Applies ToWindows Server version 1909 Windows Server version 1903 Windows Server 2019 Windows 10, version 1809, all editions Windows Server version 1803 Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows Server 2016 Windows 10, version 1607, all editions Windows 10 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 for Embedded Systems Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems

Résumé

Le bloc de messages serveur (SMB) est un protocole réseau de partage de fichiers et de tissu de données. La PME est utilisée par des milliers d’appareils dans un ensemble de systèmes d’exploitation variés, notamment Windows, MacOS, iOS, Linux et Android. Les clients utilisent la PME pour accéder aux données sur les serveurs. Cela permet de partager des fichiers, de centraliser la gestion des données et de réduire les besoins en stockage pour les appareils mobiles. Les serveurs utilisent également la PME dans le centre de données défini par le logiciel pour les charges de travail telles que le regroupement et la réplication.

Étant donné que SMB est un système de fichiers distant, il nécessite une protection contre les attaques dans lesquelles un ordinateur Windows peut être compliqué à contacter un serveur malveillant qui s’exécute à l’intérieur d’un réseau approuvé ou à un serveur distant en dehors du périmètre du réseau. Les meilleures pratiques et configurations du pare-feu peuvent renforcer la sécurité et empêcher le trafic malveillant de quitter l’ordinateur ou son réseau.

Effet des modifications

Le blocage de la connectivité à la PME peut empêcher le fonctionnement de plusieurs applications ou services. Pour obtenir la liste des applications et services Windows et Windows Server qui peuvent cesser de fonctionner dans ce cas, consultez la vue d’ensemble du service et les exigences en matière de port réseau pour Windows

Informations supplémentaires

Approches du pare-feu de périmètre

Les pare-feu de matériel de périmètre et d’équipement placés sur le périmètre du réseau doivent bloquer les communications non sollicitées (à partir d’Internet) et le trafic sortant (vers Internet) vers les ports suivants.  

Protocole d’application

Protocole

Port

 SMB

 TCP

445

Résolution du nom Net APPEL.NETS

 UDP

137

NetS DATAgram Service

 UDP

138

Service de session Net DOSSIERS

 TCP

139

Il est peu probable que les communications de PME provenant d’Internet ou destinées à Internet sont légitimes. Le cas principal peut être pour un serveur ou service cloud tel qu’Azure Files. Vous devez créer des restrictions basées sur les adresses IP dans votre pare-feu de périmètre pour autoriser uniquement ces points de terminaison spécifiques. Les organisations peuvent autoriser le port 445 à accéder à des plages d’adresses IP Azure Datacenter et O365 spécifiques afin d’activer les scénarios hybrides dans lesquels des clients locaux (derrière un pare-feu d’entreprise) utilisent le port SMB pour parler au stockage de fichiers Azure. Vous devez également autoriser uniquement SMB 3.x et nécessitent un chiffrement SMB AES-128. Pour plusd’informations, voirla section « Références ».

Remarque L’utilisation de Net LATERS pour le transport SMB s’est terminée par Windows Vista, Windows Server 2008 et tous les systèmes d’exploitation Microsoft ultérieurs lorsque Microsoft a introduit SMB 2.02. Toutefois, vous pouvez avoir des logiciels et des appareils autres que Windows dans votre environnement. Vous devez désactiver et supprimer SMB1 si vous ne l’avez pas déjà fait, car il utilise toujours Net APPEL. Les versions ultérieures Windows Server et Windows n’installent plus SMB1 par défaut et le supprimeront automatiquement si elles sont autorisées.

Windows Defender pare-feu

Toutes les versions de Windows et Windows Server incluent le Pare-feu Windows Defender (précédemment nommé le pare Windows de sécurité). Ce pare-feu offre une protection supplémentaire pour les appareils, en particulier lorsque ceux-ci se déplacent en dehors d’un réseau ou lorsqu’ils s’exécutent au sein d’un réseau.

L Pare-feu Windows Defender présente des profils distincts pour certains types de réseaux : Domaine, Privé et Invité/Public. En règle générale, le réseau invité/public reçoit beaucoup plus de paramètres restrictifs par défaut que les réseaux privés ou de domaine les plus fiables. Vous pouvez avoir différentes restrictions de PME pour ces réseaux en fonction de votre évaluation des menaces et des besoins opérationnels.

