Serveur réseau Microsoft : niveau de validation du nom de la cible de serveur SPN
S'applique à
- Windows 11
- Windows 10
Décrit les meilleures pratiques, l’emplacement et les valeurs, la gestion des stratégies et les considérations relatives à la sécurité pour le serveur réseau Microsoft : Paramètre de stratégie de niveau de sécurité du niveau de validation du nom cible spN du serveur.
Référence
Ce paramètre de stratégie contrôle le niveau de validation effectué par un serveur avec des dossiers partagés ou des imprimantes sur le nom de principal du service (SPN) fourni par l’appareil client lorsque l’appareil client établit une session à l’aide du protocole SMB (Server Message Block). Le niveau de validation peut aider à empêcher une classe d’attaques contre les services SMB (appelées attaques relais SMB). Ce paramètre affecte SMB1 et SMB2.
Les serveurs qui utilisent SMB fournissent la disponibilité de leurs systèmes de fichiers et d’autres ressources, telles que les imprimantes, aux appareils clients en réseau. La plupart des serveurs qui utilisent SMB valident l’accès utilisateur aux ressources à l’aide de l’authentification de domaine NT (NTLMv1 et NTLMv2) et du protocole Kerberos.
Valeurs possibles
Les options pour les niveaux de validation sont les suivantes :
Désactivé
Le SPN d’un client SMB n’est pas requis ou validé par le serveur SMB.
Accepter si fourni par le client
Le serveur SMB accepte et valide le SPN fourni par le client SMB et autorise l’établissement d’une session si elle correspond à la liste des spN du serveur SMB. Si le SPN ne correspond pas, la demande de session pour ce client SMB est refusée.
Requis à partir du client
Le client SMB doit envoyer un nom SPN dans l’installation de session, et le nom spN fourni doit correspondre au serveur SMB demandé pour établir une connexion. Si aucun SPN n’est fourni par l’appareil client ou si le SPN fourni ne correspond pas, la session est refusée.
Le paramètre par défaut est Désactivé.
Meilleures pratiques
Ce paramètre affecte le comportement du serveur SMB, et son implémentation doit être soigneusement évaluée et testée pour éviter toute interruption des fonctionnalités de service de fichiers et d’impression.
Note: Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur.
Location
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Valeurs par défaut
Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.
| Type de serveur ou objet stratégie de groupe (GPO) | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Désactivé |
| Stratégie de contrôleur de domaine par défaut | Désactivé |
| Paramètres par défaut du serveur autonome | Désactivé |
| Paramètres par défaut effectifs du contrôleur de domaine | Vérification du niveau de validation non implémentée |
| Paramètres par défaut effectifs du serveur membre | Vérification du niveau de validation non implémentée |
| Paramètres par défaut effectifs de l’objet de stratégie de groupe sur les ordinateurs clients | Vérification du niveau de validation non implémentée |
Gestion des stratégies
Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.
Exigence de redémarrage
Aucune. Les modifications apportées à cette stratégie deviennent effectives sans qu’un appareil ne redémarre lorsqu’ils sont enregistrés localement ou distribués via stratégie de groupe.
Considérations relatives aux conflits de stratégie
Aucune.
Stratégie de groupe
Ce paramètre de stratégie peut être configuré à l’aide de la console de gestion stratégie de groupe (GPMC) pour être distribué via stratégie de groupe Objects (GPO). Si cette stratégie n’est pas contenue dans un objet de stratégie de groupe distribué, cette stratégie peut être configurée sur l’ordinateur local à l’aide du composant logiciel enfichable Stratégie de sécurité locale.
Considérations en matière de sécurité
Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.
Vulnérabilité
Ce paramètre de stratégie contrôle le niveau de validation qu’effectue un serveur avec des dossiers partagés ou des imprimantes sur le nom de principal de service (SPN) fourni par l’appareil client lorsque l’appareil client établit une session à l’aide du protocole SMB. Le niveau de validation peut aider à empêcher une classe d’attaques contre des serveurs SMB (appelées attaques relais SMB). Ce paramètre affecte SMB1 et SMB2.
Contre-mesure
Pour connaître les contre-mesures appropriées à votre environnement, consultez Valeurs possibles ci-dessus.
Impact possible
Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Ce paramètre affecte le comportement du serveur SMB, et son implémentation doit être soigneusement évaluée et testée pour éviter toute interruption des fonctionnalités de service de fichiers et d’impression.
Étant donné que le protocole SMB est largement déployé, définir les options sur Accepter si elles sont fournies par le client ou Obligatoire à partir du client empêche certains clients de s’authentifier correctement auprès de certains serveurs de votre environnement.