Ransomware WANNACRY : les moyens de se protéger Ransonware

Il est fort probable que mon article ne fait pas entièrement le tour du sujet, il est là pour vous simplifier la vie et d'appliquer le plus rapidement possible des solutions correctives...
A bon entendeur...

Sources d’informations importantes

LE CERT

http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html

http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-008/index.html

http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-011/index.html

MICROSOFT

https://technet.microsoft.com/fr-fr/library/security/MS17-010

Un article très intéressant sur le sujet :

http://www.silicon.fr/wannacry-ransomware-plus-besoin-phishing-174779.html?utm_source=2017-05-16&utm_medium=email&utm_campaign=fr_silicon_v2&referrer=nl_fr_silicon_v2&t=2787740e0eba108915981b88a0e37cb41979139&pos=firstFeaturedArticle_1_title

Les mises à jour (en fonction du système d’exploitation) :

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 (4012598)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012212 (4012212)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012215 (4012215)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213 (4012213)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012216 (4012216)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214 (4012214)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012217 (4012217)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012606 (4012606)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198 (4013198)
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013429 (4013429)

Désactivation du protocole SMB V1

https://support.microsoft.com/fr-fr/kb/2696547

Serveurs SMB

Windows 8 et Windows Server 2012

Lancer Windows Powershell :
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista et Windows Server 2008

Lancer Windows Powershell :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force

Clients SMB

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012

Lancer le mode de commande (CMD.EXE)
SC.exe config lanmanworkstation depend = bowser/mrxsmb20/nsi

SC.exe config mrxsmb10 start = disabled

Windows 8.1, Windows 10, 2012 R2 de Windows et Windows Server 2016

Systèmes d’exploitation serveurs
Lancer Windows Powershell :
Remove-WindowsFeature FS-SMB1

Systèmes d’exploitation clients
Lancer Windows Powershell :
Disable-WindowsOptionalFeature –Online –Featurename SMB1Protocol

Windows 10 : Erreur lorsque l'on est administrateur de son poste sur certaines applications : Impossible d'ouvrir ..... à l'aide du compte Administrateur intégré. Connectez-vous avec avec l'aide d'un autre compte puis réssayez

Typiquement nous avons eu ce message d'erreur lors d'une tentative d'ouverture de Microsoft Edge sur un compte du domaine qui est également administrateur local du poste : 

 Impossible d'ouvrir microsoft Edge à l'aide du compte Administrateur intégré. 
Connectez-vous avec avec l'aide d'un autre compte puis réssayez 

 Malgré les instructions de modification de la base du registre ci-joint, le problème persiste : 

Lancez l'éditeur du Registre Windows.

• Appuyez sur la touche Windows + R

• Saisir regedit et OK.

• Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

• A droite, vérifiez que EnableLUA soit à 1

• Si la valeur FilterAdministratorToken est existant, positionnez la à 1.

 La solution trouvée est de lancer Powershell en mode administration et de taper la commande suivante (il faudra patienter un peu pour que l'ensemble des opérations soient effectifs) : 

Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"} 


Pensez bien a redémarrer l'ordinateur après l'application de cette commande powershell.

ORA-39126: + ORA-12899: (Problème lors d'un export datapump (expdp) d'une base ORACLE 12c vers ORACLE 11.2)

Lorsque vous effectuez un export d'une base Oracle 12c pour l'importer vers un serveur Oracle 11.2

exemple : expdp user/password@MySid SCHEMAS=MySchema DUMPFILE=MyFile.dmp VERSION=11.2 LOGFILE=MyLogFile.log DIRECTORY=MYDATAPUPDIR EXCLUDE=STATISTICS

l'export se termine avec une erreur du type :

ORA-39126: Erreur fatale inattendue du processus esclave dans KUPW$WORKER.FIXUP_MASTER_TABLE_EXPORT [TABLE_DATA:"C##PARAM"."SYS_EXPORT_SCHEMA_01"] 
ORA-12899: valeur trop grande pour la colonne "SYS"."KU$_DATAPUMP_MASTER_11_1"."PROCESSING_STATUS" (réelle : 3, maximum : 1)
ORA-06512: à "SYS.DBMS_SYS_ERROR", ligne 95
ORA-06512: à "SYS.KUPW$WORKER", ligne 11259
----- PL/SQL Call Stack -----
  object      line  object
  handle    number  name
00007FFCA1A29F90     27116  package body SYS.KUPW$WORKER
00007FFCA1A29F90     11286  package body SYS.KUPW$WORKER
00007FFCA1A29F90     14133  package body SYS.KUPW$WORKER
00007FFCA1A29F90      3560  package body SYS.KUPW$WORKER
00007FFCA1A29F90     12049  package body SYS.KUPW$WORKER
00007FFCA1A29F90      2081  package body SYS.KUPW$WORKER
00007FFC80B20500         2  anonymous block
BULK COLLECT
BULK COLLECT
In procedure BUILD_OBJECT_STRINGS
In PROCESS_TABLE_DATA_METRICS
In procedure UPDATE_TD_BASE_PO_INFO
Updated 771 td objects with bpo
In procedure FIXUP_MASTER_TABLE_EXPORT Worker code version: 12.1.0.2.0 and compatibility version: 11
0 rows updated for template base object information
Using temporary master table "SYS"."KU$_DATAPUMP_MASTER_11_1" 
In procedure DETERMINE_FATAL_ERROR with ORA-12899: valeur trop grande pour la colonne "SYS"."KU$_DATAPUMP_MASTER_11_1"."PROCESSING_STATUS" (réelle : 3, maximum : 1)
Travail "C##PARAM"."SYS_EXPORT_SCHEMA_01" arrêté en raison d'une erreur fatale à Lun. Févr. 8 13:49:27 2016 elapsed 0 00:02:03

