Client réseau Microsoft : communications signées numériquement (toujours)
S'applique à
- Windows 11
- Windows 10
- Windows Server
Cet article décrit les meilleures pratiques, l’emplacement, les valeurs, la gestion des stratégies et les considérations de sécurité pour le client réseau Microsoft : Paramètre de stratégie de sécurité de signature numérique (toujours) pour SMBv3 et SMBv2.
Remarque
Cet article concerne les protocoles SMB (Server Message Block) v2 et v3. SMBv1 n’est pas sécurisé et a été déprécié dans Windows. À compter de Windows 10, version 1709 et Windows Server version 1709, SMBv1 n’est pas installé par défaut.
Important
Microsoft ne recommande pas d’utiliser les paramètres de stratégie de groupe suivants :
- Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
- Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
N’utilisez pas non plus les paramètres de Registre EnableSecuritySignature .
Ces options affectent uniquement le comportement de SMBv1. Elles peuvent être remplacées efficacement par le paramètre de stratégie de groupe Communications de signature numérique (toujours) ou le paramètre de Registre RequireSecuritySignature .
Référence
Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows à distance. Pour empêcher les attaques « man-in-the-middle » qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB.
L’implémentation de signatures numériques dans les réseaux à haute sécurité permet d’empêcher l’emprunt d’identité des ordinateurs et serveurs clients, ce que l’on appelle le « détournement de session ». L’utilisation incorrecte de ces paramètres de stratégie est une erreur courante qui peut entraîner un échec d’accès aux données.
À compter des clients et serveurs SMBv2, la signature peut être requise ou non. Si ce paramètre de stratégie est activé, les clients SMBv2 signent numériquement tous les paquets. Un autre paramètre de stratégie détermine si la signature est requise pour les communications de serveur SMBv3 et SMBv2 : Serveur réseau Microsoft : communications de signature numérique (toujours) .
La négociation a lieu entre le client SMB et le serveur SMB pour décider si la signature sera utilisée. Le tableau suivant indique le comportement effectif de SMBv3 et SMBv2.
| Client | Serveur - obligatoire | Serveur : non obligatoire |
|---|---|---|
| Client - obligatoire | Signé | Signé |
| Client : non obligatoire | Signé 1 | Non signé2 |
Les performances de la signature SMB sont améliorées dans SMBv2. Pour plus d’informations, consultez Effet potentiel.
Valeurs possibles
- Activé
- Désactivé
Meilleure pratique
Activer le client réseau Microsoft : les communications de signature numérique (toujours).
Location
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Valeurs par défaut
Le tableau suivant répertorie les valeurs par défaut de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.
| Type de serveur ou GPO | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Désactivés |
| Stratégie de contrôleur de domaine par défaut | Désactivés |
| Paramètres par défaut du serveur autonome | Désactivés |
| Paramètres effectifs par défaut du contrôleur de domaine | Désactivés |
| Paramètres effectifs par défaut du serveur membre | Désactivés |
| Paramètres effectifs par défaut de l’ordinateur client | Désactivés |
Gestion des stratégies
Cette section décrit les fonctionnalités et les outils que vous pouvez utiliser pour gérer cette stratégie.
Exigence de redémarrage
Aucune. Les modifications apportées à cette stratégie deviennent effectives sans qu’un appareil ne redémarre lorsqu’ils sont enregistrés localement ou distribués via stratégie de groupe.
Considérations en matière de sécurité
Cette section décrit comment un attaquant peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de la contre-mesure.
Vulnérabilité
Le détournement de session utilise des outils qui permettent aux attaquants qui ont accès au même réseau que l’appareil client ou le serveur d’interrompre, d’arrêter ou de voler une session en cours. Les attaquants peuvent potentiellement intercepter et modifier des paquets SMB non signés, puis modifier le trafic et le transférer pour que le serveur effectue des actions répréhensibles. L’attaquant peut également se présenter comme l’ordinateur serveur ou client après une authentification légitime et obtenir un accès non autorisé aux données.
SMB est le protocole de partage des ressources pris en charge par de nombreuses versions du système d’exploitation Windows. Il s’agit de la base de nombreuses fonctionnalités modernes telles que espaces de stockage direct, réplica de stockage et SMB Direct, ainsi que de nombreux protocoles et outils hérités. Les signatures SMB authentifient les utilisateurs et les serveurs qui hébergent les données. Si l’un ou l’autre des deux côtés échouent au processus d’authentification, la transmission des données ne se produit pas.
Contre-mesure
Activer le client réseau Microsoft : les communications de signature numérique (toujours).
Remarque
Une autre contre-mesure qui pourrait protéger tout le trafic réseau consiste à implémenter des signatures numériques via IPsec. Il existe des accélérateurs matériels pour le chiffrement et la signature IPsec qui peuvent être utilisés pour réduire l’impact sur les performances sur les serveurs. Aucun accélérateur de ce type n’est disponible pour la signature SMB.
Effet potentiel
Les vitesses de stockage affectent les performances. Un lecteur plus rapide sur la source et la destination permet plus de débit, ce qui entraîne une utilisation plus élevée du processeur pour la signature. Si vous utilisez un réseau Ethernet de 1 Go ou une vitesse de stockage plus lente avec un processeur moderne, les performances sont limitées. Si vous utilisez un réseau plus rapide (par exemple, 10 Go), l’impact de la signature sur les performances peut être plus important.