SMB sur QUIC

S’applique à : Windows Server 2022 Datacenter : Azure Edition, Windows 11

SMB sur QUIC introduit une alternative au transport réseau TCP, en offrant une connectivité sécurisée et fiable aux serveurs de fichiers de périphérie sur des réseaux non approuvés comme Internet. QUIC est un protocole normalisé par l’IETF qui présente de nombreux avantages par rapport à TCP :

  • Tous les paquets sont toujours chiffrés et l’établissement d’une liaison est authentifié avec TLS 1.3
  • Flux parallèles de données d’application fiables et non fiables
  • Échange des données d’application durant le premier aller-retour (0-RTT)
  • Amélioration du contrôle de congestion et de la récupération des pertes
  • Persistance au changement d’adresse IP ou de port des clients

SMB sur QUIC fournit un « VPN SMB » pour les télétravailleurs, les utilisateurs d’appareils mobiles et les organisations de haute sécurité. Le certificat de serveur crée un tunnel chiffré TLS 1.3 sur le port UDP 443 compatible Internet au lieu du port TCP 445 hérité. Le trafic SMB, y compris l’authentification et l’autorisation dans le tunnel, n’est jamais exposé au réseau sous-jacent. SMB se comporte normalement dans le tunnel QUIC, ce qui signifie que l’expérience utilisateur ne change pas. Les fonctionnalités SMB, dont le multicanal, la signature, la compression, la disponibilité continue et le bail d’annuaire, fonctionnent normalement.

Un administrateur de serveur de fichiers doit autoriser explicitement l’activation de SMB sur QUIC. En effet, cette fonctionnalité n’est pas activée par défaut, et un client ne peut pas forcer un serveur de fichiers à activer SMB sur QUIC. Les clients SMB Windows continuent d’utiliser TCP par défaut. Ils tentent d’utiliser SMB sur QUIC uniquement si la première tentative avec TCP échoue ou si l’utilisation de QUIC est exigée avec NET USE /TRANSPORT:QUIC ou New-SmbMapping -TransportType QUIC.

Prérequis

Pour utiliser SMB sur QUIC, vous avez besoin des éléments suivants :

  • Un serveur de fichiers exécutant Windows Server 2022 Datacenter : Azure Edition (Systèmes d’exploitation Microsoft Server)
  • Un ordinateur avec Windows 11 (Windows Entreprise)
  • Windows Admin Center (Page d’accueil)
  • Une infrastructure à clé publique (PKI) qui émet des certificats comme le serveur de certificats Active Directory, ou l’accès à un émetteur de certificat tiers de confiance comme Verisign, Digicert, Let’s Encrypt, etc.

Déployer SMB sur QUIC

Étape 1 : Installer un certificat de serveur

  1. Créez un certificat émis par une autorité de certification avec les propriétés suivantes :

    • Utilisation de la clé : signature numérique
    • Objectif : authentification du serveur (référence EKU 1.3.6.1.5.5.7.3.1)
    • Algorithme de signature : SHA256RSA (ou supérieur)
    • Hachage de signature : SHA256 (ou supérieur)
    • Algorithme de clé publique : ECDSA_P256 (ou supérieur. Peut également utiliser un RSA de 2 048 bits minimum)
    • Autre nom de l’objet (SAN) : (Une entrée de nom DNS pour chaque nom DNS complet utilisé pour l’accès au serveur SMB)
    • Objet : (CN= n’importe quelle valeur, mais doit être présent)
    • Clé privée incluse : oui

    certificate settings showing Signature algorithm with a value of sha256RSA, signature hash algorithm value of sha256, and Subject value of ws2022-quicCertificate settings under the Detail tab showing Public key value of ECC (256 bits), public key parameters ECDSA-P256 and Application policies 1 application Certificate Policy Certificate details showing subject alternative name value as DNS Name equals ws2022-quic.corp, and Key Usage value as Digital Signature, Non-Repudiated

    Si vous utilisez une autorité de certification d'entreprise Microsoft, vous pouvez créer un modèle de certificat et autoriser l’administrateur du serveur de fichiers à fournir les noms DNS demandés. Pour plus d’informations sur la création d’un modèle de certificat, consultez Conception et implémentation d’une infrastructure PKI : Partie III Modèles de certificats. Pour avoir une démonstration de la création d’un certificat pour SMB sur QUIC avec une autorité de certification d’entreprise Microsoft, regardez cette vidéo :

    Pour demander un certificat tiers, consultez la documentation de votre fournisseur.

