15/11/2024

Logiciel - OS

Windows 11 : ce nouveau paramètre permet de forcer le chiffrement pour les connexions SMB

Microsoft a ajouté une nouvelle option pour Windows 11 permettant de forcer le chiffrement SMB pour toutes les connexions sortantes, ce qui va apporter une couche de sécurité supplémentaire pour l'accès aux partages de fichiers. Faisons le point sur cette nouveauté.

Actuellement, les membres du programme Windows Insiders peuvent tester cette nouveauté dans Windows 11 Insider Preview Build 25982. Le chiffrement SMB assure la sécurité des données grâce à du chiffrement de bout en bout, que ce soit au niveau de tous les partages d'un serveur de fichiers ou lors de la connexion d'un lecteur réseau. Ainsi, la connexion est protégée contre diverses attaques, notamment de type man-in-the-middle.

Cette capacité du protocole SMB n'est pas nouvelle ! En effet, Microsoft a introduit le chiffrement des flux SMB au sein de SMB 3.0 qui est disponible depuis Windows 8 et Windows Server 2012. Toutefois, ce n'est que depuis Windows 11 et Windows Server 2022 que le chiffrement SMB supporte l'AES-256-GCM.

Désormais, Windows 11 va bénéficier d'un nouveau paramètre permettant de forcer le chiffrement SMB. Au sein de l'annonce de Microsoft, nous pouvons lire : "Il est désormais possible de configurer le client SMB pour qu'il exige toujours le chiffrement, quelle que soit la configuration du serveur, du partage, du durcissement UNC ou d'un lecteur mappé." - Cet article recense toutes les nouveautés de la nouvelle build Preview de Windows 11.

En complément, la firme de Redmond a publié un autre article qui évoque la configuration de cette nouveauté. Un paramètre de GPO est à disposition des administrateurs système pour forcer le chiffrement SMB :

Forcer chiffrement SMB Windows 11
Source : Microsoft

Sinon, il y a la possibilité d'effectuer la configuration en PowerShell :

Set-SmbClientConfiguration -RequireEncryption $true

Dans ce même article, Microsoft précise : "Cela signifie qu'un administrateur peut forcer une machine Windows à utiliser le chiffrement SMB - et donc SMB 3.x - pour toutes les connexions et refuser de se connecter si le serveur SMB ne prend pas en charge l'un ou l'autre.", ce qui est une très bonne idée d'un point de vue la sécurité, d'autant plus si le serveur est correctement configuré.

L'entreprise américaine semble bien décidée à durcir la configuration SMB sur Windows 11 grâce à l'intégration de nouveaux paramètres. Dernièrement, Microsoft avait évoqué un paramètre pour désactiver le NTLM sur les connexions SMB.

Cette même build apporte également à Windows 11 la prise en charge du DNR pour détecter les DNS "sécurisés".

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.