15/11/2024

NASWindows Client

Windows 11 24H2 – Ce qui change pour accéder aux partages sur un NAS (en SMB)

I. Présentation

Windows 11 24H2 est disponible depuis le 1er octobre 2024 et certains changements effectués par Microsoft pourraient perturber l'accès à des fichiers partagés sur les NAS (et autres serveurs de fichiers). En effet, la configuration par défaut des accès réseau basés sur l'utilisateur du protocole SMB a été renforcée.

Ceci va impacter l'accès aux données hébergées sur des partages de fichiers, notamment sur les NAS, que ce soit des modèles de chez Synology, Asustor, QNAP ou encore TerraMaster. Microsoft a mis en ligne un article à ce sujet pour avertir ses utilisateurs. Nous allons évoquer ces changements ainsi que les solutions possibles.

II. Windows 11 24H2 : ce qui change avec le protocole SMB

A. Les modifications apportées par Microsoft

Microsoft a apporté deux changements importants dans la configuration des connexions SMB sur Windows 11 24H2. L'objectif étant de renforcer la sécurité de Windows et de lutter contre certaines attaques associées au protocole SMB (dont le "SMB relay").

  • Par défaut, la signature SMB sera requise et obligatoire pour toutes les connexions. Dans le cadre d'une connexion SMB, où le client est représenté par le PC Windows 11 et le serveur par le NAS (ou un autre périphérique), si le serveur SMB ne prend pas en charge la signature des échanges, alors la connexion échouera.

"Nous ne savons pas faire la différence entre un NAS qui n'a pas activé la signature SMB et un serveur malveillant qui ne veut pas que la signature SMB soit activée.", voilà une phrase qui résume bien l'intérêt d'avoir la signature SMB activée, et le problème de ne pas l'utiliser.

  • Le basculement vers l'accès invité, appelé "guest fallback", lors de la connexion à des partages SMB sera désactivé sur Windows 11 Pro. L'accès invité sert à se connecter sur un partage réseau en tant qu'invité, c'est-à-dire de façon anonyme, sans avoir besoin de préciser un identifiant et un mot de passe. Cette possibilité va être désactivée.

À ce sujet, Microsoft précise : "La signature SMB est disponible dans Windows depuis 30 ans mais, pour la première fois, elle est désormais requise par défaut pour toutes les connexions. La fonction d'invité est désactivée dans Windows depuis 25 ans et la fonction SMB guest fallback est désactivée depuis Windows 10 dans les éditions Enterprise, Education et Pro for Workstation."

Ces changements concernent principalement les connexions SMB sortantes depuis votre appareil Windows 11 vers d’autres serveurs SMB. Autrement dit, lorsque votre appareil Windows 11 se connecte à un autre serveur, notamment un partage réseau situé sur un NAS.

B. Les erreurs que vous pouvez rencontrer

Microsoft a précisé un ensemble de messages d'erreur et de codes d'erreur que vous pouvez rencontrer avec Windows 11 24H2 lors de l'accès à un NAS. Voici les messages en question.

Si la signature SMB n'est pas prise en charge par le NAS.

  • 0xc000a000
  • -1073700864
  • STATUS_INVALID_SIGNATURE
  • The cryptographic signature is invalid / La signature cryptographique n'est pas valide

Si le NAS exige une connexion en tant qu'invité (ce qui est plus rare).

  • You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network / Vous ne pouvez pas accéder à ce dossier partagé car les règles de sécurité de votre entreprise bloquent l'accès des invités non authentifiés. Ces stratégies permettent de protéger votre ordinateur contre les périphériques dangereux ou malveillants présents sur le réseau.
  • 0x80070035
  • 0x800704f8
  • The network path was not found / Le chemin d'accès au réseau n'a pas été trouvé
  • System error 3227320323 has occurred / L'erreur système 3227320323 s'est produite

Que faire pour résoudre ces erreurs ?

III. Comment configurer son NAS ?

Nous n'allons pas voir comment autoriser l'accès invité, car je considère que le risque de sécurité est trop important, autant pour votre appareil Windows 11 que pour les données hébergées sur votre NAS. Néanmoins, nous allons nous intéresser à la signature SMB.

Vous avez deux solutions :

  • Configurer le NAS pour activer la signature SMB et ainsi permettre la connexion des appareils Windows 11 24H2 tout en renforçant la sécurité des accès.
  • Configurer l'appareil Windows 11 24H2 pour ne pas rendre la signature SMB obligatoire, ce qui d'avoir une configuration identique à celle de Windows 11 23H2 et les versions antérieures.

A. Activer la signature SMB sur un NAS Synology

La signature SMB est prise en charge par le système DSM des NAS Synology. Il s'agit d'une fonctionnalité supportée dans DSM 6.2 et les versions supérieures (bien que pas située au même endroit dans toutes les versions). Voici où trouver cette option dans DSM 7.2.

Connectez-vous à DSM et accédez au "Panneau de configuration" afin de parcourir l'interface de cette façon :

1 - Cliquez sur "Services de fichiers".

2 - Cliquez sur l'onglet "SMB".

3- Cliquez sur le bouton "Paramètres avancés".

4 - Configurez l'option "Activer la signature serveur" de façon à choisir le mode "Défini par le client". La valeur par défaut est "Désactiver". Ceci permettra d'accepter les connexions des appareils Windows 11 24H2, tout en continuant d'autoriser les clients qui ne supportent pas la signature SMB, ou pour lesquels, elle n'est pas activée. Dans un second temps, il pourrait être utile de sélectionner le mode "Forcer".

