J'ai googlé beaucoup à ce sujet mais je n'ai pas pu trouver la réponse.
Je voudrais comprendre si l'application de correctifs à Windows avec la mise à jour MS17-010 empêchera le malware WannaCry d'installer / exécuter ou simplement d'empêcher le malware (une fois installé sur un certain PC et donc de l'infecter) de se propager via l'intranet?
De plus, si le correctif MS17-010 est correctement installé, la désactivation de SMBv1 présente-t-elle également des avantages? Ou le patch MS17-010 lui-même peut-il être considéré comme suffisant?
Dernière question / doute: avant de désactiver SMBv1, comment être sûr que cela n'affectera pas les performances / fiabilité du réseau?
smb
patch
wannacrypt
Antony
la source
la source
Réponses:
Tout d'abord, une petite préface. Le correctif MS17-010 est inclus dans tous les correctifs cumulatifs pour Windows 7, 8.1 et 10 à partir de mars. Donc, si vous avez installé les mises à jour cumulatives d' avril ou de mai (ou plus récentes) , vous n'avez pas besoin (et vous n'aurez pas installé) le numéro KB spécifique lié au correctif MS17-010.
Cependant, si vous avez choisi d'installer uniquement des mises à jour de sécurité uniquement , vous devrez spécifiquement installer celle de mars. À moins que vous n'ayez spécifiquement choisi ce chemin, vous devriez être sur les rollups. Le pari le plus sûr consiste simplement à laisser Windows tout mettre à jour jusqu'à ce qu'il indique qu'il est à jour.
C'est actuellement le cas pour tous les correctifs de sécurité, pas seulement celui-ci.
Le correctif MS17-010 ne fait rien pour arrêter le ransomware lui-même. Si vous téléchargez l'exe et l'exécutez, il fera toujours son travail et chiffrera vos fichiers. Par exemple, le principal vecteur d'infection sur la plupart des réseaux était par le biais des pièces jointes aux courriers électroniques, IIRC. Ce n'est pas nouveau pour les ransomwares.
Cependant, la partie ver du programme est ce qui facilite sa propagation à travers les réseaux. Cette attaque à la mise en œuvre SMBv1 sur la destination ordinateur, à savoir l'ordinateur , le ver se propage à , non pas de .. Par conséquent, le patch MS17-010 doit être installé chaque machine Windows sur le réseau.
Généralement, le NAT ou les pare-feu à la périphérie du réseau empêchent la propagation via Internet.
Le patch ne fait rien pour aider un ordinateur déjà infecté. Il n'est utile que s'il est installé sur les autres ordinateurs non infectés du réseau.
Pas directement pour WannaCry / EternalBlue, car le patch MS17-010 corrige ce trou particulier. Cependant, une défense en profondeur suggérerait de toute façon de désactiver SMBv1 à moins que vous n'en ayez besoin, car cela réduit les surfaces d'attaque et minimise les dégâts s'il y avait un autre bogue SMBv1 actuellement inconnu. Étant donné que Vista et les versions plus récentes prennent en charge SMBv2, il ne devrait pas être nécessaire de garder SMBv1 activé, sauf si vous devez partager des fichiers avec XP. J'espère que ce n'est pas le cas.
L'effet le plus évident est que vous ne pourrez plus utiliser le partage de fichiers Windows avec les systèmes XP.
Selon le lien affiché et les commentaires, cela peut empêcher votre ordinateur d'apparaître ou d'utiliser la liste "réseau". Vous pouvez toujours y accéder en tapant le
\\computername
et les voir répertoriés à l'aide de groupes résidentiels (ou Active Directory dans un environnement professionnel).L'autre exception, comme indiqué dans ce billet de blog, concerne les photocopieurs / scanners réseau plus anciens qui ont la fonctionnalité "numériser pour partager" ne prennent pas en charge un protocole SMB moderne.
la source