如何禁用 SMBv3AV检查
29892
Created On 06/17/21 14:48 PM - Last Modified 04/14/25 11:20 AM
Objective
逐步说明如何在内部网络上禁用 SMBv3 检查。
Environment
全锅OS
Procedure
症状;任何平底锅OS firewall这是针对 SMBv3 流量的误报检测,没有文件名,也没有详细信息。
对于不想关闭 SMBv3 多通道并且正在接收 SMBv3 流量的误报检测的网络,此解决方法可能是必要的。
1) 验证 SMBv3 流量正在命中哪个规则。
1a) 在威胁日志中查找误报触发器并验证规则列中的规则。
1b) 转到策略并查找规则找到AV附加到该规则的配置文件。
2) 转到对象 -> 反病毒并选择正确的配置文件。
2a) 进入正确的配置文件后,单击“应用程序异常”面板右下角的“添加”按钮。
3) 搜索并选择MS-SMBv3
4)改变动作。 建议的操作是允许。
5) 单击确定,然后提交。
Additional Information
此过程将允许 SMBv3 流量,而不会由于多通道将文件拆分为多个部分并通过firewall.
FirewallSMB支持现在包括 SMBv3(3.0、3.0.2 和 3.1.1),并在所有版本中具有额外的威胁检测和文件识别功能、性能和可靠性SMB. 这些改进为数据中心部署、网段和内部网络等网络提供了额外的安全层,允许使用SMB转发给WildFire进行分析。 由于 SMBv3 多通道拆分文件的方式,客户应禁用多通道文件传输以最大程度地保护和检查文件。
因此,Palo Alto Networks 建议禁用SMB通过 Windows PowerShell 的多通道。
如果禁用多通道不是一个选项,那么禁用 SMBv3 检查是另一个可行的方法。
这不太可能削弱安全态势,因为放置在文件共享上的所有文件在进入网络时都应该受到检查。
随着使用Traps,直接放置在端点上的文件将被发送到wildfire并进行了检查。