Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Le protocole SMB (Server Message Block) est un composant principal pour le partage de fichiers et l’accès aux données dans les environnements Windows. À mesure que les menaces de sécurité continuent d’évoluer, Windows Server et Windows introduisent des fonctionnalités de sécurité SMB améliorées pour protéger les données sensibles contre l’interception et l’accès non autorisé. Cet article décrit les dernières améliorations de sécurité SMB, notamment le chiffrement SMB, les nouveaux algorithmes de signature et les options de configuration avancées. Utilisez ces fonctionnalités pour renforcer la protection des données de votre organisation et répondre aux exigences de sécurité modernes.
Chiffrement SMB
La fonctionnalité Chiffrement SMB permet un chiffrement de bout en bout des données SMB et protège les données contre les tentatives d’écoute clandestine sur des réseaux non approuvés. Vous pouvez déployer la fonctionnalité Chiffrement SMB facilement, mais elle peut impliquer d’autres coûts liés aux matériels ou aux logiciels spécialisés. Elle n’exige pas de protocole IPsec (Internet Protocol Security) ni d’accélérateurs WAN. La fonctionnalité Chiffrement SMB peut être configurée pour chaque partage, pour tout le serveur de fichiers ou lors du mappage des lecteurs.
Note
Le chiffrement SMB ne couvre pas la sécurité des données au repos. En règle générale, le chiffrement de lecteur BitLocker gère la protection des données au repos.
Vous pouvez considérer la fonctionnalité Chiffrement SMB pour les scénarios où des données sensibles ont besoin d’être protégées contre les attaques par interception. Les scénarios possibles sont :
- Vous déplacez les données sensibles d’un travailleur de l'information en utilisant le protocole SMB. Le chiffrement SMB offre une assurance de confidentialité et d’intégrité de bout en bout entre le serveur de fichiers et le client. Il offre cette sécurité quels que soient les réseaux traversés, comme les connexions WAN gérées par des fournisseurs non-Microsoft.
- SMB 3.0 permet aux serveurs de fichiers de fournir un stockage disponible en continu pour les applications serveur, comme SQL Server ou Hyper-V. L’activation de la fonctionnalité Chiffrement SMB offre la possibilité de protéger ces informations contre les attaques par espionnage. La fonctionnalité est plus simple à utiliser que les solutions matérielles dédiées nécessaires à la plupart des réseaux de zone de stockage (SAN).
Windows Server 2022 et Windows 11 introduisent les suites de chiffrement AES-256-GCM et AES-256-CCM pour le chiffrement SMB 3.1.1. Windows négocie automatiquement cette méthode de chiffrement plus avancée lors de la connexion à un autre ordinateur qui la prend en charge. Vous pouvez aussi imposer cette méthode via la stratégie de groupe. Windows prend toujours en charge AES-128-GCM et AES-128-CCM. Par défaut, AES-128-GCM est négocié avec SMB 3.1.1, ce qui procure le meilleur équilibre entre sécurité et performances.
Windows Server 2022 et Windows 11 SMB Direct prennent désormais en charge le chiffrement. Auparavant, l’activation du chiffrement SMB désactivait le placement direct des données, ce qui rendait les performances RDMA aussi lentes que TCP. Désormais, les données sont chiffrées avant leur placement, ce qui entraîne une dégradation des performances relativement mineure tout en ajoutant la confidentialité des paquets protégés par AES-128 et AES-256. Vous pouvez activer le chiffrement à l’aide de Windows Admin Center, Set-SmbServerConfiguration ou d’une stratégie de groupe UNC Hardening.
En outre, les clusters de basculement Windows Server prennent désormais en charge le contrôle précis du chiffrement des communications de stockage intra-nœud pour les volumes partagés de cluster (CSV) et la couche de bus de stockage (SBL). Cela signifie que quand vous utilisez Espaces de stockage direct et SMB Direct, vous pouvez chiffrer les communications est-ouest au sein du cluster lui-même pour une sécurité accrue.
Importante
Il existe un coût de fonctionnement notable avec toute protection de chiffrement de bout en bout lorsque vous la comparez à une protection sans chiffrement.
Prerequisites
Avant d’activer le chiffrement SMB, vérifiez que les conditions préalables suivantes sont remplies :
- Version prise en charge de Windows ou Windows Server.
- SMB 3.0 ou version ultérieure est activé sur le client et le serveur.
- Privilèges d’administrateur ou autorisations équivalentes au serveur et au client SMB.
