Protection contre le Ransomware Wannacrypt - Désactiver SMB1 sur Windows 10-8-7

Publié le par Wullfk

Désactiver SMB1

Désactiver SMB1

Bonjour,

Traduction et adaptation source (EN) : Why and how to disable SMB1 on Windows 10/8/7 - TheWindowsClub

Bien que les problèmes de sécurité avec les systèmes ne soient pas nouveaux, le désordre causé par le ransomware Wannacrypt a incité à une action immédiate chez les internautes. Ce Ransomware cible les vulnérabilités du service SMB de Windows pour se propager.

SMB (Server Message Block) est un protocole de partage de fichiers réseau destiné à partager des fichiers, des imprimantes, etc., entre ordinateurs. Il existe trois versions - Serveur Message Block (SMB) version 1 (SMB1), version 2 (SMB2) et version 3 (SMB3). Microsoft vous recommande de désactiver SMB1 pour des raisons de sécurité - et il est important de le faire en raison de l'épidémie du ransomware WannaCrypt (ou WannaCry).

Pour vous défendre contre le Ransomware WannaCrypt, il est impératif de désactiver SMB1 ainsi que d'installer les correctifs publiés par Microsoft. Voyons quelques-unes des façons de désactiver SMB1.

ATTENTION ! : Il est important de savoir que cette désactivation, peut vous faire perdre l'accès à vos dossiers partagés (avec un autre PC), ainsi que l'accès à vos lecteurs réseau (ex: le NAS de la Freebox V6), si c'est le cas, il vous suffit de réactiver SMB1

Désactiver SMB1 via le Panneau de configuration

Ouvrez le Panneau de configuration >> Programmes et fonctionnalités >> Activer ou désactiver des fonctionnalités Windows.

Dans la liste des options, il y a Support de partage de fichiers SMB 1.0/CIFS. Décochez la case associée à celle-ci et cliquez sur OK.

Redémarrer le PC.

Important ! Cette méthode ne permet plus l'accès au NAS de la Freebox V6, à vérifier pour d'autres lecteurs réseau.

Désactiver SMB1 en utilisant Powershell

Pour désactiver SMB1, ouvrez une fenêtre PowerShell en mode administrateur, tapez ou copier/coller la commande suivante et cliquez sur Entrée

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Cette commande va ajouter la clé de registre SMB1 avec la valeur 0

Si pour une raison quelconque, vous devez désactiver temporairement SMB2 et SMB3, utilisez cette commande: 

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 –Force

Cette commande va ajouter la clé de registre SMB2 avec la valeur 0

Remarque: Lorsque vous activez ou désactivez SMB2, SMB3 est également activé ou désactivé. Ce comportement est normal, car ces protocoles partagent la même pile.

Il est recommandé de désactiver SMB1 car il est obsolète et utilise une technologie de près de 30 ans.
 
Microsoft dit, lorsque vous utilisez SMB1, vous perdez les protections de clés offertes par les versions ultérieures du protocole SMB comme: 

  • Intégrité de pré-authentification (SMB 3.1.1+) - Protège contre les attaques de dégradation de sécurité.
  • Blocage autonome d'authentification invité (SMB 3.0+ sur Windows 10+) - Protège contre les attaques MiTM.
  • Secure Dialect Negotiation (SMB 3.0, 3.02) - Protège contre les attaques de dégradation de sécurité.
  • Meilleure signalisation de message (SMB 2.02+) - HMAC SHA-256 remplace MD5 en tant qu'hôtel algorithme de hachage dans SMB 2.02, SMB 2.1 et AES-CMAC remplace celui de SMB 3.0+. Les performances de signature augmentent dans SMB2 et 3.
  • Cryptage (SMB 3.0+) - Empêche l'inspection des données sur le fil, les attaques MiTM. Dans SMB 3.1.1, les performances de cryptage sont même meilleures que la signature.

Dans le cas où vous souhaitez les activer plus tard (non recommandé pour SMB1), les commandes seraient les suivantes:
 
Pour activer SMB1: 

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

Cette commande va ajouter la clé de registre SMB1 avec la valeur 1

Pour activer SMB2 et SMB3: 

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Cette commande va ajouter la clé de registre SMB2 avec la valeur 1

Redémarrer le PC après avoir apporté ces modifications.

Désactiver SMB1 à l'aide du registre Windows

Vous pouvez également modifier le registre de Windows pour désactiver SMB1.

 ATTENTION ! : manipuler la base de registre (BDR) est quelques fois risqué pour la stabilité de votre système, il vaut mieux la sauvegarder avant toute modification. (sauvegarder le registre rapidement) en complément vous pouvez aussi créer une image disque (sauvegarde système)

Exécutez regedit et accédez à la clé de Registre suivante:
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
 
Dans la fenêtre de droite, la clé DWORD SMB1 peut ne pas être présente ou devrait avoir la valeur 0.
 
Les valeurs d'activation et de désactivation sont les suivantes:
 
    0 = Désactivé
    1 = Activé
 
Pour plus d'options et de méthodes pour les protocoles SMB, le serveur SMB et le client SMB, visitez le Support Microsoft.

Publié dans Sécurité

Commenter cet article