Serveur réseau Microsoft : niveau de validation du nom de la cible de serveur SPN

S'applique à

  • Windows 11
  • Windows 10

Décrit les meilleures pratiques, l’emplacement et les valeurs, la gestion des stratégies et les considérations relatives à la sécurité pour le serveur réseau Microsoft : Paramètre de stratégie de niveau de sécurité du niveau de validation du nom cible spN du serveur.

Référence

Ce paramètre de stratégie contrôle le niveau de validation effectué par un serveur avec des dossiers partagés ou des imprimantes sur le nom de principal du service (SPN) fourni par l’appareil client lorsque l’appareil client établit une session à l’aide du protocole SMB (Server Message Block). Le niveau de validation peut aider à empêcher une classe d’attaques contre les services SMB (appelées attaques relais SMB). Ce paramètre affecte SMB1 et SMB2.

Les serveurs qui utilisent SMB fournissent la disponibilité de leurs systèmes de fichiers et d’autres ressources, telles que les imprimantes, aux appareils clients en réseau. La plupart des serveurs qui utilisent SMB valident l’accès utilisateur aux ressources à l’aide de l’authentification de domaine NT (NTLMv1 et NTLMv2) et du protocole Kerberos.

Valeurs possibles

Les options pour les niveaux de validation sont les suivantes :

  • Désactivé

    Le SPN d’un client SMB n’est pas requis ou validé par le serveur SMB.

  • Accepter si fourni par le client

    Le serveur SMB accepte et valide le SPN fourni par le client SMB et autorise l’établissement d’une session si elle correspond à la liste des spN du serveur SMB. Si le SPN ne correspond pas, la demande de session pour ce client SMB est refusée.

  • Requis à partir du client

    Le client SMB doit envoyer un nom SPN dans l’installation de session, et le nom spN fourni doit correspondre au serveur SMB demandé pour établir une connexion. Si aucun SPN n’est fourni par l’appareil client ou si le SPN fourni ne correspond pas, la session est refusée.

Le paramètre par défaut est Désactivé.

Meilleures pratiques

Ce paramètre affecte le comportement du serveur SMB, et son implémentation doit être soigneusement évaluée et testée pour éviter toute interruption des fonctionnalités de service de fichiers et d’impression.

Note: Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur.

Location

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.

Type de serveur ou objet stratégie de groupe (GPO) Valeur par défaut
Stratégie de domaine par défaut Désactivé
Stratégie de contrôleur de domaine par défaut Désactivé
Paramètres par défaut du serveur autonome Désactivé
Paramètres par défaut effectifs du contrôleur de domaine Vérification du niveau de validation non implémentée
Paramètres par défaut effectifs du serveur membre Vérification du niveau de validation non implémentée
Paramètres par défaut effectifs de l’objet de stratégie de groupe sur les ordinateurs clients Vérification du niveau de validation non implémentée

Gestion des stratégies

Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie deviennent effectives sans qu’un appareil ne redémarre lorsqu’ils sont enregistrés localement ou distribués via stratégie de groupe.

Considérations relatives aux conflits de stratégie

Aucune.

Stratégie de groupe

Ce paramètre de stratégie peut être configuré à l’aide de la console de gestion stratégie de groupe (GPMC) pour être distribué via stratégie de groupe Objects (GPO). Si cette stratégie n’est pas contenue dans un objet de stratégie de groupe distribué, cette stratégie peut être configurée sur l’ordinateur local à l’aide du composant logiciel enfichable Stratégie de sécurité locale.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Ce paramètre de stratégie contrôle le niveau de validation qu’effectue un serveur avec des dossiers partagés ou des imprimantes sur le nom de principal de service (SPN) fourni par l’appareil client lorsque l’appareil client établit une session à l’aide du protocole SMB. Le niveau de validation peut aider à empêcher une classe d’attaques contre des serveurs SMB (appelées attaques relais SMB). Ce paramètre affecte SMB1 et SMB2.

Contre-mesure

Pour connaître les contre-mesures appropriées à votre environnement, consultez Valeurs possibles ci-dessus.

Impact possible

Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Ce paramètre affecte le comportement du serveur SMB, et son implémentation doit être soigneusement évaluée et testée pour éviter toute interruption des fonctionnalités de service de fichiers et d’impression.

Étant donné que le protocole SMB est largement déployé, définir les options sur Accepter si elles sont fournies par le client ou Obligatoire à partir du client empêche certains clients de s’authentifier correctement auprès de certains serveurs de votre environnement.