Une partie de notre processus consiste à détecter les serveurs clients avec des ports réseau ouverts qui ne devraient pas l’être. Dans ce cas, les ports (445 et 135) sont utilisés à des fins internes de partage de fichiers Windows. Lorsqu’ils sont laissés ouverts, ces ports sont sensibles à une variété d’attaques traditionnelles, comme la tentative de deviner le mot de passe par une force brute, mais aussi à des attaques de rançongiciel plus modernes (comme WannaCry).
Dans ces cas, nous recommandons que le client (1) désactive le partage de fichiers Windows sur ce serveur ou (2) configure des règles de pare-feu pour rendre les ports inaccessibles à partir de l’Internet général. Nous considérons ces ports particuliers comme des indicateurs de risque élevé qui doivent être traités immédiatement par tous les assurés.