Améliorations en matière de sécurité SMB

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Cette rubrique explique les améliorations apportées à la sécurité SMB dans Windows Server.

Chiffrement SMB

La fonctionnalité Chiffrement SMB permet un chiffrement de bout en bout des données SMB et protège les données contre les tentatives d’écoute clandestine sur des réseaux non approuvés. Vous pouvez déployer la fonctionnalité Chiffrement SMB facilement, mais elle peut impliquer des coûts supplémentaires liés au matériel ou aux logiciels spécialisés. Elle n’exige pas de protocole IPsec (Internet Protocol Security) ni d’accélérateurs WAN. La fonctionnalité Chiffrement SMB peut être configurée par partage ou pour le serveur de fichiers tout entier et vous pouvez l’activer pour un large éventail de scénarios où les données parcourent des réseaux non approuvés.

Notes

Elle ne couvre pas la sécurité au repos, qui est généralement gérée par la fonctionnalité Chiffrement de lecteur BitLocker.

Considérez la fonctionnalité Chiffrement SMB pour tout scénario dans lequel les données sensibles ont besoin d’être protégées contre les attaques de l’intercepteur. Les scénarios possibles sont :

  • Les données sensibles d’un travailleur de l’information sont déplacées à l’aide du protocole SMB. La fonctionnalité Chiffrement SMB assure la confidentialité et l’intégrité de bout en bout entre le serveur de fichiers et le client, quels que soient les réseaux parcourus, comme des connexions de réseau étendu (WAN) gérées par des fournisseurs non-Microsoft.
  • SMB 3.0 permet aux serveurs de fichiers de fournir un stockage disponible en continu pour les applications serveur, comme SQL Server ou Hyper-V. L’activation de la fonctionnalité Chiffrement SMB offre la possibilité de protéger ces informations contre les attaques par espionnage. La fonctionnalité est plus simple à utiliser que les solutions matérielles dédiées nécessaires à la plupart des réseaux de zone de stockage (SAN).

Windows Server 2022 et Windows 11 introduisent les suites de chiffrement AES-256-GCM et AES-256-CCM pour le chiffrement SMB 3.1.1. Windows négocie automatiquement cette méthode de chiffrement plus avancée lors de la connexion à un autre ordinateur qui la prend en charge, et elle peut également être mandatée par le biais d’une stratégie de groupe. Windows prend toujours en charge AES-128-GCM et AES-128-CCM. Par défaut, AES-128-GCM est négocié avec SMB 3.1.1, ce qui procure le meilleur équilibre entre sécurité et performances.

La fonctionnalité SMB Direct de Windows Server 2022 et Windows 11 prend désormais en charge le chiffrement. Auparavant, l’activation du chiffrement SMB désactivait le placement direct des données, ce qui rendait les performances RDMA aussi lentes que TCP. Désormais, les données sont chiffrées avant leur placement, ce qui entraîne une dégradation des performances relativement mineure tout en ajoutant la confidentialité des paquets protégés par AES-128 et AES-256. Vous pouvez activer le chiffrement à l’aide de Windows centre d’administration, Set-SmbServerConfiguration ou de la stratégie de groupe de sécurisation renforcée UNC. En outre, les clusters de basculement Windows Server prennent désormais en charge le contrôle précis du chiffrement des communications de stockage intra-nœud pour les volumes partagés de cluster (CSV) et la couche de bus de stockage (SBL). Cela signifie que lorsque vous utilisez les espaces de stockage direct et SMB Direct, vous pouvez décider de chiffrer les communications est-ouest au sein du cluster lui-même pour une sécurité accrue.

Important

Notez qu’il existe un coût d’exploitation des performances notable avec une protection à chiffrement de bout en bout par rapport à une protection non chiffrée.

Activer Chiffrement SMB

Vous pouvez activer la fonctionnalité Chiffrement SMB pour l’ensemble du serveur de fichiers ou uniquement pour des partages de fichiers spécifiques. Utilisez l’une des procédures suivantes pour activer la fonctionnalité Chiffrement SMB :

Activer le chiffrement SMB avec Windows Admin Center

  1. Téléchargez et installez Windows Admin Center.
  2. Connectez-vous au serveur de fichiers.
  3. Cliquez sur fichiers partagede fichiers.
  4. Cliquez sur l’onglet Partages de fichiers.
  5. Pour exiger le chiffrement sur un partage, cliquez sur le nom du partage et sélectionnez Activer le chiffrement SMB.
  6. Pour exiger le chiffrement sur le serveur, cliquez sur le bouton *Paramètres du serveur de fichiers puis, sous « Chiffrement SMB 3 », sélectionnez Exigé de tous les clients (les autres sont rejetés) , puis cliquez sur Enregistrer.