Connexions entrantes à un ordinateur

Pour Windows clients et serveurs qui n’hébergent pas de partages SMB, vous pouvez bloquer tout le trafic de PME entrant en utilisant le Pare-feu Windows Defender pour empêcher les connexions à distance à partir d’appareils malveillants ou compromis. Dans le Pare-feu Windows Defender, cela inclut les règles entrantes suivantes.

Nom

Profil

Activé

Partage de fichiers et d’imprimantes (SMB-In)

Tous

Non

Netlogon Service (NP-In)

Tous

Non

Gestion des journaux d’événements distants (NP-In)

Tous

Non

Prise en charge des services distants

Tous

Non

Vous devez également créer une règle de blocage pour remplacer les autres règles de pare-feu entrant. Utilisez les paramètres suggérés suivants pour tout client ou Windows serveurs qui n’hébergent pas de partages PME :

  • Nom: Bloquer toutes les PME entrantes 445

  • Description: bloque tout le trafic SMB TCP 445 entrant. Ne doit pas être appliqué aux contrôleurs de domaine ou ordinateurs qui hébergent des partages SMB.

  • Action: bloquer la connexion

  • Programmes: Tout

  • Ordinateurs distants: Tout

  • Type de protocole: TCP

  • Port local: 445

  • Port distant :Tout

  • Profils: Tous

  • Étendue (adresse IP locale): toute

  • Étendue (adresse IP distante): n’importe où

  • Traversal edge: bloc traversal de bordure

Vous ne devez pas bloquer globalement le trafic entrant SMB vers les contrôleurs de domaine ou les serveurs de fichiers. Toutefois, vous pouvez limiter l’accès à ces appareils et plages d’adresses IP de confiance afin de réduire leur surface d’attaque. Ils doivent également être limités aux profils de pare-feu de domaine ou privé et ne pas autoriser le trafic invité/public.

Remarque Le pare Windows pare-feu a bloqué toutes les communications SMB entrantes par défaut depuis Windows XP SP2 et Windows Server 2003 SP1. Windows ne permettent la communication SMB entrante que si un administrateur crée un partage PME ou modifie les paramètres par défaut du pare-feu. Vous ne devez pas faire confiance à l’expérience pré-boîte aux lettres par défaut pour être toujours sur place sur les appareils, quel que soit l’appareil que vous soyez. Vérifiez et gérez toujours les paramètres et l’état souhaité à l’aide d’une stratégie de groupe ou d’autres outils de gestion.

Pour plus d’informations, voir Conception d’un Pare-feu Windows Defender avec stratégie de sécurité avancée et Pare-feu Windows Defender le guide de déploiement de la sécurité avancée

Connexions sortantes à partir d’un ordinateur

Windows les clients et serveurs requièrent des connexions SMB sortantes afin d’appliquer une stratégie de groupe de la part des contrôleurs de domaine et pour que les utilisateurs et applications accèdent aux données sur les serveurs de fichiers. Il faut donc être attention lorsque vous créez des règles de pare-feu afin d’éviter les connexions Internet ou malveillantes. Par défaut, il n’existe aucun blocage sortant sur un client ou un serveur Windows qui se connecte aux partages SMB. Vous devez donc créer de nouvelles règles de blocage.

Vous devez également créer une règle de blocage pour remplacer les autres règles de pare-feu entrant. Utilisez les paramètres suggérés suivants pour tous les clients ou Windows serveurs qui n’hébergent pas de partages PME.

Réseaux invités/publics (nontrus)

  • Nom: Bloquer l’invité sortant/la PME publique 445

  • Description: bloque tout le trafic SMB TCP 445 sortant sur un réseau nontrus

  • Action: bloquer la connexion

  • Programmes: Tout

  • Ordinateurs distants: Tout

  • Type de protocole: TCP

  • Port local: Tout

  • Port distant: 445

  • Profils: Invité/Public

  • Étendue (adresse IP locale): toute

  • Étendue (adresse IP distante): n’importe où

  • Traversal edge: bloc traversal de bordure

Remarque Les petites entreprises et les petites entreprises à domicile, ou les utilisateurs mobiles qui travaillent sur des réseaux d’entreprise de confiance avant de se connecter à leur réseau principal, doivent faire preuve de prudence avant de bloquer le réseau sortant public. Cela peut empêcher l’accès à ses appareils NAS locaux ou à certaines imprimantes.

