Désactiver SMB1 dans Windows 10/8/7 par sécurité

Discussions générales sur Microsoft Windows 10.
Répondre
Patriciag
Messages : 6310
Enregistré le : mer. 3 juin 2015 16:44
Etes vous un robot ? : Non
Localisation : Port-sur-Saône / Haute-Saône / France
Contact :

Désactiver SMB1 dans Windows 10/8/7 par sécurité

Message par Patriciag »

Bonjour,

SMB ou Server Message Block est un protocole de partage de fichiers réseau destiné à partager des fichiers, des imprimantes, etc., entre ordinateurs. Il existe trois versions - Serveur Message Block (SMB) version 1 (SMBv1), SMB version 2 (SMBv2) et SMB version 3 (SMBv3). Microsoft vous recommande de désactiver SMB1 pour des raisons de sécurité - et il n'est pas plus important de le faire en raison de l'épidémie de WannaCrypt ou WannaCry ransomware.

Désactiver SMB1 dans Windows par sécurité
Pour vous défendre contre WannaCrypt ransomware, il est impératif de désactiver SMB1 ainsi que d'installer les correctifs publiés par Microsoft.

Désactiver SMB1 via le Panneau de configuration

Ouvrez le Panneau de configuration> Programmes et fonctionnalités> Activer ou désactiver des fonctionnalités Windows.
Dans la liste des options se trouve l'option SMB 1.0/CIFS File Sharing Support.
Décochez la case associée à celle-ci et appuyez sur OK.
Enfin, redémarrez votre ordinateur.

Désactiver SMB1 en utilisant Powershell

Ouvrez une fenêtre PowerShell en mode administrateur, tapez la commande suivante et appuyez sur Entrée pour désactiver SMB1 :

Code : Tout sélectionner

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Source (en anglais) : http://www.thewindowsclub.com/disable-smb1-windows
Wullfk
Messages : 120
Enregistré le : dim. 19 févr. 2017 16:20
Etes vous un robot ? : Non
Contact :

Re: Désactiver SMB1 dans Windows 10/8/7 par sécurité

Message par Wullfk »

Bonjour,

J'ai traduit et adapté ce même article sur mes blogs : Protection contre le Ransomware Wannacrypt - Désactiver SMB1 sur Windows 10-8-7

Il est utile de signaler que la désactivation de SMB1 fait perdre l'accès aux lecteurs réseau et dossiers partagés connectés

exemple chez moi ou j'ai un dossier partagé avec ma config Linux Ubuntu si je désactive SMB1 de n'importe quelle manière je perds l'accès par ma config Linux.

Par contre chose intéressante, c'est que si je désactive SMB1 via le Panneau de configuration >> Programmes et fonctionnalités >> Activer ou désactiver des fonctionnalités Windows.
je n'ai plus accès au NAS de ma Freebox V6.

À contrario si je désactive SMB1 via la commande dans le PowerShell qui soit dit en passant créé une clé registre SMB1, là je conserve l'accès au NAS de la Freebox
L'expérience est le nom que l'on donne à ses erreurs ~ Oscar Wilde
Blogs: http://easy.pc.blog.free.fr OU http://easy-pc.org
Guide Windows 10 v.2017 Ed.2
Patriciag
Messages : 6310
Enregistré le : mer. 3 juin 2015 16:44
Etes vous un robot ? : Non
Localisation : Port-sur-Saône / Haute-Saône / France
Contact :

Re: Désactiver SMB1 dans Windows 10/8/7 par sécurité

Message par Patriciag »

Bonjour,

Merci pour ces informations complémentaires.
Tous les médias en parlent, cette cyberattaque massive par un rançongiciel WCrypt (alias WannaCrypt et autres) utilise une faille du protocole SMBv1 révélée par des hackers en mars dernier.
Microsoft a corrigé la faille par une mise à jour de mars (dans le patch tuesday) pour les systèmes encore suivis par Microsoft :
https://technet.microsoft.com/fr-fr/lib ... 2147217396
Pour les autres Windows, et vu l'ampleur des dégâts de cette attaque, Microsoft vient de sortir aussi des patches :
http://www.catalog.update.microsoft.com/Search.aspx

Par ailleurs, Microsoft conseille aussi de désactiver ce vieux protocole, remplacée depuis longtemps par les versions v2 et v3, mais que peut encore utiliser certains partages de fichiers.
https://support.microsoft.com/en-us/hel ... erver-2012

Ne pas toucher à SMBv2 ni SMBv3

Conseils : être à jour des dernières mises à jour et désactiver SMBv1 (si aucun programme ne l'utilise)
EDIT : Windows 10 ne serait pas concerné ***
Sont touchés : Les Windows non à jour, surtout XP, ainsi que Vista, Windows 7 et Windows 8 pour lesquels Microsoft vient de sortir un correctif.

Quelques lectures :
https://www.bleepingcomputer.com/news/s ... a-rampage/
https://www.bleepingcomputer.com/news/s ... decrypt0r/

https://www.saotn.org/disable-smbv1-win ... ws-server/

*** La page très technique et très intéressante de TechNet le précise avec :
The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack
Le code d'exploit utilisé par WCrypt a été conçu pour marcher seulement sur Windows 7 et Server 2008 (et Windows antérieurs). Ainsi les PC sur Windows 10 ne sont pas concernés par cette attaque.

EDIT : D'autres malveillants utilisent cette même faille, il est important de se mettre à jour.
C’est le cas, entre autres, de Adylkuzz qui utilise la puissance des PC infectés pour créer de la monnaie virtuelle, type bitcoins (ici c’est monero).
Il y aurait encore plus de PC infectés par Adylkuzz que par WannaCrypt.
Ces "botnets miniers" étaient pour la plupart facilement repérables car ils utilisaient toutes les ressources du PC .
Adylkuzz est plus malin, se contentant de ralentir les PC, il est donc peu visible

- https://www.proofpoint.com/us/threat-in ... ublepulsar

- http://www.zdnet.fr/actualites/faille-w ... 852564.htm
Source : https://answers.microsoft.com/fr-fr/win ... 4a83c3a43a

C'est quand même fâcheux de devoir choisir entre la sécurité et certains partages.
Puisque ce protocole est obsolète, pourquoi est-il encore utilisé ?
Pourquoi n'a-t-il pas été systématiquement remplacé par SMB2 ou SMB3 ?

Même si W10 n'est pas concerné par Wannacry, Microsoft conseille de désactiver SMB1 sur tous les systèmes depuis au minimum septembre 2016.
Alors pourquoi ce protocole est-il encore employé, en particulier dans W10, système récent ?

@+
Répondre