Aller au contenu






- - - - -

Protection contre le Ransomware Wannacrypt - Désactiver SMB1 sur Windows 10-8-7

Posté par Wullfk, dans Protection et Sécurité 20 mai 2017 · 2 586 visite(s)

Bonjour,
 
Traduction et adaptation source (EN) : Why and how to disable SMB1 on Windows 10/8/7 - TheWindowsClub
 
Bien que les problèmes de sécurité avec les systèmes ne soient pas nouveaux, le désordre causé par le ransomware Wannacrypt a incité à une action immédiate chez les internautes. Ce Ransomware cible les vulnérabilités du service SMB de Windows pour se propager.

SMB (Server Message Block) est un protocole de partage de fichiers réseau destiné à partager des fichiers, des imprimantes, etc., entre ordinateurs. Il existe trois versions - Serveur Message Block (SMB) version 1 (SMB1), version 2 (SMB2) et version 3 (SMB3). Microsoft vous recommande de désactiver SMB1 pour des raisons de sécurité - et il est important de le faire en raison de l'épidémie du ransomware WannaCrypt (ou WannaCry).
 
Pour vous défendre contre le Ransomware WannaCrypt, il est impératif de désactiver SMB1 ainsi que d'installer les correctifs publiés par Microsoft. Voyons quelques-unes des façons de désactiver SMB1.
 
ATTENTION ! : Il est important de savoir que cette désactivation, peut vous faire perdre l'accès à vos dossiers partagés (avec un autre PC), ainsi que l'accès à vos lecteurs réseau (ex: le NAS de la Freebox V6), si c'est le cas, il vous suffit de réactiver SMB1
 
Désactiver SMB1 via le Panneau de configuration
 
Ouvrez le Panneau de configuration >> Programmes et fonctionnalités >> Activer ou désactiver des fonctionnalités Windows.

Dans la liste des options, il y a Support de partage de fichiers SMB 1.0/CIFS. Décochez la case associée à celle-ci et cliquez sur OK.
 
Image IPB
 
Redémarrer le PC.
 
Désactiver SMB1 en utilisant Powershell
 
Pour désactiver SMB1, ouvrez une fenêtre PowerShell en mode administrateur, tapez ou copier/coller la commande suivante et appuyez sur Entrée:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Cette commande va ajouter la clé de registre SMB1 avec la valeur 0
 
Image IPB
 
Si pour une raison quelconque, vous devez désactiver temporairement SMB2 et SMB3, utilisez cette commande:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force
Cette commande va ajouter la clé de registre SMB2 avec la valeur 0
 
Remarque: Lorsque vous activez ou désactivez SMB2, SMB3 est également activé ou désactivé. Ce comportement est normal, car ces protocoles partagent la même pile.
 
Il est recommandé de désactiver SMB1 car il est obsolète et utilise une technologie de près de 30 ans.
 
Microsoft dit, lorsque vous utilisez SMB1, vous perdez les protections de clés offertes par les versions ultérieures du protocole SMB comme: 
  • Intégrité de pré-authentification (SMB 3.1.1+) - Protège contre les attaques de dégradation de sécurité.
  • Blocage autonome d'authentification invité (SMB 3.0+ sur Windows 10+) - Protège contre les attaques MiTM.
  • Secure Dialect Negotiation (SMB 3.0, 3.02) - Protège contre les attaques de dégradation de sécurité.
  • Meilleure signalisation de message (SMB 2.02+) - HMAC SHA-256 remplace MD5 en tant qu'hôtel algorithme de hachage dans SMB 2.02, SMB 2.1 et AES-CMAC remplace celui de SMB 3.0+. Les performances de signature augmentent dans SMB2 et 3.
  • Cryptage (SMB 3.0+) - Empêche l'inspection des données sur le fil, les attaques MiTM. Dans SMB 3.1.1, les performances de cryptage sont même meilleures que la signature.
Dans le cas où vous souhaitez les activer plus tard (non recommandé pour SMB1), les commandes seraient les suivantes:
 
Pour activer SMB1: 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
Cette commande va ajouter la clé de registre SMB1 avec la valeur 1
 
Pour activer SMB2 et SMB3: 
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force
Cette commande va ajouter la clé de registre SMB2 avec la valeur 1
 
Redémarrer le PC après avoir apporté ces modifications.
 
Désactiver SMB1 à l'aide du registre Windows
 
Vous pouvez également modifier le registre de Windows pour désactiver SMB1.

Image IPB ATTENTION ! : manipuler la base de registre (BDR) est quelques fois dangereux il vaut mieux la sauvegarder avant toute modification. (sauvegarder le registre rapidement)

Exécutez regedit et accédez à la clé de Registre suivante:
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
 
Dans la fenêtre de droite, la clé DWORD SMB1 peut ne pas être présente ou devrait avoir la valeur 0.
 
Les valeurs d'activation et de désactivation sont les suivantes:
 
    0 = Désactivé
    1 = Activé
 
Pour plus d'options et de méthodes pour les protocoles SMB, le serveur SMB et le client SMB, visitez le Support Microsoft.

  • 1



Bonjour,

 

Bizarre sur mon Seven, je l'avais deja désactvé et ce certainement de longue date, peut etre au cour d'une autre alerte de ransomware,

ce genre d'alerte etait courente a une epoque.

Il faut dire que sur cet ordi Seven ne fonctionne que tres rarement c'est plutot l'autre OS qui est dessus que j'utilise, mais par precaussion une verif ne fait pas de mal, justement il vient de faire une mises a jour (KB890830) les derniere date du 20

 merci du rappel.

J-A

    • 0
  • Signaler

Octobre 2017

D L M M J V S
1234567
891011121314
1516 17 18192021
22232425262728
293031    

Ma photo

Rechercher dans le blog

utilisateur(s) actif(s)

membre(s), invité(s), utilisateur(s) anonyme(s)