Activer le chiffrement SMB avec le renforcement de la sécurité UNC

Le renforcement de la sécurité UNC vous permet de configurer des clients SMB de façon à exiger le chiffrement quels que soient les paramètres de chiffrement du serveur. Cela est utile pour empêcher les attaques par interception. Pour configurer le renforcement de la sécurité UNC, consultez MS15-011 : Une vulnérabilité dans la stratégie de groupe pourrait permettre l’exécution de code à distance. Pour plus d’informations sur les défenses contre les attaques par interception, consultez Vulnerability in Group Policy could allow remote code execution (Guide pratique pour défendre les utilisateurs contre les attaques par interception via la protection des clients SMB).

Activer la fonctionnalité Chiffrement SMB avec Windows PowerShell

  1. Pour activer la fonctionnalité Chiffrement SMB pour un partage de fichiers individuel, tapez le script suivant sur le serveur :

    Set-SmbShare –Name <sharename> -EncryptData $true
    
  2. Pour activer la fonctionnalité Chiffrement SMB pour l’ensemble du serveur de fichiers, tapez le script suivant sur le serveur :

    Set-SmbServerConfiguration –EncryptData $true
    
  3. Pour créer un partage de fichiers SMB avec la fonctionnalité Chiffrement SMB activée, tapez le script suivant :

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
    

Considérations relatives au déploiement de la fonctionnalité Chiffrement SMB

Par défaut, lorsque la fonctionnalité Chiffrement SMB est activée pour un partage ou serveur de fichiers, seuls les clients SMB 3.0, 3.02 et 3.1.1 sont autorisés à accéder aux partages de fichiers spécifiés. L’administrateur impose ainsi son intention de protéger les données de tous les clients qui accèdent aux partages. Toutefois, dans certains cas, un administrateur peut avoir besoin d’autoriser un accès non chiffré pour les clients qui ne prennent pas en charge SMB 3.x (par exemple pendant une période de transition où des versions de système d’exploitation client diverses sont utilisées). Pour autoriser l’accès non chiffré pour les clients qui ne prennent pas en charge SMB 3.x, tapez le script suivant dans Windows PowerShell :

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Notes

  • Nous vous déconseillons d’autoriser l’accès non chiffré lorsque vous avez déployé le chiffrement. Mettez plutôt à jour les clients afin qu’ils prennent en charge le chiffrement.

La fonction d’intégrité de pré-authentification décrite dans la section suivante empêche une éventuelle attaque par interception de rétrograder une connexion de SMB 3.1.1 à SMB 2.x (qui utiliserait un accès non chiffré). Toutefois, elle n’empêche pas une rétrogradation à SMB 1.0, qui déboucherait aussi sur un accès non chiffré. Pour garantir que les clients SMB 3.1.1 utilisent toujours la fonctionnalité Chiffrement SMB pour accéder aux partages chiffrés, vous devez désactiver le serveur SMB 1.0. pour obtenir des instructions, connectez-vous au serveur à l’aide de Windows centre d’administration et ouvrez l’extension de partage de fichiers de fichiers, puis cliquez sur l’onglet partages de fichiers pour être invité à désinstaller ou voir comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows. Si le paramètre –RejectUnencryptedAccess est laissé à sa valeur par défaut $true, seuls les clients SMB 3 compatibles avec le chiffrement sont autorisés à accéder aux partages de fichiers (les clients SMB 1.0 sont également refusés).

