Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Supprimer SMB V1 Oui mais …. Comment à l’échelle de l’Entreprise

Posted by Teruin laurent sur novembre 8, 2019


Bonjour

« En avril 2017, des attaquants se faisant appeler les Shadow Brokers ont publiquement révélé des outils offensifs, qui proviendraient du groupe Equation, annoncé comme lié à la NSA. Quatre de ces outils permettent d’exploiter des vulnérabilités liées à SMBv1 (ETERNALROMANCE, ERRATICGOPHER, ETERNALCHAMPION et ETERNALBLUE). Le bulletin d’actualité CERTFR-2016-ACT-039 du 26 septembre 2016 précise les faiblesses de ce protocole et rappelle que les systèmes d’exploitation supportant uniquement SMBv1 sont désormais obsolètes (Windows 2000, Windows XP et Windows 2003). Pour des raisons de compatibilité, Microsoft continue d’activer ce protocole, même dans les versions récentes de Windows. Il est ainsi recommandé de désactiver SMBv1. » (Agence nationale de la sécurité des systèmes d’information)

il est donc fortement conseillé de supprimer l’usage du protocole SMB V1 qui pour rappel permet le partage de ressources (fichiers et imprimantes) sur des réseaux locaux en environnement Microsoft.

Même s’il est assez simple de supprimer unitairement l’usage de ce protocole, la tâche est un peu plus compliquée en entreprise au regard d’une part, du nombre de serveurs qu’elles possèdent et d’autre part, en fonction du nombre d’applications susceptibles de recourir à ce protocole. Vous trouverez à la fin de cet article une liste non exhaustive des produits tiers susceptibles d’utiliser SMB V1

Comment procéder ?

1 – Inventaire Rapide en environnement Microsoft : La première approche est de faire un inventaire rapide des produits rapidement identifiables qui seraient susceptibles de recourir à ce protocole.

  • Les Windows XP, Windows 2000 ou encore Windows Server 2003 utilisent ce protocole nativement et son usage ne peut pas être désactivé. Par conséquent, si vous disposez encore des serveurs ou stations de travail avec ces versions, ils ne pourront plus se connecter sur des serveurs plus récents dont le protocole SMB V1 a été désactivé.
  • Les Windows 7.0, Windows 2008, Windows 2008R2, Windows Vista , Windows 8.1, Windows 10, Windows 2012 R2 et Windows Server 2016 utilisent ce protocole mais il peut être désactivé facilement

 

Note : seuls les produits Windows 10 et Windows Server 2016 utilisent la version SMB 3.1.1 qui est la dernière en date.

2 – Tester la désactivation

Faire un inventaire complet des services, serveur, stations de travail a l’échelle d’une entreprise peut être très compliqué et très long voir même incertain. L’approche consistant à une désactivation progressive me parait l’approche la plus pragmatique.

Après avoir réalisé un inventaire rapide du site en question et s’être assurer de l’absence de produit incompatible avec la suppression du protocole SMB V1, elle consiste sur un site précis à identifier des serveurs comme les contrôleurs de domaine pour tester la suppression protocolaire et estimer les effets de bord. Les opérations de suppression du protocole SMB V1 étant réversible en cas de souci, rassurez-vous, le retour arrière est rapidement possible. Evidement cette méthode fait courir un risque d’exploitation localisé & maitrisé et mais ce risque est à comparer à celui de conserver encore longtemps ce protocole non sécurisé. Il est évidement conseillé de commencer par un site relativement petit et qui ne possèdent pas d’infrastructure complexes.

Une fois désactivé, il sera nécessaire de recourir à une période d’observation de plusieurs jours avant de procéder à la désactivation sur les autres serveurs Windows. Une fois réalisé, vous pourrez passer à la désactivation sur les stations de travail

Vous trouverez l’ensemble des procédures ici : https://support.microsoft.com/fr-fr/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server

 

3 – Liste non exhaustive des produits qui utilisent encore ce protocole

Répondre

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

 
%d blogueurs aiment cette page :