Vous pouvez prendre les mesures suivantes pour atténuer la menace dans un environnement vulnérable. Cependant, ces étapes peuvent comporter des considérations supplémentaires qui augmentent le besoin de tests inclusifs et pour que les administrateurs soient conscients du comportement attendu dans leur environnement après la mise en œuvre. Nous recommandons toujours d'appliquer les correctifs du fournisseur et les mises à jour de sécurité pour faire face aux menaces.
Microsoft a fourni les stratégies d'atténuation suivantes, qui peuvent réduire le risque d'attaques basées sur
WebDAV-jusqu'à ce que les versions mises à jour puissent être appliquées.
Les clients peuvent désactiver le service
WebClient exécuté sur les machines de leur organisation, comme dans la recommandation ci-dessous de blocage du trafic TCP/445.
REMARQUE : Cette recommandation bloque toutes les connexions
WebDAV , y compris l'intranet, qui pourraient avoir un impact sur vos utilisateurs ou vos applications.
Les facteurs atténuants suivants pourraient être utiles dans votre situation :
- Ajoutez des utilisateurs au groupe de sécurité des utilisateurs protégés, ce qui empêche l'utilisation de NTLM comme mécanisme d'authentification. L'exécution de cette atténuation facilite le dépannage par rapport aux autres méthodes de désactivation de NTLM. Envisagez de l'utiliser pour les comptes de grande valeur, tels que les administrateurs de domaine, lorsque cela est possible.
REMARQUE : Cette action peut avoir un impact sur les applications qui nécessitent NTLM, mais les paramètres seront rétablis après la suppression de l'utilisateur du groupe d'utilisateurs protégés. Voir Groupe de sécurité des utilisateurs protégés pour plus d'informations.
- Bloquez les sorties TCP 445/SMB de votre réseau à l'aide d'un pare-feu de périmètre, d'un pare-feu local et via vos paramètres VPN. Cette action empêche la transmission des messages d'authentification NTLM aux partages de fichiers distants.