SMB sur QUIC

s’applique à : Windows Server 2022 Datacenter : édition Azure, Windows 11

SMB sur QUIC introduit une alternative au transport réseau TCP, offrant une connectivité sécurisée et fiable aux serveurs de fichiers Edge sur des réseaux non approuvés comme Internet. QUIC est un protocole normalisé qui présente de nombreux avantages par rapport à TCP :

  • Tous les paquets sont toujours chiffrés et le protocole de transfert est authentifié avec TLS 1,3
  • Flux parallèles de données d’application fiables et non fiables
  • Échange des données d’application au cours du premier aller-retour (0-RTT)
  • Amélioration du contrôle de congestion et de la récupération des pertes
  • Survit à une modification de l’adresse IP ou du port des clients

SMB sur QUIC offre un « VPN SMB » pour les télétravailleurs, les utilisateurs d’appareils mobiles et les organisations de haute sécurité. Le certificat de serveur crée un tunnel TLS 1,3 sur le port UDP compatible Internet 443 au lieu du port TCP 445 hérité. Tout le trafic SMB, y compris l’authentification et l’autorisation au sein du tunnel, n’est jamais exposé au réseau sous-jacent. SMB se comporte normalement dans le tunnel QUIC, ce qui signifie que l’expérience utilisateur ne change pas. Les fonctionnalités SMB telles que Multichannel, signature, compression, disponibilité continue, Leasing de répertoire, etc., fonctionnent normalement.

Un administrateur de serveur de fichiers doit accepter d’activer SMB sur QUIC. Elle n’est pas activée par défaut et un client ne peut pas forcer un serveur de fichiers à activer SMB sur QUIC. Windows les clients smb continuent d’utiliser le protocole tcp par défaut et ne tenteront de SMB sur QUIC que si la tentative TCP échoue pour la première fois ou si vous avez intentionnellement besoin de QUIC à l’aide NET USE /TRANSPORT:QUIC de ou de New-SmbMapping -TransportType QUIC .

Prérequis

Pour utiliser SMB sur QUIC, vous avez besoin des éléments suivants :

  • un serveur de fichiers exécutant Windows server 2022 Datacenter : édition Azure (systèmes d’exploitation serveur Microsoft)
  • un ordinateur Windows 11 (Windows pour entreprises)
  • centre d’administration Windows (page d’accueil)
  • Une infrastructure à clé publique pour émettre des certificats comme Active Directory serveur de certificats ou un accès à un émetteur de certificats tiers de confiance comme VeriSign, DigiCert, chiffrer, et ainsi de suite.

Déployer SMB sur QUIC

Étape 1 : installer un certificat de serveur

  1. Créez un certificat émis par une autorité de certification avec les propriétés suivantes :

    • Utilisation de la clé : signature numérique
    • Objectif : authentification du serveur (EKU 1.3.6.1.5.5.7.3.1)
    • Algorithme de signature : SHA256RSA (ou supérieur)
    • Hachage de la signature : SHA256 (ou supérieur)
    • Algorithme de clé publique : ECDSA_P256 (ou une version ultérieure. Peut également utiliser RSA avec une longueur minimale de 2048 .
    • Autre nom de l’objet (SAN) : (une entrée de nom DNS pour chaque nom DNS complet utilisé pour atteindre le serveur SMB)
    • Subject : (CN = tout, mais doit exister)
    • Clé privée incluse : Oui

    certificate settings showing Signature algorithm with a value of sha256RSA, signature hash algorithm value of sha256, and Subject value of ws2022-quicCertificate settings under the Detail tab showing Public key value of ECC (256 bits), public key parameters ECDSA-P256 and Application policies 1 application Certificate Policy Certificate details showing subject alternative name value as DNS Name equals ws2022-quic.corp, and Key Usage value as Digital Signature, Non-Repudiated

    si vous utilisez une autorité de certification Microsoft Enterprise, vous pouvez créer un modèle de certificat et permettre à l’administrateur du serveur de fichiers de fournir les noms DNS lors de la demande. Pour plus d’informations sur la création d’un modèle de certificat, consultez conception et implémentation d’un modèle de certificat PKI : partie III. pour une démonstration de la création d’un certificat pour SMB sur QUIC à l’aide d’une autorité de certification Microsoft Enterprise, regardez cette vidéo :

    Pour demander un certificat tiers, consultez la documentation de votre fournisseur.

