Bien que les problèmes de sécurité dans les systèmes ne soient pas nouveaux, la confusion causée par le logiciel de rançon Wannacrypt a entraîné une action immédiate parmi les internautes. Ransomware cible les vulnérabilités du service SMB dans le système d'exploitation Windows.
SMB or Server Message Block est un protocole de partage de fichiers réseau pour partager des fichiers, des imprimantes, etc. entre ordinateurs. Il existe trois versions: Server Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2) et SMB version 3 (SMBv3). Microsoft vous recommande de désactiver SMB1 pour des raisons de sécurité - et il n'est pas plus important de le faire étant donné l'épidémie de rançon de WannaCrypt ou NotPetya.
Désactiver SMB1 sous Windows
Pour se défendre contre le ransomware WannaCrypt, il est impératif de désactiver SMB1 ainsi que patchs publié par Microsoft. Jetons un coup d'œil à certaines des façons de désactiver SMB1
Éteignez SMB1 via le contrôle du système
Ouvrez le Panneau de configuration> Programmes et fonctionnalités> Activer ou désactiver les fonctionnalités Windows
Dans la liste des options serait une option Support de partage de fichiers SMB 1.0 / CIFS. Décochez la case et appuyez sur OK.
Redémarrez votre ordinateur.
Désactiver SMBv1 avec Powershell
Ouvrez une fenêtre PowerShell en mode administrateur, tapez la commande suivante et appuyez sur Entrée pour désactiver SMB1:
Set-ItemProperty -path'HKLM: SYSTEME CurrentControlSetServicesLanmanmanServerParameters 'SMB1 -type DWORD –valeur 0 -force
Si pour une raison quelconque vous devez désactiver temporairement SMB version 2 et version 3, utilisez cette commande:
Set-ItemProperty -path'HKLM: SYSTEME CurrentControlSetServicesLanmanServerParameters 'SMB2 -type DWORD -value 0 -Force
Il est recommandé de désactiver la version SMB 1 car elle est obsolète et utilise une technologie presque vieille de 30.
Microsoft indique que si vous utilisez SMB1, vous perdez la protection de clé avec les versions ultérieures du protocole SMB telles que:
- Intégrité de pré-authentification (SMB 3.1.1.1+) - Protège contre les attaques de mise hors service.
- Authentification d'invité non sécurisée (SMB 3.0+ sur Windows 10+) - Protège contre les attaques MiTM.
- Négociation de dialogue sécurisé (SMB 3.0, 3.02) - Protège contre les attaques de dégradation de la sécurité.
- Meilleure signature de message (SMB 2.02+) - HMAC SHA-256 remplace MD5, car l'algorithme de hachage dans SMB 2.02, SMB 2.1 et AES-CMAC remplace SMB 3.0+. Amélioration des performances de signature dans SMB2 et 3 (14)
- Cryptage (SMB 3.0+) - Empêche la vérification des données sur la ligne, les attaques MiTM. Dans SMB 3.1.1.1, les performances de chiffrement sont encore meilleures que lors de la signature.
Si vous souhaitez les activer ultérieurement (non recommandé pour SMB1), les commandes sont les suivantes:
Pour activer SMB1:
Chemin Set-ItemProperty'HKLM: Valeur DWORD de type SMB1 de type SMB1 de SYSTEMCurrentControlSetServicesLanmanServerParameters XNUMX -Force
Pour activer SMB2 et SMB3:
Chemin Set-ItemProperty'HKLM: SMB2 Type DWORD Valeur 1 -Force de SYSTEMCurrentControlSetServicesLanmanServerParameters
Désactiver SMB1 via le registre Windows
Vous pouvez également personnaliser le registre Windows pour désactiver SMB1.
Accueil regedit et accédez à la clé de registre suivante:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter lire la suite