Contrôler le comportement de la signature SMB
Fonctionnement de la signature SMB
La signature avec le protocole SMB est une fonctionnalité de sécurité qui utilise la clé de session et la suite de chiffrement pour ajouter une signature à un message passant par une connexion. Cette signature contient un hachage de l’intégralité du message dans l’en-tête SMB. Si quelqu’un falsifie le message en transit, les données du message falsifié ne correspondent pas au hachage dans la signature. Le hachage inclut également les identités de l’expéditeur d’origine et du destinataire prévu. La signature ne correspond pas aux utilisateurs en cas de faute possible, ce qui les aide à protéger leurs déploiements contre les attaques de relais et d’usurpation d’identité.
Les exigences de signature SMB peuvent impliquer la signature sortante, qui couvre le trafic provenant du client SMB, et la signature entrante, qui couvre le trafic vers le serveur. Windows et Windows Server peuvent exiger la signature sortante uniquement, la signature entrante uniquement, les deux ou aucun des deux. Par exemple :
Windows 11, version 24H2 Entreprise, Professionnel et Éducation nécessitent la signature SMB sortante et entrante.
Windows Server 2025 exige uniquement la signature SMB pour les connexions sortantes.
Windows 11, version 24H2 Édition Famille ne nécessite pas de signature SMB sortante ou entrante.
Comportement de la signature SMB
Bien que toutes les versions de Windows et Windows Server prennent en charge la signature SMB, un tiers peut choisir de la désactiver ou de ne pas la prendre en charge. Si vous essayez de vous connecter à un partage distant sur un serveur SMB tiers qui n’autorise pas la signature SMB, vous pouvez rencontrer l’un des messages d’erreur suivants :
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid.
Pour résoudre ce problème, ajustez les paramètres de votre serveur SMB tiers pour permettre (activer) la signature SMB.
Lorsque vous essayez de vous connecter à des appareils tiers qui utilisent des comptes invités pour simplifier l’accès, vous pouvez recevoir l’un de ces messages d’erreur :
You can't access this shared folder because your organization's security policies block
unauthenticated guest access. These policies help protect your PC from unsafe or malicious
devices on the network.
Error code: 0x80070035
The network path was not found.
System error 3227320323 has occurred.
Désactiver la signature SMB peut être nécessaire si vous ne parvenez pas à désactiver l’utilisation des invités pour votre tiers. Cependant, cela signifie que vous utilisez un accès invité et que vous empêchez votre client de s’assurer de la signature sur un appareil de confiance.
Attention
Nous ne recommandons pas de désactiver la signature SMB comme solution de contournement pour les serveurs tiers. Nous vous déconseillons également de tenter de vous connecter avec des comptes Invité.
Prérequis
Pour contrôler le comportement de signature SMB et optimiser ses fonctionnalités, votre système doit exécuter l’un des deux systèmes d’exploitation suivants :
- Windows 11, version 24H2 ou ultérieure
- Windows Server 2025 ou version ultérieure
Vous devez également suivre ces recommandations pour vous assurer que vos signatures SMB sont efficaces pour sécuriser vos données :
- Utilisez Kerberos au lieu de NTLMv2.
- Ne vous connectez pas aux partages à l’aide d’adresses IP.
- N’utilisez pas d’enregistrements DNS CNAME. Au lieu de cela, affectez d’autres noms d’ordinateurs avec NETDOM.EXE.
Désactivation de la signature SMB
La signature SMB est requise par défaut sur les dernières builds Insider Preview de Windows 11 et Windows Server 2025. Tous les environnements Windows prennent en charge la signature SMB. Toutefois, si votre environnement utilise des serveurs tiers et que le serveur tiers ne prend pas en charge la signature SMB, vous ne pouvez pas vous connecter au partage distant.
Exiger la signature SMB désactive également l’accès invité aux partages. Dans ce cas, vous devez désactiver la signature SMB manuellement pour restaurer l’accès pour les comptes Invité. Vous pouvez désactiver manuellement la signature SMB via la stratégie de groupe, PowerShell et Windows Admin Center.
Remarque
Si vous devez modifier la stratégie de groupe basée sur un domaine Active Directory, utilisez la Gestion des stratégies de groupe (gpmc.msc).
Pour désactiver la signature SMB dans la stratégie de groupe, procédez comme suit :
Sélectionnez Démarrer, tapez gpedit.msc, puis appuyez sur Entrée.
Dans l’Éditeur de stratégie de groupe locale, rendez-vous dans Configuration de l’ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
Ouvrez Client réseau Microsoft : signer numériquement les communications (toujours), sélectionnez Désactivé, puis sélectionnez OK.
Activation de la signature SMB
La signature SMB garantit l’intégrité des données en vérifiant que celles-ci ne sont pas altérées pendant la transmission. De plus, la signature SMB fournit une authentification en vérifiant l’identité du serveur et du client, ce qui aide à prévenir les attaques adversary-in-the-middle.
Pour activer la signature SMB dans la stratégie de groupe, procédez comme suit :
Sélectionnez Démarrer, tapez gpedit.msc, puis appuyez sur Entrée.
Dans l’Éditeur de stratégie de groupe locale, rendez-vous dans Configuration de l’ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
Ouvrez Client réseau Microsoft : signer numériquement les communications (toujours), sélectionnez Activé, puis sélectionnez OK.
Vérifier l’état de la signature SMB
Pour vérifier si la signature SMB est activée ou désactivée sur votre client SMB ou serveur SMB, exécutez la commande suivante :
Get-SmbClientConfiguration | FL RequireSecuritySignature
Get-SmbServerConfiguration | FL RequireSecuritySignature
Si les informations retournées sont True, alors la signature SMB est activée, sinon, si les informations retournées sont False, alors la signature SMB est désactivée.