Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les dernières fonctionnalités SMB (Server Message Block) introduites dans Windows 11 24H2 et Windows Server 2025 sont conçues pour renforcer la sécurité de vos données, de vos utilisateurs et de votre organisation. La plupart de ces fonctionnalités sont automatiquement activées par défaut. Ces fonctionnalités SMB visent à fournir un environnement informatique plus sûr et plus sécurisé en réduisant le risque de cyberattaques et de violations de données dans votre environnement.
Les utilisateurs peuvent télécharger les versions suivantes pour avoir un aperçu des fonctionnalités de sécurité avant la sortie de notre système d'exploitation majeur :
Windows 11, version 24H2 ou ultérieure
Windows Server 2025 ou version ultérieure
Fonctionnalités de sécurité SMB
La compréhension des fonctionnalités de sécurité SMB peut aider les utilisateurs à protéger leurs données sensibles et à empêcher l'accès non autorisé aux ressources partagées. La section suivante donne un bref aperçu de ces fonctionnalités.
Signature SMB
À partir de Windows 11 24H2 et de Windows Server 2025, toutes les connexions SMB sortantes et entrantes doivent désormais être signées par défaut. Auparavant, la signature SMB n'était requise par défaut que pour les connexions aux partages nommés SYSVOL et NETLOGON, et pour les clients des contrôleurs de domaine AD.
La signature SMB empêche la falsification des données et les attaques par relais qui volent les informations d'identification. En rendant la signature obligatoire par défaut, les administrateurs et les utilisateurs n'ont pas besoin d'être des experts en sécurité du protocole réseau SMB pour activer cette importante fonctionnalité de sécurité. En activant la signature SMB, les clients et les serveurs n'acceptent que les paquets signés et rejettent ceux qui ne le sont pas. Les paquets provenant d'utilisateurs invités sont rejetés, ce qui signifie que la fonctionnalité permettant aux utilisateurs de se connecter à un serveur sans fournir d'informations d'identification (guest fallback) est désactivée. Cette mesure de sécurité permet d'éviter les accès non autorisés et les violations de données en obligeant les utilisateurs à s'authentifier avant d'accéder à un serveur, ce qui garantit que seuls les utilisateurs autorisés peuvent accéder au serveur et à ses ressources.
Pour en savoir plus, consultez la section Contrôle de la signature SMB.
Ports alternatifs SMB
Le client SMB peut être utilisé pour établir des connexions avec des ports alternatifs pour TCP, QUIC et RDMA. Ces ports peuvent différer des ports par défaut attribués par l'IANA (Internet Assigned Numbers Authority) et l'IETF (Internet Engineering Task Force), qui sont respectivement 445, 443 et 5445 pour TCP, QUIC et RDMA.
Dans Windows Server, il est possible d'héberger une connexion SMB sur QUIC sur un port de pare-feu autorisé, mais pas nécessairement sur le port par défaut 443. Cependant, il est important de noter que la connexion à des ports alternatifs n'est possible que si le serveur SMB est configuré pour écouter sur ce port spécifique. En outre, il est possible de configurer le déploiement pour interdire l'utilisation de ports alternatifs ou pour restreindre leur utilisation à certains serveurs.
Pour en savoir plus, veuillez consulter la section Configurer des ports SMB alternatifs.
Amélioration de l'audit SMB
SMB a maintenant la capacité d'auditer l'utilisation de SMB sur QUIC, et prend en charge le chiffrement et la signature de tiers. Ces fonctionnalités peuvent être utilisées à la fois au niveau du serveur SMB et du client. Si vous utilisez des appareils Windows ou Windows Server, il est désormais plus simple de déterminer s'ils utilisent SMB sur QUIC. Vous pouvez également vérifier plus facilement si des logiciels tiers prennent en charge la signature et le chiffrement avant de les rendre obligatoires.
Pour plus d'informations, consultez les rubriques suivantes :
Limitation du taux d'authentification SMB
Le service de serveur SMB limite désormais le nombre d'échecs des tentatives d'authentification. Cette mesure s'applique au partage de fichiers SMB tant sur Windows Server que sur Windows Client. Les attaques par force brute tentent de deviner les noms d'utilisateur et les mots de passe et peuvent bombarder le serveur SMB de dizaines, voire de milliers de tentatives par seconde. Le limiteur de taux d'authentification SMB est désormais activé par défaut, avec un délai de 2 secondes entre chaque tentative d'authentification NTLM ou KDC local Kerberos qui échoue. Par conséquent, une attaque qui envoie 300 tentatives par seconde pendant 5 minutes (90 000 tentatives) prendrait maintenant 50 heures. Il est donc beaucoup moins probable qu'un attaquant persiste à utiliser cette méthode.
Pour plus d'informations, consultez les rubriques suivantes :
Configurer la limitation du taux d'authentification SMB pour Windows
Vidéo de démonstration du limiteur de taux d'authentification pour les PME
Le mandat de chiffrement du client SMB est désormais pris en charge
Le client SMB peut désormais imposer le chiffrement pour toutes les connexions SMB sortantes. Cette mesure garantit le plus haut niveau de sécurité du réseau et place la signature SMB au même niveau de gestion. Une fois cette option activée, le client SMB ne se connecte qu'à un serveur SMB qui prend en charge SMB 3.0 ou une version ultérieure et le chiffrement SMB. Il est possible qu'un serveur SMB tiers prenne en charge SMB 3.0 mais pas le chiffrement SMB. Contrairement à la signature SMB, le chiffrement n'est pas obligatoire par défaut.
Pour en savoir plus, consultez la section Configurer le client SMB pour qu'il exige le chiffrement dans Windows.