  2. si vous utilisez une autorité de certification Microsoft Enterprise :

    1. Démarrez MMC.EXE sur le serveur de fichiers.
    2. Ajoutez le composant logiciel enfichable certificats , puis sélectionnez le compte d’ordinateur.
    3. Développez certificats (ordinateur local), personnel, cliquez avec le bouton droit sur certificats , puis cliquez sur demander un nouveau certificat.
    4. Cliquez sur Suivant.
    5. Sélectionner Active Directory stratégie d’inscription
    6. Cliquez sur Suivant.
    7. Sélectionnez le modèle de certificat pour SMB sur QUIC qui a été publié dans Active Directory.
    8. Cliquez sur l’inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour configurer les paramètres.
    9. Afin que les utilisateurs puissent utiliser pour localiser le serveur de fichiers, renseignez l' objet de la valeur avec un nom commun et un autre nom de l’objet avec un ou plusieurs noms DNS.
    10. Cliquez sur OK , puis sur inscrire.

    image showing the steps covered 1image showing the steps covered 2image showing the steps covered 3

Notes

si vous utilisez un fichier de certificat émis par une autorité de certification tierce, vous pouvez utiliser le composant logiciel enfichable certificats ou le centre d’administration Windows pour l’importer.

Étape 2 : configurer SMB sur QUIC

  1. déployez un Windows server 2022 Datacenter : Azure Edition server.

  2. installez la dernière version de Windows centre d’administration sur un PC de gestion ou sur le serveur de fichiers. Vous avez besoin de la dernière version de l’extension de partage de fichiers de fichiers . elle est installée automatiquement par Windows centre d’administration si la mise à jour automatique des extensions est activée dans les extensions Paramètres.

  3. joignez votre serveur de fichiers Windows server 2022 Datacenter : azure Edition à votre domaine Active Directory et rendez-le accessible à Windows clients insider sur l’interface publique Azure en ajoutant une règle d’autorisation de pare-feu pour le trafic entrant UDP/443. N’autorisez pas le trafic entrant TCP/445 sur le serveur de fichiers. Le serveur de fichiers doit avoir accès à au moins un contrôleur de domaine pour l’authentification, mais aucun contrôleur de domaine n’a besoin d’accéder à Internet.

  4. Connecter au serveur à l’aide du centre d’administration Windows, puis cliquez sur l’icône Paramètres en bas à gauche. Dans la section partages de fichiers (serveur SMB) , sous partage de fichiers sur Internet avec SMB sur QUIC, cliquez sur configurer.

  5. Cliquez sur un certificat sous Sélectionner un certificat d’ordinateur pour ce serveur de fichiers, cliquez sur les adresses de serveur auxquelles les clients peuvent se connecter ou cliquez sur Sélectionner tout, puis sur activer.

    image showing the steps for configure SMB over QUIC1

  6. Assurez-vous que le certificat et le rapport SMB sur QUIC sont intègres.

    image showing the steps for configure SMB over QUIC2

  7. Cliquez sur l’option de menu fichiers et partage de fichiers . Notez vos partages SMB existants ou créez-en un nouveau.

Pour une démonstration de la configuration et de l’utilisation de SMB sur QUIC, regardez cette vidéo :

étape 3 : Connecter à des partages SMB

  1. joignez votre appareil Windows 11 à votre domaine. Assurez-vous que les noms des autres noms de l’objet du certificat du serveur de fichiers SMB sur QUIC sont publiés dans DNS et sont entièrement qualifiés ou ajoutés aux fichiers d’hôte de votre Windows 11. Vérifiez que les autres noms d’objet du certificat du serveur sont publiés dans DNS ou ajoutés aux fichiers hôtes pour votre Windows 11.

  2. déplacez votre appareil Windows 11 vers un réseau externe où il n’a plus d’accès réseau aux contrôleurs de domaine ou aux adresses IP internes du serveur de fichiers.

