Aller au contenu

Wullfk Blog

  • entries
    192
  • comments
    122
  • views
    814 061

Protection contre le Ransomware Wannacrypt - Désactiver SMB1 sur Windows 10-8-7

Wullfk

5 575 vues

Bonjour,

 

Traduction et adaptation source (EN) : Why and how to disable SMB1 on Windows 10/8/7 - TheWindowsClub

 

Bien que les problèmes de sécurité avec les systèmes ne soient pas nouveaux, le désordre causé par le ransomware Wannacrypt a incité à une action immédiate chez les internautes. Ce Ransomware cible les vulnérabilités du service SMB de Windows pour se propager.

 

SMB (Server Message Block) est un protocole de partage de fichiers réseau destiné à partager des fichiers, des imprimantes, etc., entre ordinateurs. Il existe trois versions - Serveur Message Block (SMB) version 1 (SMB1), version 2 (SMB2) et version 3 (SMB3). Microsoft vous recommande de désactiver SMB1 pour des raisons de sécurité - et il est important de le faire en raison de l'épidémie du ransomware WannaCrypt (ou WannaCry).

 

Pour vous défendre contre le Ransomware WannaCrypt, il est impératif de désactiver SMB1 ainsi que d'installer les correctifs publiés par Microsoft. Voyons quelques-unes des façons de désactiver SMB1.

 

ATTENTION ! : Il est important de savoir que cette désactivation, peut vous faire perdre l'accès à vos dossiers partagés (avec un autre PC), ainsi que l'accès à vos lecteurs réseau (ex: le NAS de la Freebox V6), si c'est le cas, il vous suffit de réactiver SMB1

 

Désactiver SMB1 via le Panneau de configuration

 

Ouvrez le Panneau de configuration >> Programmes et fonctionnalités >> Activer ou désactiver des fonctionnalités Windows.

 

Dans la liste des options, il y a Support de partage de fichiers SMB 1.0/CIFS. Décochez la case associée à celle-ci et cliquez sur OK.

 

ob_1d6525_support-de-partage-de-fichiers-smb-1-0.png

 

Redémarrer le PC.

 

Désactiver SMB1 en utilisant Powershell

 

Pour désactiver SMB1, ouvrez une fenêtre PowerShell en mode administrateur, tapez ou copier/coller la commande suivante et appuyez sur Entrée:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Cette commande va ajouter la clé de registre SMB1 avec la valeur 0

 

ob_f7d053_powershell-script-600x124.png

 

Si pour une raison quelconque, vous devez désactiver temporairement SMB2 et SMB3, utilisez cette commande:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force

Cette commande va ajouter la clé de registre SMB2 avec la valeur 0

 

Remarque: Lorsque vous activez ou désactivez SMB2, SMB3 est également activé ou désactivé. Ce comportement est normal, car ces protocoles partagent la même pile.

 

Il est recommandé de désactiver SMB1 car il est obsolète et utilise une technologie de près de 30 ans.

 

Microsoft dit, lorsque vous utilisez SMB1, vous perdez les protections de clés offertes par les versions ultérieures du protocole SMB comme:

  • Intégrité de pré-authentification (SMB 3.1.1+) - Protège contre les attaques de dégradation de sécurité.
  • Blocage autonome d'authentification invité (SMB 3.0+ sur Windows 10+) - Protège contre les attaques MiTM.
  • Secure Dialect Negotiation (SMB 3.0, 3.02) - Protège contre les attaques de dégradation de sécurité.
  • Meilleure signalisation de message (SMB 2.02+) - HMAC SHA-256 remplace MD5 en tant qu'hôtel algorithme de hachage dans SMB 2.02, SMB 2.1 et AES-CMAC remplace celui de SMB 3.0+. Les performances de signature augmentent dans SMB2 et 3.
  • Cryptage (SMB 3.0+) - Empêche l'inspection des données sur le fil, les attaques MiTM. Dans SMB 3.1.1, les performances de cryptage sont même meilleures que la signature.

Dans le cas où vous souhaitez les activer plus tard (non recommandé pour SMB1), les commandes seraient les suivantes:

 

Pour activer SMB1:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Cette commande va ajouter la clé de registre SMB1 avec la valeur 1

 

Pour activer SMB2 et SMB3:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

Cette commande va ajouter la clé de registre SMB2 avec la valeur 1

 

Redémarrer le PC après avoir apporté ces modifications.

 

Désactiver SMB1 à l'aide du registre Windows

 

Vous pouvez également modifier le registre de Windows pour désactiver SMB1.

 

Attention-1.gif ATTENTION ! : manipuler la base de registre (BDR) est quelques fois dangereux il vaut mieux la sauvegarder avant toute modification. (sauvegarder le registre rapidement)

 

Exécutez regedit et accédez à la clé de Registre suivante:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

 

Dans la fenêtre de droite, la clé DWORD SMB1 peut ne pas être présente ou devrait avoir la valeur 0.

 

Les valeurs d'activation et de désactivation sont les suivantes:

 

0 = Désactivé

1 = Activé

 

Pour plus d'options et de méthodes pour les protocoles SMB, le serveur SMB et le client SMB, visitez le Support Microsoft.



1 Commentaire


Commentaires recommandés

Bonjour,

 

Bizarre sur mon Seven, je l'avais deja désactvé et ce certainement de longue date, peut etre au cour d'une autre alerte de ransomware,

ce genre d'alerte etait courente a une epoque.

Il faut dire que sur cet ordi Seven ne fonctionne que tres rarement c'est plutot l'autre OS qui est dessus que j'utilise, mais par precaussion une verif ne fait pas de mal, justement il vient de faire une mises a jour (KB890830) les derniere date du 20

merci du rappel.

J-A

Partager ce commentaire


Lien vers le commentaire

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Add a comment...

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...