Configurer le contrôle d’accès client SMB sur QUIC dans Windows Server 2022 Azure Edition et Windows Server Insider (préversion)

Important

Les builds Insider Windows Insider et Windows Server sont en APERÇU. Certaines informations portent sur un produit en préversion susceptible d’être substantiellement modifié avant sa publication. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.

Le contrôle d’accès client SMB sur QUIC vous permet de restreindre quels clients peuvent accéder aux serveurs SMB sur QUIC. Le contrôle d’accès client crée des listes d’acceptation et de blocage pour les appareils se connectant au serveur de fichiers. Le contrôle d’accès client offre aux organisations une protection supplémentaire sans modifier l’authentification utilisée lors de l’établissement de la connexion SMB, ni l’expérience utilisateur finale.

L’article explique comment utiliser PowerShell pour configurer le contrôle d’accès client SMB sur QUIC sur Windows 11 et Windows Server 2022 Datacenter: Azure Edition. Pour suivre les instructions, vous devez avoir installé la mise à jour de mars KB5035853 ou KB5035857, exécuter une build Windows 11 Insider récente ou une build Windows Server Insider.

Pour en savoir plus sur la configuration de SMB sur QUIC, veuillez consulter la section SMB sur QUIC.

Fonctionnement du contrôle d’accès client

Le contrôle d’accès client vérifie que les clients se connectant à un serveur utilisent un certificat client connu ou ont un certificat délivré par un certificat racine partagé. L’administrateur délivre ce certificat au client et ajoute le hachage à une liste d’acceptation maintenue par le serveur. Lorsque le client tente de se connecter au serveur, ce dernier compare le certificat client à la liste d’acceptation. Si le certificat est valide, le serveur crée un tunnel chiffré TLS 1.3 sur le port UDP 443 et accorde au client l’accès au partage. Le contrôle d’accès client prend également en charge les certificats avec des noms alternatifs de sujet.

Vous pouvez également configurer SMB sur QUIC pour bloquer l’accès en révoquant des certificats ou en refusant explicitement l’accès à certains appareils.

Prérequis

Avant de pouvoir configurer le contrôle d’accès client, vous avez besoin d’un serveur SMB avec les prérequis suivants.

• Un serveur SMB exécutant Windows Server 2022 Datacenter: Azure Edition avec la mise à jour du 12 mars 2024 – KB5035857 ou Windows Server Insiders build 25977 (ou une version ultérieure). Pour profiter de la fonctionnalité d’évaluation, vous devez également installer Windows Server 2022 Ko 5035857 240302_030531 Préversion des fonctionnalités.
• SMB sur QUIC activé et configuré sur le serveur. Pour savoir comment configurer SMB sur QUIC, veuillez consulter la section SMB sur QUIC.
• Si vous utilisez des certificats client délivrés par une autorité de certification (CA) différente, vous devez vous assurer que la CA est approuvée par le serveur.
• Privilèges administratifs pour le serveur SMB que vous configurez.

Vous avez également besoin d’un client SMB avec les prérequis suivants.

• Un client SMB fonctionnant sur l’un des systèmes d’exploitation suivants :
  • Windows Server 2022 Datacenter: Azure Edition avec la mise à jour du 12 mars 2024 – KB5035857. Pour profiter de la fonctionnalité d’évaluation, vous devez également installer Windows Server 2022 Ko 5035857 240302_030531 Préversion des fonctionnalités.
  • Windows 11 avec la mise à jour du 12 mars 2024 – KB5035853. Pour profiter de la fonctionnalité d’évaluation, vous devez également installer Windows 11 (version d’origine) Ko 5035854 240302_030535 Préversion des fonctionnalités.
  • Windows Server Insiders build 25977 ou version ultérieure.
  • Windows 11 Insider Preview Build 25977 (Canal Canary) ou version ultérieure.
• Un certificat client qui est :
  • Délivré pour l’authentification du client (EKU 1.3.6.1.5.5.7.3.2).
  • Délivré par une autorité de certification approuvée par le serveur SMB.
  • Installé dans le magasin de certificats du client.
• Privilèges administratifs pour le serveur SMB que vous configurez.