Réseaux privés/de domaine (approuvé)

  • Nom: Autoriser le domaine sortant/SMB privé 445

  • Description: autorise le trafic TCP 445 sortant SMB à uniquement les PC et serveurs de fichiers sur un réseau approuvé.

  • Action: autoriser la connexion si elle est sécurisée

  • Personnaliser Autoriser si la Paramètressécurisée : sélectionnez l’une des options, définir les règles de blocage de remplacement = ON

  • Programmes: Tout

  • Type de protocole: TCP

  • Port local: Tout

  • Port distant: 445

  • Profils: Privé/Domaine

  • Étendue (adresse IP locale): toute

  • Étendue (adresse IP distante): liste<d’adresses IP du contrôleur de domaine et du serveur de fichiers >

  • Traversal edge: bloc traversal de bordure

Remarque Vous pouvez également utiliser les ordinateurs distants au lieu des adresses IP distantes d’étendue, si la connexion sécurisée utilise une authentification qui porte l’identité de l’ordinateur. Pour plus d’informations sur « Autoriser la connexion si la connexion est sécurisée » et les options Ordinateur distant, voir la documentation du Pare-feu Defender.

  • Nom: Bloquer le domaine sortant/SMB 445 privé

  • Description: bloque le trafic SMB TCP 445 sortant. Remplacement à l’aide de la règle « Autoriser le domaine sortant/SMB privé 445 »

  • Action: bloquer la connexion

  • Programmes: Tout

  • Ordinateurs distants: N/A

  • Type de protocole: TCP

  • Port local: Tout

  • Port distant: 445

  • Profils: Privé/Domaine

  • Étendue (adresse IP locale): toute

  • Étendue (adresse IP distante): N/A

  • Traversal edge: bloc traversal de bordure

Vous ne devez pas bloquer globalement le trafic sortant SMB entre des ordinateurs et des contrôleurs de domaine ou des serveurs de fichiers. Toutefois, vous pouvez limiter l’accès à ces appareils et plages d’adresses IP de confiance afin de réduire leur surface d’attaque.

Pour plus d’informations, voir Conception d’un Pare-feu Windows Defender avec stratégie de sécurité avancée et Pare-feu Windows Defender le guide de déploiement de la sécurité avancée

Règles de connexion de sécurité

Vous devez utiliser une règle de connexion de sécurité pour implémenter les exceptions de règle de pare-feu sortant pour les paramètres « Autoriser la connexion si elle est sécurisée » et « Autoriser la connexion à utiliser l’encapsulation Null ». Si vous ne définissez pas cette règle sur tous les ordinateurs basés sur Windows et Windows Server, l’authentification échoue et la PME est bloquée. 

Par exemple, les paramètres suivants sont obligatoires :

  • Type de règle: Isolation

  • Conditions requises: demander l’authentification pour les connexions entrantes et sortantes

  • Méthode d’authentification: Ordinateur et utilisateur (Kerberos V5)

  • Profil :Domaine, Privé, Public

  • Nom :Authentification ESP Isolation pour les remplacements par la PME

Pour plus d’informations sur les règles de connexion de sécurité, voir les articles suivants :

Windows Station de travail et service serveur

Pour les ordinateurs gérés grand public ou hautement isolés qui ne requièrent pas du tout de PME, vous pouvez désactiver les services Server ou Workstation. Vous pouvez le faire manuellement à l’aide du snap-in « Services » (Services.msc) et de l’cmdlet Set-Service PowerShell, ou à l’aide des préférences de stratégie de groupe. Lorsque vous arrêtez et désactivez ces services, la PME ne peut plus établir de connexions sortantes ni recevoir de connexions entrantes.

Vous ne devez pas désactiver le service Server sur des contrôleurs de domaine ou des serveurs de fichiers, sinon aucun client ne pourra appliquer de stratégie de groupe ou se connecter à ses données. Vous ne devez pas désactiver le service Station de travail sur des ordinateurs membres d’un domaine Active Directory, sinon ils n’appliqueront plus de stratégie de groupe.

Références

Conception d’un Pare-feu Windows Defender avec stratégie de sécurité avancée Pare-feu Windows Defender le guide de déploiement de la sécurité avancée Applications azure distantes Adresses IP du centre de données Azure Adresses IP Microsoft O365

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.