Solution :

Connectez vous à votre base via SQLPLUS  en SYSDBA

sqlplus User/Password@MySID as SYSDBA

lancez ensuite les scripts suivants :

SQL> @?/rdbms/admin/catproc.sql

SQL> @?/rdbms/admin/utlrp.sql

WIndows Server 2012 R2 - Ralentissement du serveur après l'installation des services Kerberos (Local Security Authority Process occupe plus de 50% du CPU)

En activant les services Kerberos, il peut arriver que la majeure partie du processeur est occupé par ces services et attenants jusqu'à saturation de celui-ci. :

Local Security Authority Process occupe plus de 50% du CPU

Voici la solution que nous avons trouvés :

Dans l'éditeur des clés de registre (REGEDIT)

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Ajouter une nouvelle valeur DWORD 32 Bits :

MaxConcurrentApi 

La valeur doit être comprise entre 1 et 150 

Ajustez cette valeur en fonction de ce que vous remarquez au niveau de l'occupation du processeur.

ACTIVER LES SERVICES SNMP SUR UN LINUX (Noyau REDHAT)

INSTALLATION DES SERVICES SNMP

# yum install net-snmp net-snmp-utils

MODIFICATION DU FICHIER DE CONFIGURATION

# rm /etc/snmp/snmpd.conf
#vim /etc/snmp/snmpd.conf

Insérer les lignes suivantes :

rocommunity Votre_Communauté #read-only V1/V2 community

includeAllDisks   10%   # list all disks

OUVERTURE DU PORT 161 SUR LE FIREWALL

# iptables -I INPUT -p udp --dport 161 -j ACCEPT

SAUVEGARDE DE LA NOUVELLE CONFIGURATION DU FIREWALL

# /etc/init.d/iptables save

RESTART DU FIREWALL

#/etc/init.d/iptables restart

DEMARRAGE ET PARAMETRAGE DU DEMARRAGE AUTOMATIQUE DU SERVICE SNMP

# service snmpd start# chkconfig snmpd on

POUR TESTER LE SERVICE SNMP

Test sur la mémoire disponible

# snmpwalk -v 1 localhost -c Votre_Communauté .1.3.6.1.4.1.2021.4

TABLEAU OFFICIEL des MIB

http://www.net-snmp.org/docs/mibs/ucdavis.html

AFFICHER LA CLEF WINDOWS 8/8.1

comment retrouver une clé d’activation installée sur votre ordinateur avec une version Windows OEM préinstallée par votre fabriquant. Si vous avez acheté un ordinateur bureau ou un ordinateur portable avec une version de Windows 8/8.1 préinstallé, maintenant vous ne trouvez plus d’étiquette avec votre clé de Windows collée sur votre machine.

En cas de besoin où se trouve ma clé d’activation ? Votre clé d’activation est dorénavant directement intégrée dans le BIOS de l’ordinateur, mais vous pouvez retrouver cette clé:

-Ouvrir un invité de commande "en tant qu'administrateur"  (exécuter, CMD)
-Copier-coller de cette commande :

powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingService’).OA3xOriginalProductKey"


Votre clé d’activation s’affiche, notez et sauvegardez la pour votre future installation et activation auprès de Microsoft.

ORACLE 11G : Réparer la DBCONSOLE

L'interface web de console d'une instance Oracle a été implémentée depuis la version 11G d'Oracle Database. Elle est très utile pour gérer l'ensemble des bases.
Souvent (du moins dans mon cas), lors de l'installation automatique d'Oracle avec la création d'une nouvelle instance, cette interface ne fonctionne pas ou du moins très mal.

Voici comment vérifier, effacer, et reconstruire la DBCONSOLE

1) pour supprimer la configuration existante

EMCA -deconfig dbcontrol db -repos drop

2) Créer le repository

EMCA -repos create
3) Configurer la DBCONSOLE

EMCA -config dbcontrol db


En cas de soucis, lancer en mode graphique ./dbca



Commandes utiles pour la gestion de la DBCONSOLE

- Accèder à l'interface web

http://nom-de-votre-serveur:nom-du-port-de-la-console/em (ou en https)

- Vérifier le status de la console :

EMCTL status dbconsole

- Stopper la console

EMCTL stop dbconsole

- Démarrer la console

EMCTL start dbconsole