Remarque

Nous recommandons d’utiliser SMB sur QUIC avec des domaines Active Directory, cependant ce n’est pas obligatoire. Vous pouvez également déployer SMB sur QUIC sur un serveur joint à un groupe de travail, qui utilise des informations d’identification d’utilisateur locales et NTLM.

Configurer le client SMB

Collectez les informations sur le certificat client SMB

Pour collecter le hachage de votre certificat client à l’aide de PowerShell :

1. Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le client SMB.

2. Listez les certificats dans le magasin de certificats du client en exécutant la commande suivante.

   Get-ChildItem -Path Cert:\LocalMachine\My
   

3. Exécutez la commande suivante pour stocker le certificat dans une variable. Remplacez <subject name> par le nom du sujet du certificat que vous souhaitez utiliser.

   $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}
   

4. Notez le hachage SHA256 du certificat client en exécutant la commande suivante. Vous avez besoin de cet identifiant lors de la configuration du contrôle d’accès client.

   $clientCert.GetCertHashString("SHA256")
   

Remarque

L’empreinte stockée dans l’objet $clientCert utilise l’algorithme SHA1. Cela est utilisé par des commandes telles que New-SmbClientCertificateMapping. Vous aurez également besoin de l’empreinte SHA256 pour configurer le contrôle d’accès client, ces empreintes seront différentes selon les algorithmes utilisés contre le même certificat.

Associez le certificat client au client SMB

Pour associer le certificat client au client SMB :

1. Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le client SMB.

2. Exécutez la commande New-SmbClientCertificateMapping pour associer le certificat client. Remplacez <namespace> par le nom de domaine complet (FQDN) du serveur SMB et utilisez l’empreinte du pouce SHA1 du certificat client que vous avez collectée dans la section précédente en utilisant la variable.

   New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
   

Une fois terminé, le certificat client est utilisé par le client SMB pour s’authentifier auprès du serveur SMB correspondant au FQDN.

Configurer le contrôle d’accès client

Accorder un accès individuel aux clients

Suivez les étapes pour accorder un accès spécifique à un client au serveur SMB en utilisant le contrôle d’accès client.

1. Connectez-vous au serveur SMB.

2. Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le serveur SMB.

3. Exécutez la commande Grant-SmbClientAccessToServer pour accorder l’accès au certificat client. Remplacez <name> par le nom d’hôte du serveur SMB et <hash> en utilisant l’identifiant du certificat client SHA256 que vous avez collecté dans la section Collecter les informations sur le certificat client SMB.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
   

Vous avez maintenant accordé l’accès au certificat client. Vous pouvez vérifier l’accès au certificat client en exécutant la commande Get-SmbClientAccessToServer.

Accorder des autorités de certification spécifiques

Suivez la procédure pour accorder l’accès aux clients d’une autorité de certification spécifique, également appelée émetteur, en utilisant le contrôle d’accès client.

1. Connectez-vous au serveur SMB.

2. Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le serveur SMB.

3. Exécutez la commande Grant-SmbClientAccessToServer pour accorder l’accès au certificat client. Remplacez <name> par le nom d’hôte du serveur SMB et <subject name> par le nom distinctif X.500 complet du certificat de l’émetteur. Par exemple : CN=Contoso CA, DC=Contoso, DC=com.

   Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
   

Désactiver SMB sur QUIC

À compter de Windows 11 Insider build 26090, les administrateurs peuvent désormais désactiver SMB sur QUIC pour le client en exécutant la commande suivante :

Set-SmbClientConfiguration -EnableSMBQUIC $false

De même, cette opération peut être effectuée dans la stratégie de groupe en désactivant l’option Enable SMB over QUIC (Activer SMB sur QUIC) dans le chemin suivant :

• Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman

Connectez-vous au serveur SMB

Une fois terminé, testez si vous pouvez vous connecter au serveur en exécutant l’une des commandes suivantes :

NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC

Or

New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC

Si vous pouvez vous connecter au serveur, vous avez configuré avec succès SMB sur QUIC en utilisant le contrôle d’accès client.

Contenu connexe

• SMB sur QUIC
• Blog Storage at Microsoft
• Page d’accueil du groupe de travail QUIC
• Page d’accueil de Microsoft MsQuic GitHub
• Article Wikipédia sur QUIC
• Page d’accueil du groupe de travail TLS 1.3