Activer Chiffrement SMB
Vous pouvez activer la fonctionnalité Chiffrement SMB pour l’ensemble du serveur de fichiers ou uniquement pour des partages de fichiers spécifiques. Utilisez une des procédures suivantes pour activer la fonctionnalité Chiffrement SMB :
Activer le chiffrement SMB à l’aide de Windows Admin Center
- Téléchargez et installez Windows Admin Center.
- Connectez-vous au serveur de fichiers.
- Sélectionnez Fichiers & partage de fichiers.
- Sélectionnez l’onglet Partages de fichiers.
- Pour exiger le chiffrement sur un partage, sélectionnez le nom du partage et sélectionnez Activer le chiffrement SMB.
- Pour exiger le chiffrement sur le serveur, sélectionnez Paramètres du serveur de fichiers.
- Sous chiffrement SMB 3, sélectionnez Obligatoire dans tous les clients (d’autres sont rejetés), puis sélectionnez Enregistrer.
Activer le chiffrement SMB avec le renforcement de la sécurité UNC
Le renforcement de la sécurité UNC vous permet de configurer des clients SMB de façon à exiger le chiffrement quels que soient les paramètres de chiffrement du serveur. Cette fonctionnalité aide à empêcher les attaques par interception. Pour plus d’informations sur la configuration du renforcement UNC, consultez MS15-011 : Vulnérabilité dans la stratégie de groupe peut autoriser l’exécution de code à distance. Pour plus d’informations sur les défenses contre les attaques par interception, consultez Guide pratique pour défendre les utilisateurs contre les attaques par interception via la protection des clients SMB.
Activer le chiffrement SMB à l’aide de Windows PowerShell
Connectez-vous à votre serveur et exécutez PowerShell sur votre ordinateur dans une session avec élévation de privilèges.
Pour activer la fonctionnalité Chiffrement SMB pour un partage de fichiers individuel, exécutez la commande suivante.
Set-SmbShare –Name <sharename> -EncryptData $truePour activer la fonctionnalité Chiffrement SMB pour tout le serveur de fichiers, exécutez la commande suivante.
Set-SmbServerConfiguration –EncryptData $truePour créer un partage de fichiers SMB avec la fonctionnalité Chiffrement SMB activée, exécutez la commande suivante.
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
Mapper les lecteurs avec le chiffrement
Pour activer le chiffrement SMB lors du mappage d’un lecteur à l’aide de PowerShell, exécutez la commande suivante.
New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUEPour activer le chiffrement SMB lors du mappage d’un lecteur à l’aide de CMD, exécutez la commande suivante.
NET USE <drive letter> <UNC path> /REQUIREPRIVACY
Considérations relatives au déploiement de la fonctionnalité Chiffrement SMB
Par défaut, lorsque la fonctionnalité Chiffrement SMB est activée pour un partage ou serveur de fichiers, seuls les clients SMB 3.0, 3.02 et 3.1.1 sont autorisés à accéder aux partages de fichiers spécifiés. Cette limite permet à l’administrateur de protéger les données pour tous les clients qui accèdent aux partages.
Cependant, dans certaines circonstances, un administrateur peut souhaiter autoriser l’accès non chiffré pour les clients qui ne prennent pas en charge SMB 3.x. Cette situation peut se produire pendant une période de transition, quand différentes versions de système d’exploitation client sont utilisées. Pour autoriser l’accès non chiffré pour les clients qui ne prennent pas en charge SMB 3.x, entrez le script suivant dans Windows PowerShell :
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
Note
Nous vous déconseillons d’autoriser l’accès non chiffré lorsque vous déployez le chiffrement. Mettez plutôt à jour les clients afin qu’ils prennent en charge le chiffrement.
La fonctionnalité d’intégrité de pré-authentification décrite dans la section suivante empêche une éventuelle attaque par interception de rétrograder une connexion de SMB 3.1.1 à SMB 2.x (qui utiliserait un accès non chiffré). Cependant, elle n’empêche pas une rétrogradation à SMB 1.0, qui aboutirait aussi à un accès non chiffré.
Pour garantir que les clients SMB 3.1.1 utilisent toujours la fonctionnalité Chiffrement SMB pour accéder aux partages chiffrés, vous devez désactiver le serveur SMB 1.0. Pour obtenir des instructions, connectez-vous au serveur avec Windows Admin Center et ouvrez l’extension Fichiers & partage de fichiers, puis sélectionnez l’onglet Partages de fichiers pour être invité à désinstaller. Pour plus d’informations, consultez Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.
Si le paramètre –RejectUnencryptedAccess est laissé à son paramètre par défaut de $true, seuls les clients SMB 3.x compatibles avec le chiffrement sont autorisés à accéder aux partages de fichiers. (Les clients SMB 1.0 sont également rejetés.)
