Sécuriser le trafic SMB dans Windows Server

Comme mesure de défense en profondeur, vous pouvez utiliser des techniques de segmentation et d’isolation pour sécuriser le trafic SMB et réduire les menaces entre les appareils de votre réseau.

SMB s’utilise pour le partage de fichiers, l’impression et la communication interprocessus, à l’instar des canaux nommés et de RPC. Il est également utilisé comme infrastructure de données réseau pour des technologies telles que les espaces de stockage direct, le réplica de stockage, la migration dynamique Hyper-V et les volumes partagés de cluster. Consultez les sections suivantes pour savoir comment configurer la segmentation et l’isolation des points de terminaison du trafic SMB afin d’empêcher les communications réseau sortantes et latérales.

Bloquer l’accès SMB entrant

Bloquez le trafic sur le port TCP 445 entrant à partir d’Internet au niveau des pare-feu matériels de votre entreprise. Le blocage du trafic SMB entrant protège les appareils à l’intérieur de votre réseau en empêchant tout accès à partir d’Internet.

Si vous souhaitez que les utilisateurs accèdent à leurs fichiers entrants à la périphérie de votre réseau, vous pouvez utiliser SMB sur QUIC. Cette solution utilise le port UDP 443 par défaut et fournit un tunnel de sécurité chiffré avec TLS 1.3 comme un VPN pour le trafic SMB. Elle nécessite Windows 11 et des serveurs de fichiers Windows Server 2022 Datacenter : Azure Edition s’exécutant sur Azure Stack HCI. Pour plus d’informations, consultez SMB sur QUIC.

Bloquer l’accès SMB sortant

Bloquez le trafic sur le port TCP 445 sortant vers Internet au niveau de votre pare-feu d’entreprise. Le blocage du trafic SMB sortant empêche les appareils à l’intérieur de votre réseau d’envoyer des données avec SMB vers Internet.

Il est peu probable que vous ayez besoin d’autoriser les accès SMB sortants via le port TCP 445 vers Internet, sauf si vous l’avez demandé dans le cadre d’une offre de cloud public. Les scénarios principaux incluent Azure Files et Office 365.

Si vous utilisez SMB pour Azure Files, utilisez un VPN pour le trafic VPN sortant. L’utilisation d’un VPN vous permet de limiter le trafic sortant aux plages d’adresses IP de service nécessaires. Pour plus d’informations sur les plages d’adresses IP pour le cloud Azure et Office 365, consultez :

• Plages d’adresses IP et étiquettes de services Azure :

  • Cloud public
  • Cloud du gouvernement des États-Unis
  • Cloud Allemagne
  • Cloud Chine.

  Les fichiers JSON sont mis à jour chaque semaine. Ils incluent le contrôle de version pour le fichier complet et chacune des étiquettes de service. L’étiquette AzureCloud fournit les plages d’adresses IP pour le cloud (public, US Government, Allemagne ou Chine) et est regroupée par région dans ce cloud. Le fichier contient de plus en plus d’étiquettes de services à mesure que des services Azure sont ajoutés.

• URL et plages d’adresses IP Office 365.

Avec Windows 11 et Windows Server 2022 Datacenter : Azure Edition, vous pouvez utiliser SMB sur QUIC pour vous connecter aux serveurs de fichiers dans Azure. Cette solution utilise le port UDP 443 par défaut et fournit un tunnel de sécurité chiffré avec TLS 1.3 comme un VPN pour le trafic SMB. Pour plus d’informations, consultez SMB sur QUIC.

Faire un inventaire de l’utilisation et des partages de SMB

Faire un inventaire du trafic SMB de votre réseau vous permettra de mieux comprendre le trafic et de déterminer s’il est nécessaire. Aidez-vous de la liste de questions suivante pour identifier le trafic SMB non nécessaire.

Pour les points de terminaison de serveur :

1. Quels points de terminaison de serveur nécessitent un accès SMB entrant pour remplir leur rôle ? Ont-ils besoin d’un accès entrant à partir de tous les clients, de certains réseaux ou de certains nœuds ?
2. Pour les points de terminaison de serveur restants, l’accès SMB entrant est-il nécessaire ?

Pour les points de terminaison clients :

1. Quels points de terminaison clients (par exemple, Windows 10) nécessitent un accès SMB entrant ? Ont-ils besoin d’un accès entrant à partir de tous les clients, de certains réseaux ou de certains nœuds ?
2. Pour les points de terminaison clients restants, l’accès SMB entrant est-il nécessaire ?
3. Les points de terminaison clients restants ont-ils besoin d’exécuter le service SMB Server ?