  2. Si vous utilisez une autorité de certification d’entreprise Microsoft :

    1. Démarrez MMC.EXE sur le serveur de fichiers.
    2. Ajoutez le composant logiciel enfichable Certificats, puis sélectionnez le Compte d’ordinateur.
    3. Développez Certificats (ordinateur local) et Personnel, puis cliquez avec le bouton droit sur Certificats et cliquez sur Demander un nouveau certificat.
    4. Cliquez sur Suivant.
    5. Sélectionnez Stratégie d’inscription Active Directory
    6. Cliquez sur Suivant.
    7. Sélectionnez le modèle de certificat pour SMB sur QUIC qui a été publié dans Active Directory.
    8. Cliquez sur L'inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour configurer les paramètres.
    9. Pour que les utilisateurs puissent localiser le serveur de fichiers, renseignez la valeur Objet avec un nom commun, et Autre nom de l’objet avec un ou plusieurs noms DNS.
    10. Cliquez sur OK et cliquez sur Inscription.

    image showing the steps covered 1image showing the steps covered 2image showing the steps covered 3

Remarque

N’utilisez pas d’adresses IP pour SMB sur les autres noms de l’objet du serveur QUIC.

  1. Les adresses IP nécessitent l’utilisation de NTLM, même si Kerberos est disponible à partir d’un contrôleur de domaine ou via le proxy KDC.
  2. Les machines virtuelles IaaS Azure exécutant SMB sur QUIC utilisent une NAT pour une interface publique vers une interface privée. SMB sur QUIC ne prend pas en charge l’utilisation de l’adresse IP pour le nom du serveur via une NAT, vous devez utiliser un nom DNS complet qui se résout vers l’adresse IP de l’interface publique uniquement dans ce cas.

Remarque

Si vous utilisez un fichier de certificat émis par une autorité de certification tierce, vous pouvez l’importer avec le composant logiciel enfichable Certificats ou Windows Admin Center.

Étape 2 : Configurer SMB sur QUIC

  1. Déployez un serveur Windows Server 2022 Datacenter : Azure Edition.
  2. Installez la dernière version de Windows Admin Center sur un PC de gestion ou sur le serveur de fichiers. Vous avez besoin de la dernière version de l’extension Fichiers & Partage de fichiers. Celle-ci est automatiquement installée par Windows Admin Center si l’option Mettre à jour automatiquement les extensions est activée dans Paramètres > Extensions.
  3. Joignez le serveur de fichiers Windows Server 2022 Datacenter : Azure Edition au domaine Active Directory et rendez-le accessible aux clients Windows Insider sur l’interface publique Azure en ajoutant une règle d’autorisation de pare-feu pour le trafic UDP/443 entrant. N’autorisez pas le trafic TCP/445 entrant vers le serveur de fichiers. Le serveur de fichiers doit avoir accès à au moins un contrôleur de domaine pour l’authentification, mais aucun contrôleur de domaine ne nécessite d’accès à Internet.

Remarque

Nous vous recommandons d’utiliser SMB sur QUIC avec les domaines Active Directory. Toutefois, cela n’est pas une obligation. Vous pouvez également déployer SMB sur QUIC sur un serveur joint à un groupe de travail, qui utilise des informations d’identification d’utilisateur locales et NTLM.

  1. Connectez-vous au serveur avec Windows Admin Center et cliquez sur l’icône Paramètres dans le coin inférieur gauche. Dans la section Partages de fichiers (serveur SMB), sous Partage de fichiers sur Internet avec SMB sur QUIC, cliquez sur Configurer.