  3. dans Windows explorateur de fichiers, dans la barre d’adresses, tapez le chemin d’accès UNC à un partage sur le serveur de fichiers et confirmez que vous pouvez accéder aux données du partage. Vous pouvez également utiliser net use/ : QUIC ou New-SMBMAPPING-TransportType QUIC avec un chemin d’accès UNC. Exemples :

    NET USE * \\fsedge1.contoso.com\salesNET USE * \\fsedge1.contoso.com\sales

    NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUICNET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC

    New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUICNew-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC

par défaut, un appareil Windows 11 n’a pas accès à un contrôleur de domaine Active Directory lors de la connexion à un serveur de fichiers SMB sur QUIC. Cela signifie que l’authentification utilise NTLMv2, où le serveur de fichiers s’authentifie pour le compte du client. Aucune autorisation ou authentification NTLMv2 ne se produit en dehors du tunnel QUIC chiffré TLS 1,3. Toutefois, nous vous recommandons toujours d’utiliser Kerberos comme meilleure pratique de sécurité générale et vous ne recommandons pas de créer de nouvelles dépendances NTLMv2 dans les déploiements. Pour ce faire, vous pouvez configurer le proxy du centre de distribution de clés pour transférer les demandes de tickets pour le compte de l’utilisateur, tout en utilisant un canal de communication HTTPs compatible avec Internet.

Notes

vous ne pouvez pas configurer le centre d’administration Windows (WAC) en mode passerelle à l’aide du port TCP 443 sur un serveur de fichiers sur lequel vous configurez le Proxy KDC. Lors de la configuration de WAC sur le serveur de fichiers, remplacez le port par un port qui n’est pas utilisé et qui n’est pas 443. Si vous avez déjà configuré WAC sur le port 443, réexécutez le fichier MSI du programme d’installation de WAC et choisissez un autre port lorsque vous y êtes invité.

Windows de la méthode du centre d’administration

  1. vérifiez que vous utilisez au moins Windows centre d’administration version 2110.

  2. Configurez le protocole SMB sur QUIC normalement. à compter de Windows le centre d’administration 2110, l’option de configuration du proxy KDC dans SMB sur QUIC est automatiquement activée et vous n’avez pas besoin d’effectuer des étapes supplémentaires sur les serveurs de fichiers.

  3. configurez le paramètre de stratégie de groupe suivant de façon à ce qu’il s’applique à l’appareil Windows 11 :

    Ordinateurs modèles d’administration > système > Kerberos > spécifier les serveurs proxy KDC pour les clients Kerberos

    Le format de ce paramètre de stratégie de groupe est un nom de valeur de votre nom de domaine Active Directory complet et la valeur sera le nom externe que vous avez spécifié pour le serveur QUIC. Par exemple, lorsque le domaine Active Directory est nommé Corp.contoso.com et que le domaine DNS externe est nommé contoso.com:

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Ce mappage de domaine Kerberos signifie que si ned@corp.contoso.com l’utilisateur a tenté de se connecter à un nom de serveur de fichiers ned@corp.contoso.com, le proxy KDC est en mesure de transférer les tickets Kerberos à un contrôleur de domaine dans le domaine Corp.contoso.com interne. La communication avec le client sera sur HTTPs sur le port 443 et les informations d’identification de l’utilisateur ne sont pas directement exposées sur le réseau du serveur de fichiers client.

  4. Assurez-vous que les pare-feu de périmètre autorisent le protocole HTTPs sur le port 443 entrant sur le serveur de fichiers.

  5. appliquez la stratégie de groupe et redémarrez l’appareil Windows 11.