Pour tous les points de terminaison, déterminez si vous autorisez l’accès SMB sortant avec une sécurité maximale et avec une sécurité minimale.

Passez en revue les fonctionnalités et rôles intégrés de serveur qui nécessitent un accès SMB entrant. Par exemple, les serveurs de fichiers et les contrôleurs de domaine nécessitent un accès SMB entrant pour remplir leur rôle. Pour plus d’informations sur les ports réseau requis pour les fonctionnalités et rôles intégrés, consultez Vue d’ensemble des services et exigences de ports réseau pour Windows.

Passez en revue les serveurs qui doivent être accessibles au sein du réseau. Par exemple, les contrôleurs de domaine et les serveurs de fichiers doivent généralement être accessibles de n’importe où dans le réseau. Toutefois, l’accès au serveur d’applications peut être limité à un ensemble d’autres serveurs d’applications sur le même sous-réseau. Vous pouvez vous aider des outils et fonctionnalités suivants pour faire l’inventaire de l’accès SMB :

• Utilisez la commande Get-FileShareInfo du module AZSBTools pour examiner les partages sur les serveurs et les clients.
• Activez une piste d’audit de l’accès SMB entrant en utilisant la clé de Registre Security Settings\Advanced Audit Policy Configuration\Audit Policies\Object Access\File Share. Étant donné que le nombre d’événements peut être élevé, envisagez de l’activer pendant une durée définie, ou d’utiliser Azure Monitor.

L’examen des journaux SMB vous permet de savoir quels nœuds communiquent avec les points de terminaison sur SMB. Vous pouvez déterminer si les partages d’un point de terminaison sont actifs et décider si ces partages sont ou non nécessaires.

Configurer le Pare-feu Windows Defender

Utilisez des règles de pare-feu pour renforcer la sécurité de connexion. Configurez des règles pour bloquer les communications entrantes et sortantes qui comportent des exceptions. Une stratégie de pare-feu sortant qui empêche l’utilisation de connexions SMB externes et internes à votre réseau managé, tout en autorisant l’accès à l’ensemble minimal de serveurs et à aucun autre appareil, est une mesure de défense latérale en profondeur.

Pour plus d’informations sur les règles de pare-feu SMB à définir pour les connexions entrantes et sortantes, consultez l’article de support Empêcher le trafic SMB des connexions latérales d’entrer sur le réseau ou de le quitter.

L’article de support contient des modèles de :

• Règles de trafic entrant basées sur tout type de profil réseau.
• Règles de trafic sortant pour les réseaux privés/de domaine (approuvés).
• Règles de trafic sortant pour les réseaux invités/publics (non approuvés). Il est important d’appliquer ce modèle sur les appareils mobiles et les ordinateurs des télétravailleurs qui ne se trouvent pas derrière votre pare-feu utilisé pour bloquer le trafic sortant. L’application de ces règles sur les ordinateurs portables réduit les risques d’attaques par hameçonnage qui redirigent les utilisateurs vers des serveurs malveillants dans le but de collecter les informations d’identification ou d’exécuter du code d’attaque.
• Règles de trafic sortant qui contiennent une liste d’autorisation de substitution, appelée Autoriser la connexion si elle est sécurisée, pour les contrôleurs de domaine et les serveurs de fichiers.

Pour utiliser l’authentification IPSEC d’encapsulation nulle, vous devez créer une règle de sécurité de connexion sur tous les ordinateurs de votre réseau auxquels s’appliquent les règles. Sinon, les exceptions de pare-feu ne fonctionneront pas, et le blocage se fera seulement de façon arbitraire.

Attention

Vous devez tester la règle de sécurité de connexion avant de lancer un déploiement à grande échelle. Une règle inappropriée pourrait empêcher les utilisateurs d’accéder à leurs données.

Pour créer une règle de sécurité de connexion, utilisez le Pare-feu Windows Defender avec le panneau de configuration ou le composant logiciel enfichable Sécurité avancée :

1. Dans le Pare-feu Windows Defender, sélectionnez Règles de sécurité de connexion et choisissez Nouvelle règle.
2. Dans Type de règle, sélectionnez Isolation, puis sélectionnez Suivant.
3. Dans Configuration requise, sélectionnez Demander l’authentification pour les connexions entrantes et sortantes, puis sélectionnez Suivant.
4. Dans Méthode d’authentification, sélectionnez Ordinateur et utilisateur (Kerberos V5), puis sélectionnez Suivant.
5. Dans Profil, cochez tous les profils (Domaine, Privé, Public), puis sélectionnez Suivant.
6. Entrez un nom pour votre règle, puis sélectionnez Terminer.

