Serveur réseau Microsoft : niveau de validation du nom de la cible de serveur SPN

S'applique à

  • Windows 10

Décrit les meilleures pratiques, l’emplacement et les valeurs, les considérations liées à la gestion des stratégies et à la sécurité pour le serveur réseau Microsoft : paramètre de stratégie de sécurité du niveau de validation du nom de la cible SPN du serveur.

Référence

Ce paramètre de stratégie contrôle le niveau de validation effectué par un serveur avec des dossiers partagés ou des imprimantes sur le nom principal de service (SPN) fourni par l’appareil client lorsque l’appareil client établit une session à l’aide du protocole SMB (Server Message Block). Le niveau de validation peut aider à empêcher une classe d’attaques contre les services SMB (appelés attaques de relais SMB). Ce paramètre affecte SMB1 et SMB2.

Les serveurs qui utilisent SMB fournissent la disponibilité de leurs systèmes de fichiers et d’autres ressources, telles que les imprimantes, aux appareils clients en réseau. La plupart des serveurs qui utilisent SMB valident l’accès des utilisateurs aux ressources à l’aide de l’authentification de domaine NT (NTLMv1 et NTLMv2) et du protocole Kerberos.

Valeurs possibles

Les options pour les niveaux de validation sont les :

  • Désactivé

    Le nom principal de service d’un client SMB n’est pas requis ou validé par le serveur SMB.

  • Accepter si fourni par le client

    Le serveur SMB accepte et valide le nom principal de service fourni par le client SMB et autorise l’ouverture d’une session s’il correspond à la liste des SPN du serveur SMB. Si le SPN ne correspond pas, la demande de session pour ce client SMB sera refusée.

  • Requis à partir du client

    Le client SMB doit envoyer un nom SPN lors de l’installation de la session, et le nom de SPN fourni doit correspondre au serveur SMB demandé pour établir une connexion. Si aucun SPN n’est fourni par l’appareil client ou si le SPN fourni ne correspond pas, la session est refusée.

Le paramètre par défaut est Off.

Meilleures pratiques

Ce paramètre affecte le comportement du serveur SMB et son implémentation doit être évaluée et testée avec soin afin d’éviter toute interruption des fonctionnalités de service de fichier et d’impression.

Remarque : Tous les Windows d’exploitation de base de données peuvent être des composants SMB côté client et SMB côté serveur.

Localisation

Configuration de l’ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.

Type de serveur ou objet de stratégie de groupe (GPO) Valeur par défaut
Stratégie de domaine par défaut Désactivé
Stratégie de contrôleur de domaine par défaut Désactivé
Paramètres par défaut du serveur autonome Désactivé
Paramètres par défaut effectifs du contrôleur de domaine Vérification du niveau de validation non implémentée
Paramètres par défaut effectifs du serveur membre Vérification du niveau de validation non implémentée
Paramètres par défaut des GPO effectifs sur les ordinateurs clients Vérification du niveau de validation non implémentée

Gestion des stratégies

Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie deviennent efficaces sans redémarrage de l’appareil lors de leur enregistrement local ou distribué via une stratégie de groupe.

Considérations sur les conflits de stratégie

Aucune.

Stratégie de groupe

Ce paramètre de stratégie peut être configuré à l’aide de la Console de gestion des stratégies de groupe (GPMC) pour qu’elle soit distribuée via les objets de stratégie de groupe. Si cette stratégie n’est pas contenue dans un GPO distribué, cette stratégie peut être configurée sur l’ordinateur local à l’aide du logiciel enfichable Stratégie de sécurité locale.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Ce paramètre de stratégie contrôle le niveau de validation effectué par un serveur avec des dossiers partagés ou des imprimantes sur le nom principal de service (SPN) fourni par l’appareil client lorsque l’appareil client établit une session à l’aide du protocole SMB. Le niveau de validation peut aider à empêcher une classe d’attaques contre les serveurs SMB (appelés attaques de relais SMB). Ce paramètre affectera SMB1 et SMB2.

Contre-mesure

Pour obtenir des contre-mesures adaptées à votre environnement, consultez les valeurs possibles ci-dessus.

Impact possible

Tous les Windows d’exploitation de base de données sont en charge un composant SMB côté client et un composant SMB côté serveur. Ce paramètre affecte le comportement du serveur SMB et son implémentation doit être évaluée et testée avec soin afin d’éviter toute interruption des fonctionnalités de service de fichier et d’impression.

Étant donné que le protocole SMB est largement déployé, la définition des options sur Accepter s’il est fourni par le client ou Obligatoire à partir du client empêche certains clients de s’authentifier correctement sur certains serveurs de votre environnement.

Rubriques associées