mardi 26 octobre 2021

Désactiver le protocole SMBv1

Pourquoi désactiver le protocole SMBv1:

Après les attaques WannaCry qui ont pu exploiter les failles et les vulnérabilités du  protocole SMBv1 décrites dans cet article:  Microsoft Security Bulletin MS17-010 - Critical, ce protocole représente maintenant un véritable risque qui peut endommager les systèmes d'exploitation de la production et créer des grosses pertes à l'entreprise.
Pour cette raison ,il est recommandé de désactiver le protocole SMBv1 et laisser la version SMBv2 activée sur tous les serveurs et les machines clientes.
Avant la désactivation du SMBv1, il faut s'assurer que vous ne disposez pas de machines Windows 2003, Windows XP ou d'un autre serveur non Microsoft qui ne supporte que la version SMBv1.
Jusqu'à maintenant ce protocole est activé par défaut après l'installation du système d'exploitation, mais avec l'arrivé de Windows 10 Fall Creators Update et Windows Server version 1709, le SMBv1 sera désactivé par défaut et désinstallé automatiquement s'il n'a pas été utilisé pendant 15 jours.
Pour avoir plus de détails sur le SMBv1 avec les nouvelle versions du système d'exploitation ,veuillez consulter ce lien en anglais:
SMBv1 is not installed by default in Windows 10 Fall Creators Update and Windows Server, version 1709

Désactiver le composant client du SMBv1:


Les méthodes possibles pour désactiver le composant client du SMBv1 dépendent de la version du système d'exploitation:
  • Pour les versions Windows Vista,Windows 7, Windows 2008 et Windows 2008 R2 , on utilise les clés de registre ou la commande sc.exe pour activer ou désactiver le protocole SMBv1
  • Pour Windows 8, Windows 8.1, Windows 10, Windows 2012 et Windows 2012 R2, le protocole SMBv1 est géré via une fonctionnalité Windows nommé 1.0/CIFS File Sharing Support.

Pour Windows 7, Windows Vista, Windows 2008 ,Windows 2008 R2:


Il est possible de désactiver le composant client du protocole SMBv1 à travers les deux clés de registre ci-dessous:

Chemin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
Nom:      Start 
Type:      REG_DWORD
Donnée: 4 pour désactiver et 2 pour activer

Chemin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Nom:      DependOnService
Type:      REG_MULTI_SZ
Data:     Bowser MRxSmb20 NSI pour désactiver et "Bowser","MRxSmb20","MRxSmb10","NSI" pour activer


On peut utiliser une  GPP (Group Policy Preferences), pour modifier les clés mentionnées ci-dessous sur plusieurs machines membres du domaine.

Il est aussi possible d'utiliser l'invite de commande pour désactiver ou activer le client SMBv1:

Pour vérifier l'état du client SMBv1:
sc.exe query mrxsmb10
Pour désactiver le client SMBv1:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi 
sc.exe config mrxsmb10 start= disabled
Pour activer le client SMBv1:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/mrxsmb10/nsi 
sc.exe config mrxsmb10 start= auto

Pour Windows 8, Windows 8.1, Windows 10, Windows 2012, Windows 2012 R2, Windows 2016:


Pour désactiver le protocole SMBv1 au niveau du client il faut désinstaller  la fonctionnalité SMB 1.0/CIFS File Sharing Support et pour l'activer à nouveau , il faut juste la réinstaller, cela est possible via l'interface graphique comme indiqué dans la figure ci-dessus:


Et aussi via Powershell:


Pour vérifier si le SMBv1 est installé, on peut exécuter la commande ci-dessous:
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Uniquement sur Windows 2012 R2 et Windows 2016, on peut également vérifier l'état de l'installation du SMBv1 via la commande ci-dessous:
Get-WindowsFeature FS-SMB1 | fl Displayname,description,Installed
Pour désactiver le client SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Pour activer le client SMBv1:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Désactiver le composant serveur du SMBv1:


Les méthodes possibles pour désactiver le composant serveur du SMBv1 dépendent de la version du système d'exploitation:

  • Pour les versions Windows Vista,Windows 7 Windows 2008 et Windows 2008 R2 , on utilise une clé de registre pour désactiver le composant serveur du SMBv1
  • Pour Windows 8, Windows 8.1,Windows 10 , Windows 2012, Windows 2012 R2 et Windows 2016, le protocole SMBv1 on utilise des commandes Powershell

Pour Windows 7, Windows vista, Windows 2008 ,Windows 2008 R2:


Pour désactiver le SMBv1 du composant serveur, il faut ajouter la clé de registre suivante:
Chemin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Nom:    SMB1
Type: REG_DWORD
Donnée: 0 pour désactiver ou 1 pour activer

Pour Windows 8,Windows 8.1, Windows 10, Windows 2012, Windows 2012 R2, Windows 2016:


Pour vérifier l'activation du composant serveur du protocole SMBv1 :

Get-SmbServerConfiguration | Select EnableSMB1Protocol
Pour désactiver le composant serveur du protocole SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Pour désactiver le composant serveur du protocole SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $true



Aucun commentaire:

Enregistrer un commentaire