  2. Cliquez sur un certificat sous Sélectionner un certificat d’ordinateur pour ce serveur de fichiers, cliquez sur les adresses de serveur auxquelles les clients peuvent se connecter ou cliquez sur Sélectionner tout, puis cliquez sur Activer.

    image showing the steps for configure SMB over QUIC1

  3. Vérifiez que le certificat et SMB sur QUIC affichent un état sain.

    image showing the steps for configure SMB over QUIC2

  4. Cliquez sur l’option de menu Fichiers et partage de fichiers. Notez vos partages SMB existants ou créez un partage SMB.

Pour avoir une démonstration de la configuration et de l’utilisation de SMB sur QUIC, regardez cette vidéo :

Étape 3 : Se connecter aux partages SMB

  1. Joignez votre appareil Windows 11 au domaine. Assurez-vous que les autres noms d’objet de certificat du serveur de fichiers SMB sur QUIC sont publiés sur DNS et que ce sont des noms complets, OU qu’ils ont été ajoutés aux fichiers HOST pour votre appareil Windows 11. Vérifiez que les autres noms d’objet de certificat du serveur sont publiés sur DNS OU qu’ils ont été ajoutés aux fichiers HOSTS pour votre appareil Windows 11.

  2. Déplacez votre appareil Windows 11 vers un réseau externe où il n’a plus d’accès réseau aux contrôleurs de domaine ni aux adresses IP internes du serveur de fichiers.

  3. Dans l’Explorateur de fichiers Windows, dans la barre d’adresse, tapez le chemin UNC d’un partage sur le serveur de fichiers et vérifiez que vous pouvez accéder aux données du partage. Vous pouvez aussi utiliser NET USE /TRANSPORT:QUIC ou New-SmbMapping -TransportType QUIC avec un chemin UNC. Exemples :

    NET USE * \\fsedge1.contoso.com\sales(essaie automatiquement TCP puis QUIC)

    NET USE * \\fsedge1.contoso.com\sales /TRANSPORT:QUIC(essaie uniquement QUIC)

    New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\sales' -TransportType QUIC(essaie uniquement QUIC)

Par défaut, un appareil Windows 11 n’a accès à aucun contrôleur de domaine Active Directory au moment de la connexion à un serveur de fichiers SMB sur QUIC. Par conséquent, l’authentification utilise NTLMv2, où le serveur de fichiers s’authentifie pour le compte du client. Aucune autorisation ou authentification NTLMv2 n’a lieu en dehors du tunnel QUIC chiffré avec TLS 1.3. Toutefois, nous vous recommandons d’utiliser Kerberos comme bonne pratique de sécurité générale et de ne pas créer de dépendances NTLMv2 dans les déploiements. Pour cela, vous pouvez configurer le proxy KDC pour transférer les demandes de ticket au nom de l’utilisateur, et utiliser en même temps un canal de communication HTTPS chiffré compatible avec Internet. Le proxy KDC est entièrement pris en charge par SMB sur QUIC et son utilisation est fortement recommandée.

Remarque

Vous ne pouvez pas configurer Windows Admin Center (WAC) en mode passerelle en utilisant le port TCP 443 sur un serveur de fichiers sur lequel vous configurez le proxy KDC. Quand vous configurez WAC sur le serveur de fichiers, changez le port par un port qui n’est pas utilisé et qui n’est pas le port 443. Si vous avez déjà configuré WAC sur le port 443, réexécutez le MSI d’installation de WAC et choisissez un autre port lorsque vous y êtes invité.

Méthode avec Windows Admin Center

  1. Vérifiez que vous utilisez au minimum Windows Admin Center version 2110.

  2. Configurez SMB sur QUIC normalement. À compter de Windows Admin Center 2110, l’option permettant de configurer le proxy KDC dans SMB sur QUIC est automatiquement activée et vous n’avez aucune autre étape à effectuer sur les serveurs de fichiers. Le port par défaut du service proxy KDC est le port 443. Il est affecté automatiquement par Windows Admin Center.

