US-CERT最近提醒用户不要使用Windows Server Message Block的过时版本，例如Windows SMB v1。那么，企业该怎样判断Windows SMB v1是否仍其系统中呢？

Matthew Pascucci：服务器消息块或SMB协议是一种文件共享协议，允许操作系统和应用程序将数据读取和写入系统。它还允许系统从服务器请求服务。

最新版本的Windows操作系统支持SMB v2和SMB v3，而Microsoft正试图在其软件中取消SMB v1的使用。

Windows SMB v1包含许多漏洞，包括远程执行代码和拒绝服务漏洞。这两个漏洞可能会使系统发生故障，或允许攻击者利用此漏洞协议来破坏企业系统。

微软在Windows SMB v1中修补了类似漏洞的操作系统，此外，也推出了新版本的协议，以取代使用此第一版SMB。

Windows 2003是最后一个仅使用SMB v1的Windows操作系统，现在不再受Microsoft支持。 Windows 2003以后的所有版本的Windows操作系统都能够支持SMB v2或SMB v3。不过很多时候，网络中运行着需要启用Windows SMB v1的存储设备、打印机或应用程序，当然它们也可使用较新版本的SMB。

攻击者如果启用这些漏洞，就很容易利用它们，即使系统在使用SMB v2或v3，如果攻击者将通信降级到SMB v1，他便可以利用该系统，可导致中间人攻击。

在较新版本的操作系统中，Microsoft已删除了SMB v1作为可选组件的功能，并允许审核功能来确定系统中是否仍在实际使用SMB v1。审计命令是：Set-SmbServerConfiguration –AuditSmb1Sccess $ True。一旦协议经使用，它将显示在日志中，管理员能够进一步进行调查。如果审核显示需要SMB v1的打印机、存储设备和应用程序，则可能需要考虑升级。

如果已经审核过系统，并确定可以禁用协议而不会造成任何损坏，则可以运行以下命令来禁用协议：Set-SmbServerConfiguration — EnableSMB1Protocol $ false，这也可以在Windows Server Manager中完成。

同时应确保TCP端口445、UDP端口137-138和TCP端口139不能从外部进行访问，以验证SMB协议没有暴露在互联网中。