Améliorations en matière de sécurité SMB

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI version 21H2, Windows 11, Windows 10

Cette rubrique explique les améliorations apportées à la sécurité de SMB dans Windows Server et Windows.

Chiffrement SMB

La fonctionnalité Chiffrement SMB permet un chiffrement de bout en bout des données SMB et protège les données contre les tentatives d’écoute clandestine sur des réseaux non approuvés. Vous pouvez déployer la fonctionnalité Chiffrement SMB facilement, mais elle peut impliquer d’autres coûts liés aux matériels ou aux logiciels spécialisés. Elle n’exige pas de protocole IPsec (Internet Protocol Security) ni d’accélérateurs WAN. La fonctionnalité Chiffrement SMB peut être configurée pour chaque partage, pour tout le serveur de fichiers ou lors du mappage des lecteurs.

Notes

Elle ne couvre pas la sécurité au repos, qui est généralement gérée par la fonctionnalité Chiffrement de lecteur BitLocker.

Vous pouvez considérer la fonctionnalité Chiffrement SMB pour les scénarios où des données sensibles ont besoin d’être protégées contre les attaques par interception. Les scénarios possibles sont :

• Vous déplacez les données sensibles d’un travailleur de l’information en utilisant le protocole SMB. La fonctionnalité Chiffrement SMB offre une garantie de confidentialité et d’intégrité de bout en bout entre le serveur de fichiers et le client. Il offre cette sécurité quels que soient les réseaux traversés, comme les connexions WAN gérées par des fournisseurs non-Microsoft.
• SMB 3.0 permet aux serveurs de fichiers de fournir un stockage disponible en continu pour les applications serveur, comme SQL Server ou Hyper-V. L’activation de la fonctionnalité Chiffrement SMB offre la possibilité de protéger ces informations contre les attaques par espionnage. La fonctionnalité est plus simple à utiliser que les solutions matérielles dédiées nécessaires à la plupart des réseaux de zone de stockage (SAN).

Windows Server 2022 et Windows 11 introduisent les suites de chiffrement AES-256-GCM et AES-256-CCM pour le chiffrement SMB 3.1.1. Windows négocie automatiquement cette méthode de chiffrement plus avancée lors de la connexion à un autre ordinateur qui la prend en charge. Vous pouvez aussi imposer cette méthode via la stratégie de groupe. Windows prend toujours en charge AES-128-GCM et AES-128-CCM. Par défaut, AES-128-GCM est négocié avec SMB 3.1.1, ce qui procure le meilleur équilibre entre sécurité et performances.

Windows Server 2022 et Windows 11 SMB Direct prennent désormais en charge le chiffrement. Auparavant, l’activation du chiffrement SMB désactivait le placement direct des données, ce qui rendait les performances RDMA aussi lentes que TCP. Désormais, les données sont chiffrées avant leur placement, ce qui entraîne une dégradation des performances relativement mineure tout en ajoutant la confidentialité des paquets protégés par AES-128 et AES-256. Vous pouvez activer le chiffrement à l’aide de Windows centre d’administration, Set-SmbServerConfiguration ou de la stratégie de groupe de sécurisation renforcée UNC.

En outre, les clusters de basculement Windows Server prennent désormais en charge le contrôle précis du chiffrement des communications de stockage intra-nœud pour les volumes partagés de cluster (CSV) et la couche de bus de stockage (SBL). Cela signifie que quand vous utilisez Espaces de stockage direct et SMB Direct, vous pouvez chiffrer les communications est-ouest au sein du cluster lui-même pour une sécurité accrue.

Important

Il y a un coût d’exploitation notable des performances avec une protection à chiffrement de bout en bout par rapport à une protection non chiffrée.

Activer Chiffrement SMB

Vous pouvez activer la fonctionnalité Chiffrement SMB pour l’ensemble du serveur de fichiers ou uniquement pour des partages de fichiers spécifiques. Utilisez une des procédures suivantes pour activer la fonctionnalité Chiffrement SMB :

Activer le chiffrement SMB avec Windows Admin Center

1. Téléchargez et installez Windows Admin Center.
2. Connectez-vous au serveur de fichiers.
3. Sélectionnez Fichiers et partage de fichiers.
4. Sélectionnez l’onglet Partages de fichiers.
5. Pour exiger le chiffrement sur un partage, sélectionnez le nom du partage et choisissez Activer le chiffrement SMB.
6. Pour exiger le chiffrement sur le serveur, sélectionnez Paramètres du serveur de fichiers.
7. Sous Chiffrement SMB 3, sélectionnez Exigé de tous les clients (les autres sont rejetés), puis choisissez Enregistrer.

