Biztonsági okokból megkezdi a veterán hálózati protokoll, az SMB (Server Message Block) legelső verziójának kivezetését a Microsoft - jelentette be a cég a Windows 10 legfrissebb béta kiadási jegyzeteiben. A döntés azonban nem csak az Insider Preview előzeteseket illeti, a cég elhatározta magát a Windows által nyújtott támadási felület zsugorítására, ennek megfelelően a következő Windows 10 alverzió (a Fall Creators Update) jelentős változásokat hoz az SMB1 kezelésében.

A hálózati megosztás IE6-ja

Alapértelmezett körülmények között a frissen telepített Windows 10 (Home és Pro kiadások is) az SMB1 kiszolgáló komponens nélkül működnek - a kliens viszont alapból elérhető marad. Egyszerűbben ez azt jelenti, hogy egy SMB1-et használó infrastruktúrában a Windows 10-es gép tud majd kapcsolódni a többi számítógéphez, azok azonban nem tudnak kapcsolódni SMB1-en a Windows 10-hez. A Microsoft további lépésként ajánlja még a kliens eltávolítását is, ez azonban már nem lesz alapértelmezett - egyelőre. A cég ígérete szerint egy későbbi frissítés ugyanis eltávolíthatja a klienst, ha a naplófájlok alapján azt semmi nem használja.

Szigorúbb eljárás alá esnek az Enteprise és Education kiadások, amelyek teljesen SMB1 támogatás nélkül települnek majd, mind a szerver, mind a kliens komponens hiányozni fog. Ezt valószínűleg a vállalati környezetek magasabb biztonsági igénye indokolja, a változásra azonban jó lesz felkészülniük a szervezeteknek. A váltás ezzel együtt korlátozott hatású, igény szerint a kérdéses komponensek újra feltelepíthetőek, így a kompatibilitás különösebb csorbát azért nem szenved.

Az SMB1 eltávolításával hivatalosan is kikerül az operációs rendszerből a Computer Browser funkció, amely a hálózaton lévő számítógépek tartalmának böngészését tette lehetővé. Ez a szolgáltatás az SMB1 protokollt használja, annak hiányában pedig értelemszerűen elérhetetlenné válik majd.

A Microsoft egyébként valóságos irtóhadjáratot indított az SMB első kiadása ellen, tavaly szeptemberben jelentette be a vállalat, hogy igyekszik ezt a protokollt minél szélesebb körben kivonni a forgalomból. Akkor az apropót az MS16-114 patch adta, amely az SMB-implementáció távoli kódfuttatást és DoS-t lehetővé tévő hibáját javította. Ilyen kampány már indult korábban is a hasznos élettartamukat jelentősen túlélő szoftverek ellen, elegendő csak az IE6-ra vagy a Windows XP-re gondolni.

A közel 30 éves protokoll tényleg nem mai termék, az akkori szoftvertervezési gondolkodás meghökkentően naiv nézettel rendelkezett a hálózati biztonsággal kapcsolatban - mondja Ned Pyle, az SMB microsoftos termékgazdája. Olyan alapvető biztonsági elemek hiányoznak belőle, mint a titkosítás, a MiTM-támadások elleni védelem és érzékeny a downgrade támadásokra is.

A Microsoft második érve (a biztonság mellett) az SMB1 kivezetésére, hogy nem is modern, nem is hatékony megoldás a célra. Hiányzik belőle a nagyobb transzfer-csomagok támogatása és érzékeny a nagyobb késleltetésű WAN-ra, nem támogatja a BranchCache technológiát (amely lehetővé teszi a könyvtárstruktúrák és fájllisták gyorsítótárazását), a sor hosszan folytatható az azóta bevezetett újabb funkciókkal, sebességjavító megoldásokkal.

As an owner of SMB at MS, I cannot emphasize enough how much I want everyone to stop using SMB1 https://t.co/kHPqvyxTKC