Jeżeli nasza Samba pracuje jako kontroler domeny możemy sprawdzić czy jest odporna na ten atak.
Rozwiązaniem problemu jest ustawienie w pliku smb.conf
server schannel = yesOd wersji 4.8 domyślnym zachowaniem Samby było wymuszanie bezpiecznego kanału dla wszystkich klientów, co jest wystarczającą poprawką przeciwko znanym exploitom ataku CVE-2020-1472. We wszystkich wersjach możemy sprawdzić to ustawienie za pomocą testparm.
$ testparm -v -s|grep schannel
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
client schannel = Yes
server schannel = YesJeśli rolą serwera jest kontroler domeny, upewnij się, że parametr „server schannel” jest ustawiony na „yes”, aby mieć pewność, że bezpieczny kanał jest zawsze ustanawiany.