Activer le chiffrement SMB avec le renforcement de la sécurité UNC

Le renforcement de la sécurité UNC vous permet de configurer des clients SMB de façon à exiger le chiffrement quels que soient les paramètres de chiffrement du serveur. Cette fonctionnalité aide à empêcher les attaques par interception. Pour configurer le renforcement de la sécurité UNC, consultez MS15-011 : Une vulnérabilité dans la stratégie de groupe pourrait permettre l’exécution de code à distance. Pour plus d’informations sur les défenses contre les attaques par interception, consultez Guide pratique pour défendre les utilisateurs contre les attaques par interception via la protection des clients SMB.

Activer la fonctionnalité Chiffrement SMB avec Windows PowerShell

1. Connectez-vous à votre serveur et exécutez PowerShell sur votre ordinateur dans une session avec élévation de privilèges.

2. Pour activer la fonctionnalité Chiffrement SMB pour un partage de fichiers individuel, exécutez la commande suivante.

   Set-SmbShare –Name <sharename> -EncryptData $true
   

3. Pour activer la fonctionnalité Chiffrement SMB pour tout le serveur de fichiers, exécutez la commande suivante.

   Set-SmbServerConfiguration –EncryptData $true
   

4. Pour créer un partage de fichiers SMB avec la fonctionnalité Chiffrement SMB activée, exécutez la commande suivante.

   New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
   

Mapper les lecteurs avec le chiffrement

1. Pour activer Chiffrement SMB lors du mappage d’un lecteur à l’aide de PowerShell, exécutez la commande suivante.

   New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE
   

2. Pour activer Chiffrement SMB lors du mappage d’un lecteur à l’aide de CMD, exécutez la commande suivante.

   NET USE <drive letter> <UNC path> /REQUIREPRIVACY
   

Considérations relatives au déploiement de la fonctionnalité Chiffrement SMB

Par défaut, lorsque la fonctionnalité Chiffrement SMB est activée pour un partage ou serveur de fichiers, seuls les clients SMB 3.0, 3.02 et 3.1.1 sont autorisés à accéder aux partages de fichiers spécifiés. Cette limite permet à l’administrateur de protéger les données pour tous les clients qui accèdent aux partages.

Cependant, dans certaines circonstances, un administrateur peut souhaiter autoriser l’accès non chiffré pour les clients qui ne prennent pas en charge SMB 3.x. Cette situation peut se produire pendant une période de transition, quand différentes versions de système d’exploitation client sont utilisées. Pour autoriser l’accès non chiffré pour les clients qui ne prennent pas en charge SMB 3.x, entrez le script suivant dans Windows PowerShell :

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Remarque

Nous vous déconseillons d’autoriser l’accès non chiffré lorsque vous avez déployé le chiffrement. Mettez plutôt à jour les clients afin qu’ils prennent en charge le chiffrement.

La fonctionnalité d’intégrité de pré-authentification décrite dans la section suivante empêche une éventuelle attaque par interception de rétrograder une connexion de SMB 3.1.1 à SMB 2.x (qui utiliserait un accès non chiffré). Cependant, elle n’empêche pas une rétrogradation à SMB 1.0, qui aboutirait aussi à un accès non chiffré.

Pour garantir que les clients SMB 3.1.1 utilisent toujours la fonctionnalité Chiffrement SMB pour accéder aux partages chiffrés, vous devez désactiver le serveur SMB 1.0. Pour obtenir des instructions, connectez-vous au serveur avec Windows Admin Center et ouvrez l’extension Fichiers et partage de fichiers, puis sélectionnez l’onglet Partages de fichiers pour être invité à désinstaller. Pour d’informations, consultez Guide pratique pour détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.

Si le paramètre –RejectUnencryptedAccess est laissé à sa valeur par défaut $true, seuls les clients SMB 3 compatibles avec le chiffrement sont autorisés à accéder aux partages de fichiers (les clients SMB 1.0 sont également rejetés).

