[AD DS Sécurité] Auditer l’utilisation de SMB V1 (Partie 2)

Si vous n'avez pas lu l'article précédent sur SMB et le partage des fichiers, je vous renvoie sur le lien suivant.

Si vous souhaitez désactiver SMB 1 et si vous ne savez pas s'il est encore utilisé dans votre environnement, il est possible d'activer un audit de de ce protocole avant d'essayer de le désactiver.

Pour rappel, vous pouvez vérifier depuis un poste client les connexions et la version du protocole utilisé avec la commande : « Get-SMBConnection ». Dans l'image ci-dessous « 3.1.1 ».

 

La commande « Get-SMBServerConfiguration » vous permet de vérifier si le protocole SMB 1 est encore actif. Comme nous le montre l'image ci-dessous, l'audit de l'utilisation de ce protocole n'est pas activé par défaut. Si vous ne souhaitez récupérer que les paramètres SMB 1.0, vous pouvez utiliser la commande suivante avec le filtre select :

Get-SmbServerConfiguration | select *SMB1*

 

Pour activer l'audit sur un de vos serveurs de fichiers ou un de vos contrôleurs de domaine par exemple, vous pouvez utiliser la commande :

Set-SmbServerConfiguration -AuditSmb1Access $True

 

L'audit de SMB 1.0 est maintenant activé sur ce serveur :

Si des postes clients essayent de se connecter au serveur en question en utilisant SMB 1.0, vous trouverez l'évènement « 3000 »dans le journal des applications « Microsoft \Windows \ SMB Server. Cet événement vous permettra d'identifier l'adresse ou le nom du poste en question.

 

Pour désactiver l'Audit il suffit d'utiliser la commande suivante :

Set-SmbServerConfiguration -AuditSmb1Access $False

 

 

 

Vous pouvez reconfigurer l'ensemble de vos serveurs acceptants du Remote PowerShell en adaptant l'exemple de script ci-dessous.

$servers = Get-ADComputer -filter {OperatingSystem -like "*server*"} -Properties DNSHostName ,OperatingSystem

Foreach ($server in $servers)

{

Try

{

if (Test-Connection $server.dnshostname -Count 1 -ErrorAction Stop)

{

write-host $server.dnshostname

invoke-command -ComputerName $server.dnshostname -ScriptBlock `

{

Set-SmbServerConfiguration -AuditSmb1Access $True -Confirm:$False

Get-SmbServerConfiguration | select *SMB1*

}

}

 

}

Catch

{

write-host $error[0]

}

 

}

 

 

Pour activer la gestion à distance de vos serveurs avec PowerShell vous pouvez consulter l'article suivant :

http://www.pbarth.fr/node/340 .

 

 

Theme: 

Systeme: 

Annee: