วิธีปิด SMBv1 บน Windows Server 2025 ลดความเสี่ยงจากช่องโหว่ระดับโลกอย่าง WannaCry

SMBv1 (Server Message Block Version 1) เป็นโปรโตคอลแชร์ไฟล์รุ่นเก่าที่ Microsoft เปิดตัวมานานหลายสิบปี แม้จะเคยเป็นมาตรฐานในอดีต แต่ปัจจุบัน SMBv1 ถูกจัดว่าเป็นหนึ่งในโปรโตคอลที่มีความเสี่ยงสูงที่สุดด้าน Cybersecurity

การโจมตีด้วย Ransomware ชื่อดังอย่าง WannaCry ในปี 2017 ใช้ช่องโหว่ของ SMBv1 เป็นหนึ่งในช่องทางหลักในการแพร่กระจายไปทั่วโลก ส่งผลกระทบต่อองค์กร โรงพยาบาล และหน่วยงานรัฐบาลจำนวนมาก

สำหรับ Windows Server 2025 การปิด SMBv1 ถือเป็นหนึ่งในขั้นตอน Security Hardening ที่สำคัญที่สุด และควรดำเนินการทันทีหากยังมีการเปิดใช้งานอยู่

① SMBv1 คืออะไร

SMB ย่อมาจาก

Server Message Block

เป็นโปรโตคอลสำหรับ

• แชร์ไฟล์
• แชร์โฟลเดอร์
• แชร์เครื่องพิมพ์
• การสื่อสารระหว่างเครื่องในเครือข่าย

SMB มีหลายเวอร์ชัน

• SMBv1
• SMBv2
• SMBv3

ปัจจุบัน Microsoft แนะนำให้ใช้ SMBv3 เท่านั้น

② ทำไม SMBv1 ถึงอันตราย

SMBv1 ถูกออกแบบในยุคที่ภัยคุกคามยังไม่ซับซ้อน

ข้อเสียหลัก

• ไม่มีการเข้ารหัสข้อมูล
• ประสิทธิภาพต่ำ
• รองรับการยืนยันตัวตนแบบเก่า
• มีช่องโหว่ด้านความปลอดภัยจำนวนมาก

จึงกลายเป็นเป้าหมายของผู้โจมตีทั่วโลก

③ WannaCry เกี่ยวข้องกับ SMBv1 อย่างไร

WannaCry ใช้ช่องโหว่

MS17-010

ในการโจมตี SMBv1

เมื่อเครื่องหนึ่งติดเชื้อ

Ransomware สามารถแพร่กระจายไปยังเครื่องอื่นในเครือข่ายได้อัตโนมัติ

นี่คือเหตุผลที่หลายองค์กรปิด SMBv1 ทันทีหลังเหตุการณ์ดังกล่าว

④ วิธีตรวจสอบว่า SMBv1 เปิดอยู่หรือไม่

เปิด PowerShell แบบ Administrator

ใช้คำสั่ง

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

ผลลัพธ์ตัวอย่าง

State : Enabled

หากเป็น Enabled ควรปิดใช้งาน

⑤ วิธีตรวจสอบ SMB Server Configuration

ใช้คำสั่ง

Get-SmbServerConfiguration

ดูค่า

EnableSMB1Protocol

หากแสดง

True

แสดงว่ายังเปิด SMBv1 อยู่

⑥ วิธีปิด SMBv1 ผ่าน PowerShell

วิธีที่ Microsoft แนะนำ

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

จากนั้นรีสตาร์ตเครื่อง

Restart-Computer

⑦ วิธีปิด SMBv1 ผ่าน Server Manager

เปิด

Server Manager

เลือก

Manage

→

Remove Roles and Features

ค้นหา

SMB 1.0/CIFS File Sharing Support

ยกเลิกการเลือก

จากนั้นกด Next และ Complete

⑧ วิธีปิด SMBv1 ผ่าน Registry

กรณีต้องการ Deploy จำนวนมาก

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name SMB1 -Value 0

หลังจากนั้นรีสตาร์ตระบบ

⑨ วิธีตรวจสอบหลังปิด SMBv1

ตรวจสอบอีกครั้ง

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

ควรแสดง

State : Disabled

และ

Get-SmbServerConfiguration

ควรแสดง

EnableSMB1Protocol : False

⑩ SMBv2 และ SMBv3 ดีกว่าอย่างไร

ข้อดี

• ปลอดภัยกว่า
• เร็วกว่า
• รองรับ Encryption
• รองรับ Signing
• รองรับ Modern Authentication

