Configurer le contrôle d’accès client SMB sur QUIC dans Windows Server 2022 Azure Edition et Windows Server 2025
Le contrôle d’accès client SMB sur QUIC vous permet de restreindre quels clients peuvent accéder aux serveurs SMB sur QUIC. Le contrôle d’accès client crée des listes d’acceptation et de blocage pour les appareils se connectant au serveur de fichiers. Le contrôle d’accès client offre aux organisations une protection supplémentaire sans modifier l’authentification utilisée lors de l’établissement de la connexion SMB, ni l’expérience utilisateur finale.
L’article explique comment utiliser PowerShell pour configurer le contrôle d’accès client SMB sur QUIC sur Windows 11 et Windows Server 2022 Datacenter: Azure Edition. Pour suivre les instructions, vous devez avoir installé la mise à jour de mars KB5035853 ou KB5035857, exécuter une version 24H2 ou Windows Server 2025 récente.
Pour en savoir plus sur la configuration de SMB sur QUIC, veuillez consulter la section SMB sur QUIC.
Fonctionnement du contrôle d’accès client
Le contrôle d’accès client vérifie que les clients se connectant à un serveur utilisent un certificat client connu ou ont un certificat délivré par un certificat racine partagé. L’administrateur délivre ce certificat au client et ajoute le hachage à une liste d’acceptation maintenue par le serveur. Lorsque le client tente de se connecter au serveur, ce dernier compare le certificat client à la liste d’acceptation. Si le certificat est valide, le serveur crée un tunnel chiffré TLS 1.3 sur le port UDP 443 et accorde au client l’accès au partage. Le contrôle d’accès client prend également en charge les certificats avec des noms alternatifs de sujet.
Vous pouvez également configurer SMB sur QUIC pour bloquer l’accès en révoquant des certificats ou en refusant explicitement l’accès à certains appareils.
Remarque
Nous recommandons d’utiliser SMB sur QUIC avec des domaines Active Directory, cependant ce n’est pas obligatoire. Vous pouvez également déployer SMB sur QUIC sur un serveur joint à un groupe de travail, qui utilise des informations d’identification d’utilisateur locales et NTLM.
Prérequis
Avant de pouvoir configurer le contrôle d’accès client, vous avez besoin d’un serveur SMB avec les prérequis suivants.
- Un serveur SMB exécutant Windows Server 2022 Datacenter : Azure Edition avec la Mise à jour du 12 mars 2024 : KB5035857 ou Windows Server 2025 ou une version ultérieure. Pour profiter de la fonctionnalité d’évaluation, vous devez également installer Windows Server 2022 Ko 5035857 240302_030531 Préversion des fonctionnalités.
- SMB sur QUIC activé et configuré sur le serveur. Pour savoir comment configurer SMB sur QUIC, veuillez consulter la section SMB sur QUIC.
- Si vous utilisez des certificats client délivrés par une autorité de certification (CA) différente, vous devez vous assurer que la CA est approuvée par le serveur.
- Privilèges administratifs pour le serveur SMB que vous configurez.
Important
Une fois KB5035857 installée, vous devez activer cette fonctionnalité dans la stratégie de groupe :
- Cliquez sur Démarrer, saisissez gpedit, puis sélectionnez Modifier la stratégie de groupe.
- Accédez à Configuration ordinateur\Modèles d’administration\KB5035857 240302_030531 Préversion de fonctionnalité\Windows Server 2022.
- Ouvrez la stratégie Préversion de fonctionnalité KB5035857 240302_030531, puis sélectionnez Activée.
Vous avez également besoin d’un client SMB avec les prérequis suivants.
- Un client SMB fonctionnant sur l’un des systèmes d’exploitation suivants :
- Windows Server 2022 Datacenter: Azure Edition avec la mise à jour du 12 mars 2024 – KB5035857. Pour profiter de la fonctionnalité d’évaluation, vous devez également installer Windows Server 2022 Ko 5035857 240302_030531 Préversion des fonctionnalités.
- Windows 11 avec la mise à jour du 12 mars 2024 – KB5035853. Pour profiter de la fonctionnalité d’évaluation, vous devez également installer Windows 11 (version d’origine) Ko 5035854 240302_030535 Préversion des fonctionnalités.
- Windows Server 2025 ou ultérieur.
- Windows 11, version 24H2 ou ultérieure.
- Un certificat client qui est :
- Délivré pour l’authentification du client (EKU 1.3.6.1.5.5.7.3.2).
- Délivré par une autorité de certification approuvée par le serveur SMB.
- Installé dans le magasin de certificats du client.
