Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
fr:it-security:smb-hardening [2023/11/13 13:54] – créée psycorefr:it-security:smb-hardening [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1
Zeile 1: Zeile 1:
-====== Hardening SMB ====== 
  
-===== Contexte technique du protocole SMB ===== 
- 
-[[wpde>Server Message Block]] est vulnérable aux attaques de relais NTLM lorsque les paquets ne sont pas signés. Cette [[it-security:glossary:m:man-in-the-middle|Man-In-The-Middle-Attack]] détourne les authentifications entre les clients et les serveurs. L'authentification permet de lancer une session sur le serveur et de détourner des données. 
-La signature SMB attribue explicitement chaque session initiée au client. Ainsi, le détournement de l'authentification reste certes toujours possible, mais il est rejeté, car la session n'est pas signée. 
- 
-Dans SMBv1, la signature SMB est désactivée par défaut. Ce protocole est obsolète, comporte des erreurs, n'est pas sûr et devrait être désactivé de manière générale. 
-SMBv2 active certes la signature SMB par défaut, mais ne l'utilise que si le serveur ou le client l'exige comme condition préalable. Ce n'est généralement pas le cas. 
- 
-^  ^ Serveur ^ ^ ^ 
-^ Client ^ Nécessite ^ Activé ^ Désactivé (SMBv1) ^ 
-| Requis | @lightgreen:Signé | @lightgreen:Signé | @lightgrey:Non supporté | 
-| Activé | @lightgreen:Signé | @orange:Signé SMBv1, non signé SMBv2 | @#FA8258:non signé | 
-| Désactivé (SMBv1) | @lightgrey:non pris en charge | @#FA8258:non signé | @#FA8258:non signé | 
- 
-Il en résulte que la signature SMB doit être activée sur le serveur comme condition préalable. 
- 
-===== Déroulement ===== 
- 
-  * Étape 1 - Désactiver SMBv1 
-  * Étape 2 - Activer la signature SMB en option côté client 
-  * Étape 3 - Forcer la signature SMB côté serveur 
- 
-==== Étape 1 - Désactiver SMBv1 ==== 
- 
-=== Clients === 
- 
-Les clients peuvent être gérés via le script de connexion. Via Powershell (droits admin. nécessaires), le statut peut être consulté comme suit : 
- 
-<code powershell>Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol</code> 
- 
-La désactivation de SMBv1 est également possible via Powershell (redémarrage nécessaire) : 
- 
-<code powershell>Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol</code> 
- 
- 
-=== Serveur === 
- 
-Les mêmes commandes s'appliquent aux serveurs. Un redémarrage devrait être prévu au préalable. 
- 
-==== Étape 2 - Activer la signature SMB en option côté client ==== 
- 
-L'étape suivante consiste à activer la signature SMB en option côté client. Pour ce faire, une stratégie de groupe globale peut être définie. 
-Les directives correspondantes se trouvent ici : 
- 
-<code> 
-Computerkonfiguration       -> 
- Windows-Einstellungen      ->  
-  Sicherheitseinstellungen  -> 
-   Lokale Richtlinien       -> 
-    Sicherheitsoptionen 
-    </code> 
- 
-{{it-security:gpo-smb1.png?800|}} 
- 
-Il est également possible de définir les paramètres dans le registre. 
- 
-<code reg> 
-Windows Registry Editor Version 5.00 
- 
-[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 
-"EnableSecuritySignature"=dword:00000001 
-"RequireSecuritySignature"=dword:00000000 
-</code> 
- 
-==== Étape 3 - Forcer la signature SMB côté serveur ==== 
- 
-=== Option 1 : via la stratégie de groupe === 
- 
-<code text> 
-Computerkonfiguration       -> 
- Windows-Einstellungen      ->  
-  Sicherheitseinstellungen  -> 
-   Lokale Richtlinien       -> 
-    Sicherheitsoptionen 
-    </code> 
- 
-{{it-security:gpo-smb2.png?800|}} 
- 
-=== Option 2 : via Powershell === 
- 
-== Obtenir le statut == 
- 
-<code powershell> 
-Get-SmbClientConfiguration | select RequireSecuritySignature, EnableSecuritySignature 
-Get-SmbServerConfiguration | select RequireSecuritySignature, EnableSecuritySignature 
-</code> 
- 
-== Activer le forçage == 
- 
-<code powershell> 
-Set-SmbClientConfiguration -EnableSecuritySignature $true 
-Set-SmbServerConfiguration -EnableSecuritySignature $true 
-Set-SmbServerConfiguration -RequireSecuritySignature $true 
-Set-SmbClientConfiguration -RequireSecuritySignature $true 
-</code> 
- 
----- 
- 
-Références 
- 
-<sup> 
-https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking/overview-server-message-block-signing 
-</sup> 
- 
-<sup> 
-https://en.hackndo.com/ntlm-relay/ 
-</sup>