Windows Server 2025 รองรับ SMBv3 เต็มรูปแบบ

จึงไม่มีเหตุผลที่จะใช้งาน SMBv1 ต่อไป

⑪ ผลกระทบหลังปิด SMBv1

อุปกรณ์รุ่นเก่าบางประเภทอาจได้รับผลกระทบ

เช่น

• NAS รุ่นเก่า
• Printer รุ่นเก่า
• Scanner รุ่นเก่า
• Windows XP
• Windows Server 2003

ควรตรวจสอบก่อนดำเนินการใน Production

⑫ วิธีตรวจสอบอุปกรณ์ที่ยังใช้ SMBv1

ใช้

• Network Monitoring
• Event Viewer
• Wireshark
• Security Audit

เพื่อตรวจสอบว่ามีอุปกรณ์ใดยังเชื่อมต่อผ่าน SMBv1 อยู่หรือไม่

⑬ ข้อผิดพลาดที่พบบ่อย

ปิด SMBv1 โดยไม่สำรวจระบบก่อน

อาจกระทบอุปกรณ์รุ่นเก่า

เข้าใจผิดว่า SMBv2 จะถูกปิดด้วย

จริง ๆ แล้ว SMBv2 และ SMBv3 ยังทำงานตามปกติ

ไม่รีสตาร์ตเครื่อง

ทำให้การเปลี่ยนแปลงยังไม่สมบูรณ์

ไม่ตรวจสอบหลังปิด

อาจเข้าใจผิดว่าปิดสำเร็จแล้ว

⑭ Security Risk หากยังใช้ SMBv1

ความเสี่ยง

• Ransomware
• Worm Propagation
• Remote Code Execution
• Credential Theft
• Lateral Movement

หลายมาตรฐาน Security ระดับองค์กรถือว่าการเปิด SMBv1 เป็นความเสี่ยงสูง

⑮ Best Practice สำหรับองค์กร

• ปิด SMBv1 ทุกเครื่อง
• ใช้ SMBv3 เท่านั้น
• เปิด SMB Signing
• อัปเดต Windows สม่ำเสมอ
• ตรวจสอบ Network Audit รายเดือน

ทีมงาน comsiam มักตรวจสอบ SMBv1 เป็นหนึ่งในรายการแรกของ Security Assessment เพราะยังพบเปิดใช้งานอยู่ในหลายองค์กร แม้จะเป็นช่องโหว่ที่ถูกพูดถึงมานานแล้ว

หลายระบบที่ comsiam เข้าไปตรวจสอบพบว่า SMBv1 ถูกเปิดทิ้งไว้โดยไม่มีเหตุผลทางธุรกิจ ทำให้เกิดความเสี่ยงโดยไม่จำเป็น

⑯ FAQ

Windows Server 2025 ยังใช้ SMBv1 หรือไม่

โดยทั่วไปไม่จำเป็นต้องใช้

ปิด SMBv1 แล้วแชร์ไฟล์ได้หรือไม่

ได้ ผ่าน SMBv2 หรือ SMBv3

SMBv3 ปลอดภัยกว่าหรือไม่

ปลอดภัยกว่ามาก

ควรปิดทันทีหรือไม่

ควรตรวจสอบอุปกรณ์เก่าก่อน แล้วจึงดำเนินการ

⑰ สรุป

SMBv1 เป็นโปรโตคอลเก่าที่มีความเสี่ยงสูงและไม่เหมาะกับการใช้งานในปัจจุบัน การปิด SMBv1 บน Windows Server 2025 เป็นหนึ่งในมาตรการ Hardening ที่สำคัญที่สุด ช่วยลดความเสี่ยงจาก Ransomware, Remote Code Execution และการแพร่กระจายของ Malware ภายในองค์กรได้อย่างมีประสิทธิภาพ

⑱ คำถามชวนคิด

หากวันนี้มีเครื่องหนึ่งในองค์กรติด Malware และ SMBv1 ยังเปิดอยู่ คุณมั่นใจหรือไม่ว่าการโจมตีจะไม่แพร่กระจายไปยังเซิร์ฟเวอร์และเครื่องอื่นทั้งเครือข่าย?