La protection de partages réseaux sous Windows

Plusieurs avis du CERT-CC font état de l’utilisation par des programmes malicieux des partages de ressources Windows pour leur propagation ; ces programmes scannent les machines du "voisinage" et essayent de s’y connecter pour déposer leurs programmes dans les zones de partage.

Même si le problème n’est pas nouveau, il permet de rappeler que des précautions élémentaires doivent être prises lors de l’utilisation du partage de ressources Windows NT :

• Les services permettant de partager des ressources (services Server sous Windows NT, 2000) ne devraient être actifs que sur les machines pour lesquelles le partage est absolument nécessaire (serveur de fichier, d’impression, ...).

• Le partage de ressources Windows NT doit être restreint au minimum. Il convient de partager uniquement les ressources nécessaires au lieu de partager des disques entiers.

• Les permissions positionnées sur les partages doivent être adaptées à leur utilisation. Ainsi, un partage destiné à mettre des programmes (ou mises à jour) à la disposition des utilisateurs ne doit pas permettre l’écriture à ces utilisateurs.

• Pour les systèmes Windows 9x, il convient de protéger les partages par des mots de passe robustes.

• Les flux Netbios de communication relatifs à l’utilisation de ces partages imposent que les ports 137, 138, 139 soient ouverts. Compte tenu de l'utilisation possible de ces ports pour effectuer des attaques contre les systèmes Windows (CERT-IST/AV-1999.283, CERT-IST/AV-2000.126, ...), il y a lieu de restreindre au maximum l'ouverture de ces ports, en particulier au niveau des équipements d'interconnexion de réseaux.

La mise en oeuvre de ces mesures permet ainsi de limiter la propagation de programmes malicieux utilisant le partages de fichiers.

Des informations supplémentaires sont disponibles dans le CERT Summary à l’adresse : http://www.cert.org/summaries/CS-2000-02.html