    Remarque

    Vous ne pouvez pas configurer un serveur SMB sur QUIC joint à un groupe de travail à l’aide de Windows Admin Center. Vous devez joindre le serveur à un domaine Active Directory, ou suivre les étapes de la section Méthode manuelle.

  3. Configurez le paramètre de stratégie de groupe suivant pour qu’il s’applique à l’appareil Windows 11 :

    Ordinateurs > Modèles d’administration > Système > Kerberos > Spécifier les serveurs proxy KDC pour les clients Kerberos

    Ce paramètre de stratégie de groupe est formé d’un nom de la valeur de votre nom de domaine Active Directory complet et d’une valeur qui est le nom externe que vous avez spécifié pour le serveur QUIC. Par exemple, si le domaine Active Directory est nommé corp.contoso.com et que le domaine DNS externe est nommé contoso.com :

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Avec ce mappage de domaines Kerberos, si l’utilisateur ned@corp.contoso.com a essayé de se connecter à un serveur de fichiers appelé fs1edge.contoso.com, le proxy KDC saura qu’il doit transférer les tickets Kerberos à un contrôleur de domaine situé dans le domaine interne corp.contoso.com. La communication avec le client se fera via HTTPS sur le port 443, et les informations d’identification de l’utilisateur ne seront pas exposées directement sur le réseau du serveur de fichiers client.

  4. Assurez-vous que les pare-feu de périphérie autorisent HTTPS sur le port 443 entrant vers le serveur de fichiers.

  5. Appliquez la stratégie de groupe et redémarrez l’appareil Windows 11.

Méthode manuelle

  1. Sur le serveur de fichiers, à partir d’une invite PowerShell avec élévation de privilèges, exécutez :

    NETSH http add urlacl url=https://+:443/KdcProxy user="NT authority\Network Service"

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v HttpsClientAuth /t REG_DWORD /d 0x0 /f

    REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings" /v DisallowUnprotectedPasswordAuth /t REG_DWORD /d 0x0 /f

    Get-SmbServerCertificateMapping

  2. Copiez la valeur de l’empreinte numérique du certificat associé au certificat SMB sur QUIC (même s’il y a plusieurs lignes, elles ont toutes la même empreinte numérique) et collez-la comme valeur Certhash dans la commande suivante :

    $guid = [Guid]::NewGuid()

    Add-NetIPHttpsCertBinding -ipport 0.0.0.0:443 -CertificateHash <thumbprint> -CertificateStoreName "my" -ApplicationId "{$guid}" -NullEncryption $false

  3. Ajoutez les noms SMB sur QUIC du serveur de fichiers comme noms SPN dans Active Directory pour Kerberos. Par exemple :

    NETDOM computername ws2022-quic.corp.contoso.com /add fsedge1.contoso.com

  4. Définissez le service proxy KDC sur automatique et démarrez-le :

    Set-Service -Name kpssvc -StartupType Automatic

    Start-Service -Name kpssvc

  5. Configurez la stratégie de groupe suivante pour qu’elle s’applique à l’appareil Windows 11 :

    Ordinateurs > Modèles d’administration > Système > Kerberos > Spécifier les serveurs proxy KDC pour les clients Kerberos

    Ce paramètre de stratégie de groupe est formé d’un nom de la valeur de votre nom de domaine Active Directory complet et d’une valeur qui est le nom externe que vous avez spécifié pour le serveur QUIC. Par exemple, si le domaine Active Directory est nommé « corp.contoso.com » et que le domaine DNS externe est nommé « contoso.com » :

    value name: corp.contoso.com

    value: <https fsedge1.contoso.com:443:kdcproxy />

    Avec ce mappage de domaines Kerberos, si l’utilisateur ned@corp.contoso.com a essayé de se connecter à un serveur de fichiers appelé fs1edge.contoso.com", le proxy KDC saura qu’il doit transférer les tickets Kerberos à un contrôleur de domaine situé dans le domaine interne corp.contoso.com. La communication avec le client se fera via HTTPS sur le port 443, et les informations d’identification de l’utilisateur ne seront pas exposées directement sur le réseau du serveur de fichiers client.