Tenez compte des problèmes suivants lorsque vous déployez le chiffrement SMB :
- La fonctionnalité Chiffrement SMB utilise l’algorithme Advanced Encryption Standard (AES)-GCM et CCM pour chiffrer et déchiffrer les données. Les algorithmes AES-CMAC et AES-GMAC assure également la validation de l’intégrité des données (signature) pour les partages de fichiers chiffrés, quels que soient les paramètres de signature SMB. Si vous voulez activer la signature SMB sans chiffrement, vous pouvez continuer à le faire. Pour plus d’informations, consultez Configure SMB Signing with Confidence (Configurer la signature SMB en toute confiance).
- Vous pouvez rencontrer des problèmes lorsque vous tentez d’accéder au partage de fichiers ou au serveur si votre organisation utilise des appliances d’accélération WAN.
- Avec une configuration par défaut (où aucun accès non chiffré aux partages de fichiers chiffrés n’est autorisé), si des clients qui ne prennent pas en charge SMB 3.x tentent d’accéder à un partage de fichiers chiffré, l’ID d’événement 1003 est enregistré dans le journal des événements Microsoft-Windows-SmbServer/Operational et le client reçoit un message d’erreur Accès refusé.
- La fonctionnalité Chiffrement SMB et le système de fichiers EFS du système de fichiers NTFS ne sont pas liés, et la fonctionnalité Chiffrement SMB n’a pas besoin ou ne dépend pas de l’utilisation d’EFS.
- Les fonctionnalités Chiffrement SMB et Chiffrement de lecteur BitLocker ne sont pas liées, et la fonctionnalité Chiffrement SMB n’a pas besoin ou ne dépend pas de l’utilisation de Chiffrement de lecteur BitLocker.
Intégrité préalable à l’authentification.
SMB 3.1.1 est capable de détecter les attaques par interception qui tentent de rétrograder le protocole, ou les fonctionnalités négociées par le client et le serveur en utilisant l’intégrité de pré-authentification. L’intégrité de pré-authentification est une fonctionnalité obligatoire de SMB 3.1.1. Elle protège contre toute falsification des messages de négociation et de configuration de session en utilisant le hachage de chiffrement. Le hachage obtenu est utilisé comme entrée pour dériver les clés de chiffrement de la session, y compris sa clé de signature. Ce processus permet au client et au serveur d’approuver mutuellement les propriétés de la connexion et de la session. Quand le client ou le serveur détecte une telle attaque, la connexion est interrompue et l’ID d’événement 1005 est consigné dans le journal des événements Microsoft-Windows-SmbServer/Operational.
En raison de cette protection et pour bénéficier de toutes les capacités de la fonctionnalité Chiffrement SMB, nous vous recommandons fortement de désactiver le serveur SMB 1.0. Pour obtenir des instructions, connectez-vous au serveur à l’aide de Windows Admin Center et ouvrez l’extension Fichiers & Partage de fichiers, puis sélectionnez l’onglet Partages de fichiers à désinstaller. Pour plus d’informations, consultez Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.
Nouvel algorithme de signature
SMB 3.0 et 3.02 utilisent un algorithme de chiffrement plus récent pour la signature : code d’authentification de message basé sur le chiffrement AES (CMAC). SMB 2.0 utilisait l’ancien algorithme de chiffrement HMAC-SHA256. AES-CMAC et AES-CCM peuvent accélérer considérablement le chiffrement des données sur la plupart des processeurs modernes prenant en charge les instructions AES.
Windows Server 2022 et Windows 11 introduisent AES-128-GMAC pour la signature SMB 3.1.1. Windows négocie automatiquement cette méthode de chiffrement plus performante lors de la connexion à un autre ordinateur qui la prend en charge. Windows prend toujours en charge AES-128-CMAC. Pour plus d’informations, consultez Configure SMB Signing with Confidence (Configurer la signature SMB en toute confiance).
Désactivation de SMB 1.0
SMB 1.0 n’est pas installé par défaut à compter de Windows Server version 1709 et Windows 10 version 1709. Pour obtenir des instructions sur la suppression de SMB 1.0, connectez-vous au serveur à l’aide de Windows Admin Center, ouvrez l’extension Fichiers et partage de fichiers, puis sélectionnez l’onglet Partages de fichiers à désinstaller. Pour plus d’informations, consultez Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.
S’il est toujours installé, vous devez désactiver SMB 1.0 immédiatement. Pour plus d’informations sur la détection et la désactivation de l’utilisation de SMB 1.0, consultez Arrêter d’utiliser SMB 1. Pour obtenir des informations sur les logiciels qui nécessitent actuellement ou ont nécessité SMB 1.0, consultez Centre d’information sur les produits utilisant SMB 1.