Windows 10 1709 - Anti-Ransomware et Anti-Exploit dans Windows Defender...et protocole SMB1
En matière de sécurité Windows Fall Creators Update (1709) introduit dans le Centre de Sécurité de Windows Defender deux nouvelles protections majeur.
Parmi ces nouveaux éléments sécuritaire il faut aussi prendre en compte l'abandon en parti du protocole de mise en réseau SMB1 (voir paragraphe en fin d'article)
Anti-Ransomware
La fonction Dispositif d'accès contrôlé aux dossiers vous permet de protéger des dossiers contre la modification non autorisée par des applications. Le système surveille alors les demandes de lecture et écritures des applications, et notifie l’utilisateur en cas d’utilisation suspecte. Vos données sont ainsi protégées contre les ransomware et autres applications malicieuses. Il est possible d’ajouter des applications en liste blanche pour ne pas générer trop de notifications.
Par défaut, les dossiers Documents, Images, Musiques, Bureau, et Films sont protégés par le système.
Comment activer la protection Anti-Ransomware de Windows 10 1709 - Malekal
Anti-Exploit
Microsoft a intégré nativement Enhanced Mitigation Experience Toolkit (EMET), la protection Anti-Exploit (Windows Defender Exploit Guard) est destinée à protéger votre ordinateur contre l'exploitation des attaques de vulnérabilités 0-day, comme peut le faire MalwareBytes.
"L’utilisateur peut y désactiver ou activer un certain nombre de paramètres visant à protéger le système contre les « exploits » détectés par Microsoft. L’éditeur détaillera bientôt la fonction de chaque paramètre, mais on peut déjà y lire qu’il s’agit de « garantir l’intégrité du flux de contrôle », « empêcher l’exécution du code depuis des pages mémoires composées de données uniquement » ou encore d’« allouer des emplacements aléatoires de mémoire virtuelle ».
Il est également possible de régler ces paramètres, application par application, à la manière du pare-feu Windows. Enfin, comme pour répondre à l’attaque de Kaspersky, Microsoft indique qu’il n’est pas nécessaire d’activer Windows Defender pour bénéficier de ces fonctionnalités."
Source : Numerama
Abandon du protocole SMB1
Adaptation et compilation des sources : LeMondeInformatique et Numerama
Microsoft a concentré ses efforts pour renforcer la sécurité avec notamment la suppression du protocole de mise en réseau SMBv1, extrêmement précaire et très piraté.
Le protocole SMB est l’un des protocoles supportés par Windows pour le partage d’imprimantes et de fichiers sur le réseau local.
Le protocole SMB1 d'origine date de presque 30 ans (développée en 1985 par IBM) et, comme la plupart des logiciels des années 80, il a été conçu pour un monde qui n'existe plus. Un monde sans acteurs malveillants, dépourvu d'énormes volumes de données importantes, sans utilisation quasi universelle de l'ordinateur. Il est pourtant toujours prise en charge par les dernières versions de Windows.
Dans Windows 10 Fall Creators Update, SMB1 est finalement remis en avant ... en quelque sorte. Il ne sera pas inclus dans les installations Windows 10 propres, mais les composants SMBv1 resteront sur les machines Windows qui ont déjà installé le protocole et sont en cours de mise à jour. Donc, le protocole ne disparaît pas complètement, mais c'est un premier pas vers son éradication.
Après les nombreux problèmes de sécurité rencontrés avec cette ancienne version du protocole (dont Wannacrypt a tiré avantage), Microsoft a pris la décision de couper le support d’ici la prochaine version de Windows 10.