Notes

  • La fonctionnalité Chiffrement SMB utilise l’algorithme Advanced Encryption Standard (AES)-GCM et CCM pour chiffrer et déchiffrer les données. Les algorithmes AES-CMAC et AES-GMAC assure également la validation de l’intégrité des données (signature) pour les partages de fichiers chiffrés, quels que soient les paramètres de signature SMB. Si vous voulez activer la signature SMB sans chiffrement, vous pouvez continuer à le faire. Pour plus d’informations, consultez Configure SMB Signing with Confidence (Configurer la signature SMB en toute confiance).
  • Vous risquez de rencontrer des problèmes quand vous tentez d’accéder au partage de fichiers ou serveur si votre organisation utilise des appliances d’accélération de réseau étendu (WAN).
  • Avec une configuration par défaut (où aucun accès non chiffré aux partages de fichiers chiffrés n’est autorisé), si les clients qui ne prennent pas en charge SMB 3.x tentent d’accéder à un partage de fichiers chiffré, l’ID d’événement 1003 est enregistré dans le journal des événements Microsoft-Windows-SmbServer/Operational et le client reçoit un message d’erreur Accès refusé.
  • La fonctionnalité Chiffrement SMB et le système de fichiers EFS inclus dans le système de fichiers NTFS ne sont pas liés. La fonctionnalité Chiffrement SMB n’a pas besoin ou ne dépend pas de l’utilisation d’EFS.
  • Les fonctionnalités Chiffrement SMB et Chiffrement de lecteur BitLocker ne sont pas liées, et la fonctionnalité Chiffrement SMB n’a pas besoin ou ne dépend pas de l’utilisation de Chiffrement de lecteur BitLocker.

Intégrité de pré-authentification

SMB 3.1.1 est capable de détecter les attaques par interception qui tentent de rétrograder le protocole ou les fonctionnalités négociées par le client et le serveur à l’aide de l’intégrité de pré-authentification. L’intégrité de pré-authentification est une fonctionnalité obligatoire de SMB 3.1.1. Elle protège contre toute falsification des messages de négociation et de configuration de session en tirant parti du hachage de chiffrement. Le hachage résultant est utilisé comme entrée pour dériver les clés de chiffrement de la session, y compris sa clé de signature. Cela permet au client et au serveur d’approuver mutuellement les propriétés de connexion et de session. Lorsqu’une telle attaque est détectée par le client ou le serveur, la connexion est déconnectée et l’ID d’événement 1005 est consigné dans le journal des événements Microsoft-Windows-SmbServer/Operational. C’est pour cette raison, et pour exploiter toutes les capacités de la fonctionnalité Chiffrement SMB, que nous vous recommandons vivement de désactiver le serveur SMB 1.0. pour obtenir des instructions, connectez-vous au serveur à l’aide de Windows centre d’administration et ouvrez l’extension de partage de fichiers de fichiers, puis cliquez sur l’onglet partages de fichiers pour être invité à désinstaller ou voir comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows.

Nouvel algorithme de signature

SMB 3.0 et 3.02 utilisent un algorithme de chiffrement plus récent pour la signature : AES-CMAC (Advanced Encryption Standard-Cipher-based Message Authentication Code). SMB 2.0 utilisait l’ancien algorithme de chiffrement HMAC-SHA256. AES-CMAC et AES-CCM peuvent accélérer considérablement le chiffrement des données sur la plupart des processeurs modernes prenant en charge les instructions AES.

Windows Server 2022 et Windows 11 introduisent AES-128-GMAC pour la signature SMB 3.1.1. Windows négocie automatiquement cette méthode de chiffrement plus performante lors de la connexion à un autre ordinateur qui la prend en charge. Windows prend toujours en charge AES-128-CMAC. Pour plus d’informations, consultez Configure SMB Signing with Confidence (Configurer la signature SMB en toute confiance).

Désactivation de SMB 1.0

SMB 1.0 n’est pas installé par défaut à compter de Windows Server version 1709 et Windows 10 version 1709. pour obtenir des instructions sur la suppression de SMB1, connectez-vous au serveur à l’aide de Windows centre d’administration et ouvrez l’extension de partage de fichiers de fichiers, puis cliquez sur l’onglet partages de fichiers pour être invité à désinstaller ou voir comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 dans Windows vous devez désactiver SMB1 immédiatement est toujours installé. Pour plus d’informations sur la détection et la désactivation de l’utilisation de SMB 1.0, consultez Stop using SMB1. Pour accéder à un centre d’échanges de logiciels qui exigent ou exigeaient le protocole SMB 1.0, consultez Still Needs SMB1.

Autres informations

Voici quelques ressources supplémentaires sur SMB et les technologies associées dans Windows Server 2012.