez sur le bouton Ajouter en bas à droite du panneau Exception d’application.
3) Recherchez et sélectionnez MS-SMBv3
4) Modifiez l’action. L’action suggérée est autorisée.
5) Cliquez sur OK et validez.
Additional Information
Cette procédure autorisera le trafic SMBv3 sans provoquer de faux positifs en raison de la division multicanal du fichier en morceaux et de son envoi via le . le firewallsupport inclut désormais SMBv3 (3.0, 3.0.2 et 3.1.1) et dispose de capacités supplémentaires de détection des menaces et d’identification des fichiers, de performances et de fiabilité sur toutes les versions de SMB.
Firewall SMB Ces améliorations fournissent une couche de sécurité supplémentaire pour les réseaux, tels que les déploiements de centres de données, les segments de réseau et les réseaux internes, en permettant le transfert WildFire des fichiers transmis à l’aide SMB pour analyse. En raison de la façon dont SMBv3 Multichannel fonctionne dans le fractionnement des fichiers, les clients doivent désactiver l’utilisation du transfert de fichiers multicanal pour une protection et une inspection maximales des fichiers.
Par conséquent, Palo Alto Networks recommande de SMB désactiver le multicanal via Windows PowerShell.
Si la désactivation du multicanal n’est pas une option, la désactivation de l’inspection SMBv3 est l’autre voie viable.
Il est peu probable que cela affaiblisse une posture de sécurité, car tous les fichiers placés sur un partage de fichiers doivent être inspectés lorsqu’ils entrent sur le réseau.
Avec l’utilisation de , un fichier placé directement sur un point de Trapsterminaison sera envoyé et wildfire inspecté.