STRATÉGIES DE PROTECTION ET DE CONFINEMENT DES RANSOMWARES

De nombreux variants de ransomware exploitent des comptes privilégiés pour accéder aux systèmes d’un environnement. Le protocole SMB (Server Message Block) est généralement utilisé comme canal de communication entre ces systèmes. Bien que ce protocole soit souvent nécessaire dans un environnement d’exploitation Windows (par ex., pour relier un poste de travail aux contrôleurs de domaine ou serveurs de fichiers), il est possible de limiter la portée des communications SMB directes autorisées entre les systèmes (par ex., entre les postes de travail).

En effet, vous pouvez configurer une politique de pare-feu Windows qui restreindra le champ des communications autorisées entre les terminaux courants de votre environnement. Vous pouvez appliquer cette politique au niveau local ou de façon centralisée via les stratégies de groupe. Au minimum, il est conseillé de bloquer les ports et protocoles suivants entre vos différents postes de travail, mais aussi de vos postes vers des serveurs autres que les contrôleurs de domaine et serveurs de fichiers :

• SMB (TCP/445, TCP/135, TCP/139)
• Remote Desktop Protocol (TCP/3389)
• Windows Remote Management / Remote PowerShell (TCP/80, TCP/5985, TCP/5986)
• WMI (plage de ports dynamique assignée via DCOM)