N’oubliez pas que la règle de sécurité de connexion doit être créée sur tous les clients et serveurs auxquels s’appliquent vos règles de trafic entrant et sortant, à défaut de quoi ils n’auront pas accès au trafic sortant SMB. Ces règles ont peut-être déjà été mises en place dans le cadre d’autres opérations de sécurisation dans votre environnement et, comme les règles de trafic entrant/sortant de pare-feu, elles peuvent être déployées via une stratégie de groupe.

Lorsque vous configurez des règles basées sur les modèles fournis dans l’article de support Empêcher le trafic SMB des connexions latérales d’entrer sur le réseau ou de le quitter, définissez les éléments suivants pour personnaliser l’action Autoriser la connexion si elle est sécurisée :

1. À l’étape Action, sélectionnez Autoriser la connexion si elle est sécurisée, puis sélectionnez Personnaliser.
2. Dans Personnaliser les paramètres Autoriser si sécurisé, sélectionnez Autoriser la connexion à utiliser l’encapsulation nulle.

L’option Autoriser la connexion si elle est sécurisée permet la substitution d’une règle de blocage globale. Vous pouvez utiliser l’option Autoriser la connexion à utiliser l’encapsulation nulle (simple mais moins sûre) avec *Substituer les règles de blocage, qui s’appuie sur Kerberos et l’appartenance au domaine pour l’authentification. Le Pare-feu Windows Defender offre des options plus sécurisées comme IPSEC.

Pour plus d’informations sur la configuration du pare-feu, consultez Vue d’ensemble du déploiement du Pare-feu Windows Defender avec une sécurité avancée.

Règles de pare-feu mises à jour (préversion)

Important

Windows Server Insiders Edition est actuellement en PRÉVERSION. Certaines informations portent sur un produit en préversion susceptible d’être substantiellement modifié avant sa publication. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.

À partir de Windows 11 Insider Preview Build 25992 (Canary) et Windows Server Preview Build 25997, les règles de pare-feu intégrées n’incluent plus les ports SMB NetBIOS. Dans les versions antérieures de Windows Server, lors de la création d’un partage, le pare-feu activait automatiquement certaines règles dans le groupe Partage de fichiers et d’imprimantes. En particulier, le pare-feu intégré utilisait automatiquement les ports NetBIOS entrants 137 à 139. Les partages effectués avec SMB2 ou des versions ultérieures n’utilisent pas les ports NetBIOS 137 à 139. Si vous devez utiliser un serveur SMB1 pour des raisons de compatibilité héritée, vous devez reconfigurer manuellement le pare-feu pour ouvrir ces ports

Cette modification a pour but d’améliorer la sécurité du réseau. Elle permet d’aligner les règles du pare-feu SMB sur le comportement standard du rôle de Serveur de fichiers Windows Server. Par défaut, la règle de pare-feu n’ouvre que le nombre minimal de ports requis pour le partage de données. Les administrateurs peuvent reconfigurer les règles pour restaurer les ports hérités.

Désactiver SMB Server s’il n’est pas utilisé

Les clients Windows et certains de vos serveurs Windows sur votre réseau peuvent ne pas nécessiter l’exécution du service SMB Server. Si le service SMB Server n’est pas requis, vous pouvez le désactiver. Avant de désactiver le service SMB Server, assurez-vous qu’aucune application ni aucun processus sur l’ordinateur n’a besoin du service.

Vous pouvez utiliser les préférences de stratégie de groupe pour désactiver le service sur un grand nombre de machines lorsque vous êtes prêt à effectuer l’implémentation. Pour plus d’informations sur la configuration de la stratégie de groupe Préférences, consultez Configurer un élément de service.

Tester et déployer à l’aide d’une stratégie

Commencez par faire des tests avec des déploiements manuels à petite échelle sur certains serveurs et clients. Utilisez des déploiements de stratégie de groupe par phases pour apporter ces modifications. Par exemple, commencez par l’entité qui consomme le plus de trafic SMB, comme votre propre équipe informatique. Si votre équipe peut accéder sans problème aux ordinateurs portables, aux applications et aux partages de fichiers après le déploiement de vos règles de pare-feu entrant et sortant, créez une stratégie de groupe de test dans vos environnements globaux de test et d’assurance qualité. Sur la base des résultats, commencez par échantillonner quelques machines du service, puis déployez à plus grande échelle.

Étapes suivantes

Regardez la session de conférence Ignite de Jessica Payne, Demystifying the Windows Firewall