  6. Créez une règle de pare-feu Windows Defender qui active le port TCP 443 entrant qui permet au service proxy KDC de recevoir les requêtes d’authentification.

  7. Assurez-vous que les pare-feu de périphérie autorisent HTTPS sur le port 443 entrant vers le serveur de fichiers.

  8. Appliquez la stratégie de groupe et redémarrez l’appareil Windows 11.

Notes

La configuration automatique du proxy KDC sera disponible ultérieurement dans SMB sur QUIC et ces étapes pour le serveur ne seront alors plus nécessaires.

Expiration et renouvellement du certificat

Quand vous remplacez un certificat SMB sur QUIC expiré par un nouveau certificat de l’émetteur, ce certificat contient une nouvelle empreinte numérique. Vous pouvez renouveler automatiquement les certificats SMB sur QUIC arrivés à expiration en utilisant les services de certificats Active Directory, et chaque certificat renouvelé obtient également une nouvelle empreinte numérique. Cela signifie que SMB sur QUIC doit être reconfiguré à l’expiration du certificat, car une nouvelle empreinte numérique doit être mappée. Vous pouvez simplement sélectionner le nouveau certificat dans Windows Admin Center pour la configuration SMB sur QUIC existante ou bien utiliser la commande PowerShell Set-SMBServerCertificateMapping pour mettre à jour le mappage du nouveau certificat. Vous pouvez utiliser Azure Automanage pour Windows Server afin de détecter en amont l’expiration imminente d’un certificat et éviter toute interruption. Pour plus d’informations, consultez Azure Automanage pour Windows Server.

Notes

  • Pour les clients qui n’utilisent pas le cloud public Azure, Windows Server 2022 Datacenter : Azure Edition est disponible sur Azure Stack HCI à partir de la version 22H2.
  • Nous vous recommandons d’utiliser SMB sur QUIC avec les domaines Active Directory. Toutefois, cela n’est pas une obligation. Vous pouvez également utiliser SMB sur QUIC sur un serveur joint à un groupe de travail avec des informations d'identification locales et NTLM, ou Azure IaaS avec des serveurs Windows joints à Microsoft Entra. Les serveurs Windows joints à Microsoft Entra pour les machines non basées sur Azure IaaS ne sont pas supportés. Les serveurs Windows joints à Microsoft Entra ne supportent pas les informations d'identification pour les opérations de sécurité Windows à distance car Microsoft Entra ID ne contient pas de SID d'utilisateur ou de groupe. Les serveurs Windows joints à Microsoft Entra doivent utiliser un compte utilisateur local ou basé sur un domaine pour accéder au partage SMB sur QUIC.
  • Vous ne pouvez pas configurer SMB sur QUIC à l’aide de WAC quand le serveur SMB fait partie d’un groupe de travail (c’est-à-dire quand il n’est pas joint à un domaine AD). Dans ce scénario, vous devez utiliser l’applet de commande New-SMBServerCertificateMapping.
  • Nous recommandons que des contrôleurs de domaine en lecture seule configurés uniquement avec des mots de passe d’utilisateurs mobiles soient mis à la disposition du serveur de fichiers.
  • Les utilisateurs doivent avoir des mots de passe forts ou, dans l’idéal, être configurés avec une stratégie sans mot de passe en utilisant Windows Hello Entreprise MFA ou des cartes à puce. Configurez une stratégie de verrouillage de compte pour les utilisateurs mobiles via une stratégie de mot de passe affinée. De plus, déployez un logiciel de protection contre les intrusions pour détecter les attaques par force brute ou par pulvérisation de mots de passe.

Plus de références

Blog Storage at Microsoft

Page d’accueil du groupe de travail QUIC

Page d’accueil de Microsoft MsQuic GitHub

Article Wikipédia sur QUIC

Page d’accueil du groupe de travail TLS 1.3

Blog « Taking Transport Layer Security (TLS) to the next level with TLS 1.3 »