Il ne vous reste plus qu'à cliquer sur "Sauvegarder" pour valider.

Ce simple changement va permettre aux appareils Windows 11 24H2 de se connecter à un partage de fichiers situés sur un NAS Synology, via le protocole SMB. À condition, bien entendu, de s'authentifier avec un nom d'utilisateur et un mot de passe. La configuration du NAS, c'est-à-dire du serveur SMB, est l'option à privilégiée.

Remarque : la signature SMB est prise en charge sur d'autres marques de NAS. L'idée générale reste la même, donc "il suffira" de naviguer dans les menus pour trouver une option équivalente à celle présentée ici.

B. Activer ou désactiver la signature SMB sur Windows 11

Pour activer ou désactiver la signature SMB sur Windows 11, il convient d'éditer la stratégie de sécurité locale ou d'utiliser PowerShell. Cette action doit être effectuée uniquement si le NAS, ou en tout cas le serveur SMB, ne supporte pas la signature SMB.

Voici la marche à suivre à partir de l'interface graphique :

  • Appuyez sur Win + R, tapez "gpedit.msc"et appuyez sur Entrée.
  • Dans l’arborescence, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
  • Double-cliquez sur le paramètre nommé "Client réseau Microsoft : communications signées numériquement (toujours)", ou "Microsoft network client: Digitally sign communications (always)", en anglais.
  • Sélectionnez "Désactivé" et cliquez sur "OK".

Ce qui donne :

Windows 11 24H2 - Désactiver signature SMB

Remarque : ce paramètre est configurable dans une stratégie de groupe (GPO) Active Directory afin de modifier la configuration sur un ensemble d'appareils.

Si vous souhaitez opérer en ligne de commande, vous pouvez utiliser les commandes suivantes pour configurer la signature SMB à l'aide de PowerShell. Commencez par ouvrir une console PowerShell en tant qu'administrateur.

La commande ci-dessous sert à indiquer si votre PC est actuellement configuré pour exiger ou non la signature SMB. Si la valeur retournée "true", c'est que c'est le cas. Sinon, la valeur "false" sera retournée.

Get-SmbClientConfiguration | fl requiresecuritysignature

Ensuite, pour désactiver la signature SMB, utilisez cette commande. Appuyez sur "T" puis sur "Entrée" pour valider.

Set-SmbClientConfiguration -RequireSecuritySignature $false

Pour activer la signature SMB, voici la commande à utiliser :

Set-SmbClientConfiguration -RequireSecuritySignature $true

Ce changement va permettre à votre appareil Windows 11 24H2 de se connecter à un partage SMB, en faisant une croix sur la signature SMB.

IV. Conclusion

Voilà, nous venons de traiter cette problématique intéressante et qui devrait perturber de nombreux utilisateurs, que ce soit les particuliers ou les professionnels. En effet, les NAS sont très répandues et nous sommes susceptibles de les croiser aussi bien dans une baie informatique que dans un salon...

Ce qui est évoqué dans cet article, en prenant le cas d'un NAS, s'applique aussi pour Windows Server. En fait, la signature SMB doit être activée sur Windows Server pour que l'appareil Windows 11 24H2 puisse se connecter à un partage de fichiers. Ce cas de figure sera abordé dans un autre article.

La configuration évoquée ici est celle attendue dans la version stable de Windows 11 24H2. De mon côté, j'ai installé une machine Windows 11 24H2 en version "Preview" et la signature SMB n'était pas forcée : j'ignore pourquoi. Si vous faites des tests de votre côté, n'hésitez pas à faire un retour en commentaire.

Enfin, voici le lien vers l'article Microsoft :

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

8 commentaires sur “Windows 11 24H2 – Ce qui change pour accéder aux partages sur un NAS (en SMB)

  • Très bel article…

    Répondre
  • Salut,

    Merci pour l’article, dans DSM 6.2 je ne vois qui s’en rapproche.
    Je suis preneur de piste pour trouver l’option qui va bien pour anticiper 😉

    Répondre
    • Salut,
      Je viens de regarder dans la doc Synology, voici ce qui est indiqué.
      Pour DSM 6.2 et versions antérieures:
      Accédez à Panneau de configuration > Domaine / LDAP > Domaine, cochez Rejoindre le domaine et cliquez sur Options du domaine.1
      Sélectionnez Forcer dans le menu déroulant Activer la signature du serveur pour l’activer ou sélectionnez Désactiver pour le désactiver, puis cliquez sur Appliquer.

      Répondre
  • En quoi cela n’impacte que les NAS ? Quid des scans ???

    Répondre
    • Hello,
      Je n’ai pas dis que ça n’impactait que les NAS, j’ai également parlé de Windows Server. Les scans se positionnent plutôt du côté client SMB, donc à la place de Windows 11 dans la connexion « client-serveur », donc cela ne change rien si le scan est effectué vers un NAS ou un autre équipement via le protocole SMB, à partir d’une imprimante.

      Répondre
  • Bonjour,

    Une ressource a conseiller pour configurer correctement cela pour Samba Linux ?

    merci !

    Répondre
    • Je m’auto-répond…

      Réglage a modifier dans smb.conf :

      [global]
      encrypt passwords = yes
      client min protocol = SMB3
      server min protocol = SMB3
      server signing = yes
      client signing = yes

      #map to guest = bad user

      Commenter map to guest afin de désactiver l’accès invité (interdit par défaut sous Windows 11 24H2 et certaines versions Windows plus anciennes). Autoriser SMB2 si besoin spécifique (imprimantes par exemple..).

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.