Partager via

Bloquer les connexions NTLM sur SMB

  • Article

Le client SMB prend désormais en charge le blocage de l'authentification NTLM pour les connexions sortantes distantes. Le blocage de l'authentification NTLM empêche les acteurs malveillants de tromper les clients en leur envoyant des demandes NTLM vers des serveurs malveillants, contrant ainsi les attaques par force brute, les tentatives de craquage et les attaques pass-the-hash. Le blocage NTLM est également nécessaire pour passer les protocoles d'authentification d'une organisation à Kerberos, qui est plus sécurisé que NTLM car il peut vérifier l'identité des serveurs avec son système de tickets. Cependant, les organisations peuvent également activer cette couche de protection sans avoir à désactiver complètement NTLM.

Prérequis

Voici les conditions requises pour le blocage NTLM pour le client SMB :

  • Un client SMB fonctionnant sur l’un des systèmes d’exploitation suivants.
    • Windows Server 2025 ou ultérieur.
    • Windows 11, version 24H2 ou ultérieure.
  • Un serveur SMB permettant l'utilisation de Kerberos.

Conseil

Le blocage NTLM est une fonctionnalité du client SMB uniquement. Le client SMB est intégré aux systèmes d'exploitation Windows Server et Windows client. Le serveur SMB de destination peut être n'importe quel système d'exploitation où PKU2U ou Kerberos peut être utilisé.

Configurer le blocage NTLM du client SMB

À compter de Windows Server 2025 et Windows 11, version 24H2, vous avez la possibilité de configurer SMB pour bloquer NTLM. Pour améliorer la sécurité des déploiements exécutant des versions antérieures de Windows, vous devez désactiver NTLM manuellement, soit en modifiant la Stratégie de groupe pertinente, soit en exécutant une commande spécifique dans PowerShell.

Pour configurer le blocage NTLM :

  1. Ouvrez la Console de gestion des stratégies de groupe.

  2. Dans l'arborescence de la console, rendez-vous dans Configuration de l'ordinateur>Modèles d'administration>Réseau>Poste de travail Lanman.

  3. Faites un clic droit sur Bloquer NTLM (LM, NTLM, NTLMv2) et sélectionnez Modifier.

  4. Sélectionnez Activé.

Activer les exceptions au blocage NTLM

Il peut y avoir des scénarios où vous devez autoriser certaines machines à utiliser NTLM au lieu de le bloquer globalement. Par exemple, lorsque le serveur SMB auquel vous essayez de vous connecter n'est pas joint à un domaine Active Directory.

Pour activer une liste d'exceptions au blocage NTLM :

  1. Dans l'arborescence de la Console d'édition des Stratégies de groupe, rendez-vous dans Configuration de l'ordinateur>Modèles d'administration>Réseau>Poste de travail Lanman.

  2. Faites un clic droit sur Liste d'exceptions de serveur de blocage NTLM et sélectionnez Modifier.

  3. Sélectionnez Activé.

  4. Saisissez les adresses IP, les noms NetBIOS et les noms de domaine complets (FQDN) des machines distantes auxquelles vous souhaitez autoriser l'authentification NTLM.

Bloquer NTLM lors du mappage de lecteurs SMB

Vous pouvez également bloquer NTLM lors du mappage de nouveaux lecteurs SMB en exécutant les commandes suivantes.

Exécutez cette commande pour spécifier le blocage NTLM lors du mappage d'un lecteur avec NET USE :

NET USE \\server\share /BLOCKNTLM

Exécutez cette commande pour spécifier le blocage NTLM lors du mappage d'un lecteur SMB :

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

Contenu connexe