[AD DS Securité] Désactiver SMB 1.0 (partie 3)

Si votre parc ne dispose pas d'OS antérieur à Windows Vista/ Windows Server 2008, vous pouvez envisager de désactiver SMB 1.0. Nous avons vu dans l'article précédent comment activer l'audit des demandes de connexions avec SMB 1.0, ce qui vous permettra de vérifier si des postes utilisent encore ce protocole obsolète. Dans cet article nous allons voir, comment modifier la configuration sur un ou l'ensemble de vos serveurs pour ne plus accepter de connexion SMB1.0. Pour cela il suffit de modifier la propriété « EnableSMB1Protocol » avec la commande « Set-SMBServerConfiguration », comme dans l'exemple ci-dessous :

Set-SmbServerConfiguration -EnableSMB1Protocol $False

La commande « Get-SMBServerConfiguration » permet de vérifier les paramètres :

Get-SmbServerConfiguration | select *SMB1*

Une fois la commande exécutée sur le serveur « 2016DC2 » par exemple, le poste XP ne peut plus accéder au partage « NetLogon » sur ce serveur, alors que l'accès au même partage sur « 2016DC1 » est possible, comme présenté dans l'image ci-dessous.

Il est à noter que l'audit sur les connexions SMB1 reste actif et des événements sont enregistrés lorsque des postes clients envoient des demandes.

Vous pouvez également modifier l'ensemble de vos serveurs en modifiant le script de l'article précédent :

$servers = Get-ADComputer -filter {OperatingSystem -like "*server*"} -Properties DNSHostName ,OperatingSystem

Foreach ($server in $servers

{

Try

{

if (Test-Connection $server.dnshostname -Count 1 -ErrorAction Stop)

{

write-host $server.dnshostname

invoke-command -ComputerName $server.dnshostname -ScriptBlock `

{

Set-SmbServerConfiguration -EnableSMB1Protocol $False

 Get-SmbServerConfiguration | select *SMB1*

}

}

}

Catch

{

write-host $error[0]

}

 

}

 

 

La commande précédente pour désactiver SMB 1.0, modifie la valeur SMB1 dans le registre à l'emplacement : « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters ».

Lorsque « SMB1 » = « 0 », le protocole est désactivé. S'il vaut « 1 », le protocole est activé.

Il est possible de désactiver SMB1 à l'aide des stratégies des groupes, en utilisant les préférences afin de modifier la valeur précédente du registre.

Il est également possible de modifier le comportement du client SMB avec les valeurs :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10

Start REG_DWORD 0x4 (4)

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\LanmanWorkstation

DependOnService REG_MULTI_SZ

    Bowser

MRxSmb20

NSI

Les paramètres seront appliqués après redémarrage.

Vous pouvez consulter l'article suivant pour obtenir plus de détail sur les éléments du registre.

https://support.microsoft.com/fr-fr/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server

Theme: 

Systeme: 

Annee: