Windows 11 24H2 – Ce qui change pour accéder aux partages sur un NAS (en SMB)
Sommaire
I. Présentation
Windows 11 24H2 est disponible depuis le 1er octobre 2024 et certains changements effectués par Microsoft pourraient perturber l'accès à des fichiers partagés sur les NAS (et autres serveurs de fichiers). En effet, la configuration par défaut des accès réseau basés sur l'utilisateur du protocole SMB a été renforcée.
Ceci va impacter l'accès aux données hébergées sur des partages de fichiers, notamment sur les NAS, que ce soit des modèles de chez Synology, Asustor, QNAP ou encore TerraMaster. Microsoft a mis en ligne un article à ce sujet pour avertir ses utilisateurs. Nous allons évoquer ces changements ainsi que les solutions possibles.
- Windows 11 24H2 est disponible depuis le 1er octobre 2024
- Windows 11 24H2 - Les nouveautés pour la sécurité
- Le protocole SMB pour les débutants
II. Windows 11 24H2 : ce qui change avec le protocole SMB
A. Les modifications apportées par Microsoft
Microsoft a apporté deux changements importants dans la configuration des connexions SMB sur Windows 11 24H2. L'objectif étant de renforcer la sécurité de Windows et de lutter contre certaines attaques associées au protocole SMB (dont le "SMB relay").
- Par défaut, la signature SMB sera requise et obligatoire pour toutes les connexions. Dans le cadre d'une connexion SMB, où le client est représenté par le PC Windows 11 et le serveur par le NAS (ou un autre périphérique), si le serveur SMB ne prend pas en charge la signature des échanges, alors la connexion échouera.
"Nous ne savons pas faire la différence entre un NAS qui n'a pas activé la signature SMB et un serveur malveillant qui ne veut pas que la signature SMB soit activée.", voilà une phrase qui résume bien l'intérêt d'avoir la signature SMB activée, et le problème de ne pas l'utiliser.
- Le basculement vers l'accès invité, appelé "guest fallback", lors de la connexion à des partages SMB sera désactivé sur Windows 11 Pro. L'accès invité sert à se connecter sur un partage réseau en tant qu'invité, c'est-à-dire de façon anonyme, sans avoir besoin de préciser un identifiant et un mot de passe. Cette possibilité va être désactivée.
À ce sujet, Microsoft précise : "La signature SMB est disponible dans Windows depuis 30 ans mais, pour la première fois, elle est désormais requise par défaut pour toutes les connexions. La fonction d'invité est désactivée dans Windows depuis 25 ans et la fonction SMB guest fallback est désactivée depuis Windows 10 dans les éditions Enterprise, Education et Pro for Workstation."
Ces changements concernent principalement les connexions SMB sortantes depuis votre appareil Windows 11 vers d’autres serveurs SMB. Autrement dit, lorsque votre appareil Windows 11 se connecte à un autre serveur, notamment un partage réseau situé sur un NAS.
B. Les erreurs que vous pouvez rencontrer
Microsoft a précisé un ensemble de messages d'erreur et de codes d'erreur que vous pouvez rencontrer avec Windows 11 24H2 lors de l'accès à un NAS. Voici les messages en question.
Si la signature SMB n'est pas prise en charge par le NAS.
- 0xc000a000
- -1073700864
- STATUS_INVALID_SIGNATURE
- The cryptographic signature is invalid / La signature cryptographique n'est pas valide
Si le NAS exige une connexion en tant qu'invité (ce qui est plus rare).
- You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network / Vous ne pouvez pas accéder à ce dossier partagé car les règles de sécurité de votre entreprise bloquent l'accès des invités non authentifiés. Ces stratégies permettent de protéger votre ordinateur contre les périphériques dangereux ou malveillants présents sur le réseau.
- 0x80070035
- 0x800704f8
- The network path was not found / Le chemin d'accès au réseau n'a pas été trouvé
- System error 3227320323 has occurred / L'erreur système 3227320323 s'est produite
Que faire pour résoudre ces erreurs ?
III. Comment configurer son NAS ?
Nous n'allons pas voir comment autoriser l'accès invité, car je considère que le risque de sécurité est trop important, autant pour votre appareil Windows 11 que pour les données hébergées sur votre NAS. Néanmoins, nous allons nous intéresser à la signature SMB.
Vous avez deux solutions :
- Configurer le NAS pour activer la signature SMB et ainsi permettre la connexion des appareils Windows 11 24H2 tout en renforçant la sécurité des accès.
- Configurer l'appareil Windows 11 24H2 pour ne pas rendre la signature SMB obligatoire, ce qui d'avoir une configuration identique à celle de Windows 11 23H2 et les versions antérieures.
A. Activer la signature SMB sur un NAS Synology
La signature SMB est prise en charge par le système DSM des NAS Synology. Il s'agit d'une fonctionnalité supportée dans DSM 6.2 et les versions supérieures (bien que pas située au même endroit dans toutes les versions). Voici où trouver cette option dans DSM 7.2.
Connectez-vous à DSM et accédez au "Panneau de configuration" afin de parcourir l'interface de cette façon :
1 - Cliquez sur "Services de fichiers".
2 - Cliquez sur l'onglet "SMB".
3- Cliquez sur le bouton "Paramètres avancés".
4 - Configurez l'option "Activer la signature serveur" de façon à choisir le mode "Défini par le client". La valeur par défaut est "Désactiver". Ceci permettra d'accepter les connexions des appareils Windows 11 24H2, tout en continuant d'autoriser les clients qui ne supportent pas la signature SMB, ou pour lesquels, elle n'est pas activée. Dans un second temps, il pourrait être utile de sélectionner le mode "Forcer".
Il ne vous reste plus qu'à cliquer sur "Sauvegarder" pour valider.
Ce simple changement va permettre aux appareils Windows 11 24H2 de se connecter à un partage de fichiers situés sur un NAS Synology, via le protocole SMB. À condition, bien entendu, de s'authentifier avec un nom d'utilisateur et un mot de passe. La configuration du NAS, c'est-à-dire du serveur SMB, est l'option à privilégiée.
Remarque : la signature SMB est prise en charge sur d'autres marques de NAS. L'idée générale reste la même, donc "il suffira" de naviguer dans les menus pour trouver une option équivalente à celle présentée ici.
B. Activer ou désactiver la signature SMB sur Windows 11
Pour activer ou désactiver la signature SMB sur Windows 11, il convient d'éditer la stratégie de sécurité locale ou d'utiliser PowerShell. Cette action doit être effectuée uniquement si le NAS, ou en tout cas le serveur SMB, ne supporte pas la signature SMB.
Voici la marche à suivre à partir de l'interface graphique :
- Appuyez sur Win + R, tapez "gpedit.msc"et appuyez sur Entrée.
- Dans l’arborescence, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
- Double-cliquez sur le paramètre nommé "Client réseau Microsoft : communications signées numériquement (toujours)", ou "Microsoft network client: Digitally sign communications (always)", en anglais.
- Sélectionnez "Désactivé" et cliquez sur "OK".
Ce qui donne :
Remarque : ce paramètre est configurable dans une stratégie de groupe (GPO) Active Directory afin de modifier la configuration sur un ensemble d'appareils.
Si vous souhaitez opérer en ligne de commande, vous pouvez utiliser les commandes suivantes pour configurer la signature SMB à l'aide de PowerShell. Commencez par ouvrir une console PowerShell en tant qu'administrateur.
La commande ci-dessous sert à indiquer si votre PC est actuellement configuré pour exiger ou non la signature SMB. Si la valeur retournée "true", c'est que c'est le cas. Sinon, la valeur "false" sera retournée.
Get-SmbClientConfiguration | fl requiresecuritysignature
Ensuite, pour désactiver la signature SMB, utilisez cette commande. Appuyez sur "T" puis sur "Entrée" pour valider.
Set-SmbClientConfiguration -RequireSecuritySignature $false
Pour activer la signature SMB, voici la commande à utiliser :
Set-SmbClientConfiguration -RequireSecuritySignature $true
Ce changement va permettre à votre appareil Windows 11 24H2 de se connecter à un partage SMB, en faisant une croix sur la signature SMB.
IV. Conclusion
Voilà, nous venons de traiter cette problématique intéressante et qui devrait perturber de nombreux utilisateurs, que ce soit les particuliers ou les professionnels. En effet, les NAS sont très répandues et nous sommes susceptibles de les croiser aussi bien dans une baie informatique que dans un salon...
Ce qui est évoqué dans cet article, en prenant le cas d'un NAS, s'applique aussi pour Windows Server. En fait, la signature SMB doit être activée sur Windows Server pour que l'appareil Windows 11 24H2 puisse se connecter à un partage de fichiers. Ce cas de figure sera abordé dans un autre article.
La configuration évoquée ici est celle attendue dans la version stable de Windows 11 24H2. De mon côté, j'ai installé une machine Windows 11 24H2 en version "Preview" et la signature SMB n'était pas forcée : j'ignore pourquoi. Si vous faites des tests de votre côté, n'hésitez pas à faire un retour en commentaire.
Enfin, voici le lien vers l'article Microsoft :
Très bel article…
Salut,
Merci pour l’article, dans DSM 6.2 je ne vois qui s’en rapproche.
Je suis preneur de piste pour trouver l’option qui va bien pour anticiper 😉
Salut,
Je viens de regarder dans la doc Synology, voici ce qui est indiqué.
Pour DSM 6.2 et versions antérieures:
Accédez à Panneau de configuration > Domaine / LDAP > Domaine, cochez Rejoindre le domaine et cliquez sur Options du domaine.1
Sélectionnez Forcer dans le menu déroulant Activer la signature du serveur pour l’activer ou sélectionnez Désactiver pour le désactiver, puis cliquez sur Appliquer.
En quoi cela n’impacte que les NAS ? Quid des scans ???
Hello,
Je n’ai pas dis que ça n’impactait que les NAS, j’ai également parlé de Windows Server. Les scans se positionnent plutôt du côté client SMB, donc à la place de Windows 11 dans la connexion « client-serveur », donc cela ne change rien si le scan est effectué vers un NAS ou un autre équipement via le protocole SMB, à partir d’une imprimante.
Bonjour,
Une ressource a conseiller pour configurer correctement cela pour Samba Linux ?
merci !
Je m’auto-répond…
Réglage a modifier dans smb.conf :
[global]
encrypt passwords = yes
client min protocol = SMB3
server min protocol = SMB3
server signing = yes
client signing = yes
#map to guest = bad user
Commenter map to guest afin de désactiver l’accès invité (interdit par défaut sous Windows 11 24H2 et certaines versions Windows plus anciennes). Autoriser SMB2 si besoin spécifique (imprimantes par exemple..).
Merci Nico