Désactiver SMBv1 et éviter les Ransomware!


Les dernières vagues de Ransomware exploitent une faille de sécurité connue et normalement “patchée” avec le MS17-010 en utilisant “Eternal Blue” leaké par The Shadow Brokers plus tôt cette année… plus d’info ici: https://fr.wikipedia.org/wiki/WannaCry

Donc il suffit en théorie de maintenir ses systèmes à jour pour l’éviter!

Si vous souhaitez prendre les devants, vous pouvez également désactiver SMBv1 qui est à la base de la vulnérabilité…et qui présente en plus des inconvénient au niveau des performances par rapport à SMBv2…

Pour cela je vous conseille de suivre les indications d’ Aaron Margosis, de Microsoft données ici:https://blogs.technet.microsoft.com/secguide/2017/06/15/disabling-smbv1-through-group-policy/ . Il s’appuie sur les ADMX/ADML du Guide de Sécurisation de Windows (que tout admin digne de ce nom devrait lire régulièrement) disponible ici: https://blogs.technet.microsoft.com/secguide/2017/06/15/security-baseline-for-windows-10-creators-update-v1703-draft/ .

Si vous avez SCCM, vous pouvez aussi utiliser les “Compliance Settings” pour le faire, voir l’article de Cameron COX (Microsoft PFE) sur les étapes nécessaires ici: https://blogs.technet.microsoft.com/systemcenterpfe/2017/05/22/disable-smbv1-in-your-environments-with-configuration-manager-compliance-settings/

Et voila un trés bon article de Mattias Benninge , pour utiliser le filtrage sur vos serveurs de fichiers afin de déceler rapidement une infection en cours de propagation: https://deploymentresearch.com/Research/Post/634/Using-File-Screen-to-block-Ransomware-like-WannaCry-on-server-shares-Part-1

Alors n’attendez pas la catastrophe pour réagir, cette deuxième vague n’aurait jamais du avoir les conséquences qu’elle a sachant qu’elle exploite les même failles que celles de WannaCry… il faut apprendre ou mourir (oui, je suis Formateur…) et cela parait fou de voir que quelques semaines après une telle attaque de grands groupes n’ont toujours pas mis en place les correctifs ou mesures nécessaires pour se protéger contre une menace connue, exploitée et déjà identifiée clairement il y a plus de 6 mois.

Bon Patchage à tous!

PierrE.

A propos Red Kaffe

IT Trainer and Consultant on Microsoft Technologies. Windows Server and Client, Service Center 2012, WSUS/MDT/ADK/WAIK, SBS 2008/2011, Office 365, etc. Fully dedicated to support and train my customers...
Cet article, publié dans business, Ransomeware, Security, System Center, WSUS, est tagué , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s