우리는 익숙한 GPO 메커니즘을 깨는 MS16-072 업데이트로 수행할 작업을 배웠으며 6월에 발표된 또 다른 보안 공지인 MS16-077에 새로운 문제가 나타났습니다. 및 KB3161949 업데이트. 이 업데이트가 서버 시스템에 설치된 후에는 다른 서브넷의 클라이언트가 Netbios over TCP/IP를 사용하여 공유에 연결할 수 없습니다.
우선 문서를 스캔하고 사본을 서버의 네트워크 공유(SMB)에 저장하는 네트워크 스캐너에 문제가 나타났습니다. 문서가 더 이상 저장되지 않고 스캐너가 서버에 연결할 수 없음 오류를 반환합니다. . 또한 Samba 클라이언트를 도메인 컨트롤러에 연결하는 데 몇 가지 문제가 있는 것으로 나타났습니다(오류 액세스 거부 또는 사용 가능한 로그온 서버 없음 ). 가장 흥미로운 점은 Windows 공유에 대한 액세스 문제가 서버가 아닌 서브넷에 있는 클라이언트에서만 나타났다는 것입니다.
KB3165191 업데이트가 삭제된 후 액세스 문제가 발생하지 않았습니다.
KB3161949 업데이트의 기능을 살펴보겠습니다. 설명에 따르면 업데이트는 로컬 서브넷 외부의 NETBIOS 연결을 제한합니다. 따라서 NETBIOS에 의존하는 네트워크 기능(예:NETBIOS를 통한 SMB, 포트 137-139)은 다른 서브넷의 클라이언트에서 작동하지 않습니다. 공통 SMB 프로토콜(포트 445)은 양방향에서 사용할 수 있습니다.
이 동작을 변경하려면 다음 중 하나를 수행해야 합니다.
- 보안 업데이트 KB3161949 제거(최선의 방법 아님)
- 이름이 AllowNBToInternet인 Dword 매개변수 생성 및 값 1 (업데이트 설치 후 에서 0으로 설정됨) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters 서버의 레지스트리 분기 cmd
reg add "HKLM\System\CurrentControlSet\Services\NetBT\Parameters" /v "AllowNBToInternet" /t REG_DWORD /d 1 /f
또는 PowerShell
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters -Name AllowNBToInternet -Type DWord -Value 1
- 매개변수를 생성한 후 서버를 다시 시작합니다.
결과적으로 서버는 다른 서브넷의 NETBIOS 클라이언트에서 사용할 수 있게 됩니다.