- Privilèges administratifs pour le serveur SMB que vous configurez.
Important
Une fois KB5035854 installée, vous devez activer cette fonctionnalité dans la stratégie de groupe :
- Cliquez sur Démarrer, saisissez gpedit, puis sélectionnez Modifier la stratégie de groupe.
- Accédez à Configuration ordinateur\Modèles d’administration\KB5035854 240302_030535 Préversion de fonctionnalité\Windows Server 11 (version d’origine).
- Ouvrez la stratégie Préversion de fonctionnalité KB5035854 240302_030535, puis sélectionnez Activée.
Configurer le client SMB
Collectez les informations sur le certificat client SMB
Pour collecter le hachage de votre certificat client à l’aide de PowerShell :
Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le client SMB.
Listez les certificats dans le magasin de certificats du client en exécutant la commande suivante.
Get-ChildItem -Path Cert:\LocalMachine\MyExécutez la commande suivante pour stocker le certificat dans une variable. Remplacez
<subject name>par le nom du sujet du certificat que vous souhaitez utiliser.$clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match "<subject name>"}Notez le hachage SHA256 du certificat client en exécutant la commande suivante. Vous avez besoin de cet identifiant lors de la configuration du contrôle d’accès client.
$clientCert.GetCertHashString("SHA256")
Remarque
L’empreinte stockée dans l’objet $clientCert utilise l’algorithme SHA1. Cela est utilisé par des commandes telles que New-SmbClientCertificateMapping. Vous aurez également besoin de l’empreinte SHA256 pour configurer le contrôle d’accès client, ces empreintes seront différentes selon les algorithmes utilisés contre le même certificat.
Associez le certificat client au client SMB
Pour associer le certificat client au client SMB :
Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le client SMB.
Exécutez la commande
New-SmbClientCertificateMappingpour associer le certificat client. Remplacez<namespace>par le nom de domaine complet (FQDN) du serveur SMB et utilisez l’empreinte du pouce SHA1 du certificat client que vous avez collectée dans la section précédente en utilisant la variable.New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
Une fois terminé, le certificat client est utilisé par le client SMB pour s’authentifier auprès du serveur SMB correspondant au FQDN.
Configurer le contrôle d’accès client
Accorder un accès individuel aux clients
Suivez les étapes pour accorder un accès spécifique à un client au serveur SMB en utilisant le contrôle d’accès client.
Connectez-vous au serveur SMB.
Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le serveur SMB.
Exécutez la commande
Grant-SmbClientAccessToServerpour accorder l’accès au certificat client. Remplacez<name>par le nom d’hôte du serveur SMB et<hash>en utilisant l’identifiant du certificat client SHA256 que vous avez collecté dans la section Collecter les informations sur le certificat client SMB.Grant-SmbClientAccessToServer -Name <name> -IdentifierType SHA256 -Identifier <hash>
Vous avez maintenant accordé l’accès au certificat client. Vous pouvez vérifier l’accès au certificat client en exécutant la commande Get-SmbClientAccessToServer.
Accorder des autorités de certification spécifiques
Suivez la procédure pour accorder l’accès aux clients d’une autorité de certification spécifique, également appelée émetteur, en utilisant le contrôle d’accès client.
Connectez-vous au serveur SMB.
Ouvrez une invite de commandes PowerShell avec élévation de privilèges sur le serveur SMB.
Exécutez la commande
Grant-SmbClientAccessToServerpour accorder l’accès au certificat client. Remplacez<name>par le nom d’hôte du serveur SMB et<subject name>par le nom distinctif X.500 complet du certificat de l’émetteur. Par exemple :CN=Contoso CA, DC=Contoso, DC=com.Grant-SmbClientAccessToServer -Name <name> -IdentifierType ISSUER -Identifier "<subject name>"
Désactiver SMB sur QUIC
À compter de Windows 11, version 24H2, les administrateurs peuvent désormais désactiver SMB sur QUIC pour le client en exécutant la commande suivante :
Set-SmbClientConfiguration -EnableSMBQUIC $false
De même, cette opération peut être effectuée dans la stratégie de groupe en désactivant l’option Enable SMB over QUIC (Activer SMB sur QUIC) dans le chemin suivant :
- Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman
Connectez-vous au serveur SMB
Une fois terminé, testez si vous pouvez vous connecter au serveur en exécutant l’une des commandes suivantes :
NET USE \\<server DNS name>\<share name> /TRANSPORT:QUIC
Or
New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC
Si vous pouvez vous connecter au serveur, vous avez configuré avec succès SMB sur QUIC en utilisant le contrôle d’accès client.