Méthode manuelle

  1. Sur le serveur de fichiers, dans une invite PowerShell avec élévation de privilèges, exécutez :

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

    Get-SmbServerCertificateMapping

  2. Copiez la valeur empreinte numérique du certificat associé au certificat SMB sur QUIC (il peut y avoir plusieurs lignes, mais elles ont toutes la même empreinte numérique) et collez-la comme valeur certhash pour la commande suivante :

    $guid = [Guid]::NewGuid()

    Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

  3. Ajoutez les noms SMB sur QUIC du serveur de fichiers en tant que SPN dans Active Directory pour Kerberos. Par exemple :

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

  4. Définissez le service proxy KDC sur automatique et démarrez-le :

    Set-Service -Name kpssvc -StartupType Automatic

    Start-Service -Name kpssvc

  5. configurez la stratégie de groupe suivante à appliquer à l’appareil Windows 11 :

    Ordinateurs modèles d’administration > système > Kerberos > spécifier les serveurs proxy KDC pour les clients Kerberos

    Le format de ce paramètre de stratégie de groupe est un nom de valeur de votre nom de domaine Active Directory complet et la valeur sera le nom externe que vous avez spécifié pour le serveur QUIC. Par exemple, lorsque le domaine Active Directory est nommé « corp.contoso.com » et que le domaine DNS externe est nommé « contoso.com » :

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Ce mappage de domaine Kerberos signifie que si ned@corp.contoso.com l’utilisateur a tenté de se connecter à un nom de serveur de fichiers fs1edge.contoso.com" , le proxy KDC est en mesure de transférer les tickets Kerberos à un contrôleur de domaine dans le corp.contoso.com domaine interne. La communication avec le client sera sur HTTPs sur le port 443 et les informations d’identification de l’utilisateur ne sont pas directement exposées sur le réseau du serveur de fichiers client.

  6. créer une règle de pare-feu Windows Defender entrante : active le port TCP 443 pour le service Proxy KDC afin de recevoir des demandes d’authentification.

  7. Assurez-vous que les pare-feu de périmètre autorisent le protocole HTTPs sur le port 443 entrant sur le serveur de fichiers.

  8. appliquez la stratégie de groupe et redémarrez l’appareil Windows 11.

Notes

La configuration automatique du proxy KDC sera fournie plus tard dans SMB via QUIC et ces étapes de serveur ne seront pas nécessaires.

Expiration et renouvellement du certificat

Un certificat SMB sur QUIC expiré que vous remplacez par un nouveau certificat de l’émetteur contient une nouvelle empreinte numérique. Bien que vous puissiez renouveler automatiquement les certificats SMB sur QUIC lorsqu’ils expirent à l’aide de Active Directory Services de certificats, un certificat renouvelé obtient également une nouvelle empreinte numérique. Cela signifie que le protocole SMB sur QUIC doit être reconfiguré lorsque le certificat expire, car une nouvelle empreinte numérique doit être mappée. vous pouvez simplement sélectionner votre nouveau certificat dans Windows centre d’administration pour la configuration SMB existante sur QUIC ou utiliser la commande Set-SMBServerCertificateMapping PowerShell pour mettre à jour le mappage du nouveau certificat. vous pouvez utiliser Azure automanage pour Windows Server pour détecter l’expiration imminente du certificat et empêcher une panne. pour plus d’informations, consultez gestion autogérée d’Azure pour Windows Server.

Notes

  • Windows Server 2022 Datacenter : azure Edition sera également disponible sur Azure Stack HCI 21H2, pour les clients qui n’utilisent pas le cloud public Azure.
  • Nous recommandons les contrôleurs de domaine en lecture seule configurés uniquement avec les mots de passe des utilisateurs mobiles qui sont mis à la disposition du serveur de fichiers.
  • les utilisateurs doivent disposer de mots de passe forts ou, idéalement, être configurés à l’aide d’une stratégie sans mot de passe avec Windows Hello pour l’authentification multifacteur de l’entreprise ou les cartes à puce. Configurez une stratégie de verrouillage de compte pour les utilisateurs mobiles via une stratégie de mot de passe affinée et déployez un logiciel de protection contre les intrusions pour détecter les attaques par force brute ou par pulvérisation de mot de passe.

Plus de références

blog de Stockage sur Microsoft

Page d’accueil du groupe de travail QUIC

page d’accueil de Microsoft MsQuic GitHub

QUIC Wikipédia

Page d’accueil du groupe de travail TLS 1,3

Informations de référence sur la prise en charge de Microsoft TLS 1,3