Prenez en compte des problèmes suivants quand vous déployez le chiffrement SMB :

• La fonctionnalité Chiffrement SMB utilise l’algorithme Advanced Encryption Standard (AES)-GCM et CCM pour chiffrer et déchiffrer les données. Les algorithmes AES-CMAC et AES-GMAC assure également la validation de l’intégrité des données (signature) pour les partages de fichiers chiffrés, quels que soient les paramètres de signature SMB. Si vous voulez activer la signature SMB sans chiffrement, vous pouvez continuer à le faire. Pour plus d’informations, consultez Configure SMB Signing with Confidence (Configurer la signature SMB en toute confiance).
• Vous risquez de rencontrer des problèmes quand vous tentez d’accéder au partage de fichiers ou au serveur si votre organisation utilise des appliances d’accélération WAN.
• Avec une configuration par défaut (où aucun accès non chiffré aux partages de fichiers chiffrés n’est autorisé), si des clients qui ne prennent pas en charge SMB 3.x tentent d’accéder à un partage de fichiers chiffré, l’ID d’événement 1003 est enregistré dans le journal des événements Microsoft-Windows-SmbServer/Operational et le client reçoit un message d’erreur Accès refusé.
• La fonctionnalité Chiffrement SMB et le système de fichiers EFS du système de fichiers NTFS ne sont pas liés, et la fonctionnalité Chiffrement SMB n’a pas besoin ou ne dépend pas de l’utilisation d’EFS.
• Les fonctionnalités Chiffrement SMB et Chiffrement de lecteur BitLocker ne sont pas liées, et la fonctionnalité Chiffrement SMB n’a pas besoin ou ne dépend pas de l’utilisation de Chiffrement de lecteur BitLocker.

Intégrité préalable à l’authentification.

SMB 3.1.1 est capable de détecter les attaques par interception qui tentent de rétrograder le protocole, ou les fonctionnalités négociées par le client et le serveur en utilisant l’intégrité de pré-authentification. L’intégrité de pré-authentification est une fonctionnalité obligatoire de SMB 3.1.1. Elle protège contre toute falsification des messages de négociation et de configuration de session en utilisant le hachage de chiffrement. Le hachage résultant est utilisé comme entrée pour dériver les clés de chiffrement de la session, y compris sa clé de signature. Ce processus permet au client et au serveur d’approuver mutuellement les propriétés de la connexion et de la session. Quand le client ou le serveur détecte une telle attaque, la connexion est interrompue et l’ID d’événement 1005 est consigné dans le journal des événements Microsoft-Windows-SmbServer/Operational.

En raison de cette protection et pour bénéficier de toutes les capacités de la fonctionnalité Chiffrement SMB, nous vous recommandons fortement de désactiver le serveur SMB 1.0. Pour obtenir des instructions, connectez-vous au serveur avec Windows Admin Center et ouvrez l’extension Fichiers et partage de fichiers, puis sélectionnez l’onglet Partages de fichiers pour être invité à désinstaller. Pour d’informations, consultez Guide pratique pour détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.

Nouvel algorithme de signature

SMB 3.0 et 3.02 utilisent un algorithme de chiffrement plus récent pour la signature : AES-CMAC (Advanced Encryption Standard-Cipher-based Message Authentication Code). SMB 2.0 utilisait l’ancien algorithme de chiffrement HMAC-SHA256. AES-CMAC et AES-CCM peuvent accélérer considérablement le chiffrement des données sur la plupart des processeurs modernes prenant en charge les instructions AES.

Windows Server 2022 et Windows 11 introduisent AES-128-GMAC pour la signature SMB 3.1.1. Windows négocie automatiquement cette méthode de chiffrement plus performante lors de la connexion à un autre ordinateur qui la prend en charge. Windows prend toujours en charge AES-128-CMAC. Pour plus d’informations, consultez Configure SMB Signing with Confidence (Configurer la signature SMB en toute confiance).

Désactivation de SMB 1.0

SMB 1.0 n’est pas installé par défaut à compter de Windows Server version 1709 et Windows 10 version 1709. Pour obtenir des instructions sur la suppression de SMB 1, connectez-vous au serveur avec Windows Admin Center et ouvrez l’extension Fichiers et partage de fichiers, puis sélectionnez l’onglet Partages de fichiers pour être invité à désinstaller. Pour d’informations, consultez Guide pratique pour détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.

S’il est toujours installé, vous devez désactiver immédiatement SMB 1. Pour plus d’informations sur la détection et la désactivation de l’utilisation de SMB 1.0, consultez Arrêter d’utiliser SMB 1. Pour obtenir des informations sur les logiciels qui nécessitent actuellement ou ont nécessité SMB 1.0, consultez Centre d’information sur les produits utilisant SMB 1.

Liens connexes

• Vue d’ensemble du partage de fichiers à l’aide du protocole SMB 3 dans Windows Server
• Documentation Stockage Windows Server
• Présentation de serveur de fichiers avec montée en puissance parallèle pour les données d’application