Gestion des dialectes SMB
Il est désormais possible d'imposer l'utilisation des versions 2 et 3 du protocole SMB. Auparavant, le serveur et le client SMB ne prenaient en charge que la négociation automatique du dialecte le plus élevé entre SMB 2.0.2 et 3.1.1. Grâce à cette nouvelle fonctionnalité, vous pouvez intentionnellement empêcher les anciennes versions de protocole ou les appareils plus anciens de se connecter. Par exemple, vous pouvez spécifier que les connexions n'utilisent que SMB 3.1.1, le dialecte le plus sûr du protocole. Le minimum et le maximum peuvent être définis indépendamment sur le client et le serveur SMB, et vous pouvez choisir de ne définir qu'un minimum si vous le souhaitez.
Pour plus d'informations, consultez les rubriques suivantes :
Modifications des ports par défaut du pare-feu SMB
Les ports SMB NetBIOS ne sont plus inclus dans les règles intégrées du pare-feu. Ces ports n'étaient nécessaires que pour l'utilisation de SMB1, qui est désormais obsolète et supprimé par défaut. Cette modification aligne les règles du pare-feu SMB sur le comportement standard du rôle de serveur de fichiers de Windows Server. Les administrateurs peuvent reconfigurer les règles pour rétablir les ports existants.
Pour en savoir plus, veuillez consulter la section Règles de pare-feu mises à jour.
Authentification non sécurisée de l'invité par SMB
Par défaut, Windows 11 Pro n'autorise plus les connexions client SMB en tant qu'invité ou le repli de l'invité vers un serveur SMB. Cela permet à Windows 11 Pro de s'aligner sur le comportement de Windows 10 et des éditions Entreprise, Éducation et Pro pour station de travail de Windows 11. Les connexions invitées ne nécessitent pas de mot de passe et ne prennent pas en charge les fonctionnalités de sécurité standard telles que la signature et le chiffrement.
Permettre à un client d'utiliser des connexions invitées expose l'utilisateur à des risques d'attaques de type « adversaire au milieu » ou de scénarios de serveurs malveillants. Par exemple, une attaque par hameçonnage qui incite un utilisateur à ouvrir un fichier sur un partage distant ou un serveur usurpé qui convainc un client qu'il est légitime. L'attaquant n'a pas besoin de connaître les informations d'identification de l'utilisateur et un mot de passe faible n'est pas pris en compte. Seuls les appareils distants tiers peuvent exiger un accès invité par défaut.
Pour en savoir plus, consultez Comment activer les connexions d'invités non sécurisées dans SMB2 et SMB3.
Blocage du NTLM par SMB
Le client SMB peut désormais empêcher l'authentification NTLM pour les connexions sortantes à distance. Cela modifie le comportement précédent qui consistait à toujours utiliser une authentification négociée pouvant passer de Kerberos à NTLM. En bloquant l'authentification NTLM, les appareils clients sont protégés contre l'envoi de requêtes NTLM à des serveurs malveillants, ce qui permet d'atténuer les attaques par force brute, par craquage, par relais et par « pass-the-hash ».
Le blocage de NTLM est nécessaire pour appliquer l'authentification d'une organisation à Kerberos, qui est plus sûre parce qu'elle vérifie les identités grâce à son système de tickets et à une cryptographie supérieure. Les administrateurs peuvent spécifier des exceptions pour autoriser l'authentification NTLM sur SMB vers des serveurs spécifiques.
Pour plus d'informations, consultez les rubriques suivantes :
Contrôle d'accès du client SMB via QUIC
Le contrôle d'accès des clients SMB sur QUIC vous permet de limiter les clients qui peuvent accéder aux serveurs SMB sur QUIC. Le comportement précédent autorisait les tentatives de connexion à partir de n'importe quel client faisant confiance à la chaîne d'émission de certificats du serveur QUIC. Avec le contrôle d'accès client, une liste d'autorisation et une liste de blocage sont créées pour que les appareils puissent se connecter au serveur de fichiers.
Un client doit maintenant disposer de sa propre certification et être sur une liste d'autorisation pour établir la connexion QUIC avant que toute connexion SMB puisse avoir lieu. Le contrôle d'accès du client offre aux organisations une protection supplémentaire sans modifier l'authentification utilisée lors de la connexion SMB, et l'expérience de l'utilisateur n'est pas affectée. En outre, vous pouvez désactiver complètement le client SMB sur QUIC ou n'autoriser que les connexions à des serveurs spécifiques.
Pour plus d'informations, consultez les rubriques suivantes :
SMB sur QUIC dans Windows Server
SMB over QUIC est désormais disponible dans toutes les éditions de Windows Server 2025 alors qu'il n'était présent que dans l'édition Azure de Windows Server 2022. SMB sur QUIC est une alternative au protocole TCP dépassé et est destiné à être utilisé sur des réseaux non fiables tels qu'Internet. TLS 1.3 et des certificats sont utilisés pour garantir que tout le trafic SMB est chiffré, ce qui lui permet d'être utilisé à travers les pare-feu de périphérie par les utilisateurs mobiles et distants sans avoir recours à un VPN. QUIC garantit également que si NTLM est requis, une réponse au défi de l'utilisateur (données du mot de passe) n'est pas exposée sur le réseau comme c'est le cas avec TCP.
Pour plus d'informations, consultez les rubriques suivantes :
Suppression des boîtes aux lettres distantes SMB
Les relais de courrier à distance ne sont plus activés par défaut pour l'utilisation des protocoles SMB et DC locator avec Active Directory (AD), car ils sont obsolètes. Le protocole Remote Mailslot, qui a été introduit à l'origine dans MS DOS, est désormais considéré comme obsolète et peu fiable. Il n'est pas non plus sûr car il ne comporte aucun mécanisme d'authentification ou d'autorisation.
Pour plus d'informations, consultez les rubriques suivantes :