S’applique à
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Date de publication d’origine : ID de la base de connaissances du 9 septembre 2025 : 5066913

Résumé

Le serveur SMB prend déjà en charge deux mécanismes de renforcement contre les attaques de relais : 

  • Signature du serveur SMB

  • Protection étendue du serveur SMB pour l’authentification (EPA)

Dans certains environnements clients, l’application de l’un de ces mécanismes de renforcement pose des risques de compatibilité, car certains systèmes hérités et implémentations tierces peuvent ne pas prendre en charge la signature du serveur SMB ou l’EPA du serveur SMB. 

Dans le cadre des mises à jour Windows publiées le 9 septembre 2025 et après (CVE-2025-55234), la prise en charge est activée pour l’audit de la compatibilité du client SMB pour la signature du serveur SMB et l’EPA du serveur SMB. Cela permet aux clients d’évaluer leur environnement et d’identifier les éventuels problèmes d’incompatibilité d’appareil ou de logiciel avant de déployer les mesures de renforcement déjà prises en charge par le serveur SMB.

Arrière-plan

Le serveur SMB peut être vulnérable aux attaques de relais en fonction de la configuration. Pour éviter cette vulnérabilité, Microsoft a publié les mesures d’atténuation suivantes : 

EPA du serveur SMB

Signature du serveur SMB

Les clients doivent configurer le serveur SMB pour exiger la signature du serveur SMB ou activer l’EPA du serveur SMB pour renforcer leurs systèmes contre cette classe d’attaque. ​​​​​​​​​​​​​​

Le serveur SMB avec chiffrement activé globalement, tout en n’autorisant pas l’accès non chiffré, est également protégé contre les attaques de relais. Pour plus d’informations, consultez Améliorations de la sécurité SMB.

Activation de la prise en charge de l’audit pour la signature du serveur SMB

Par défaut, l’audit de la signature du serveur SMB est désactivé. Cela peut être activé pour le serveur SMBv1 et le serveur SMB2/3 via stratégie de groupe ou le paramètre de Registre.

Stratégie de groupe

Emplacement de la stratégie

Configuration ordinateur\Modèles d’administration\Réseau\Serveur Lanman

Nom de la stratégie

Le client d’audit ne prend pas en charge la signature

États de stratégie

  • Désactivé : désactiver l’audit

  • Activé : activer l’audit

  • Non configuré (par défaut) : suivez la configuration du Registre

Registre

Emplacement du Registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Valeur

AuditClientSpnSupport

Type (Type)

REG_DWORD

Data (Données)

  • 0 (par défaut) : désactiver l’audit

  • 1 – Activer l’audit

Événements d’audit de signature du serveur SMB

Journal des événements

Microsoft-Windows-SMBServer/Audit

Type d’événement

Avertissement

Source de l’événement

Microsoft-Windows-SMBServer

ID d’événement

3021

Texte de l’événement

Le serveur SMB a observé que le client ne prend pas en charge la signature. 

Nom du client : <>

Nom d’utilisateur : <>

Le serveur nécessite la signature : <>

Journal des événements

Microsoft-Windows-SMBServer/Audit

Type d’événement

Avertissement

Source de l’événement

Microsoft-Windows-SMBServer

ID d’événement

3027

Texte de l’événement

Le serveur SMBv1 a observé que la signature n’est pas activée pour le client SMBv1.

Nom du client : <>

Le serveur nécessite la signature : <>

Conseils : Cet événement indique que le client SMBv1 peut ne pas prendre en charge l’activation de la prise en charge de l’audit pour la signature SMB, mais en raison des limitations de protocole, cela ne peut pas être déterminé avec certitude. Une évaluation supplémentaire est recommandée pour vérifier les fonctionnalités de signature du client. 

Avant Windows Vista, les clients SMBv1 qui n’avaient pas la signature explicitement activée ne pouvaient pas effectuer l’activation de la prise en charge de l’audit pour la signature SMB. 

Ce comportement a été modifié avec la publication de Windows Vista et a également été rétroporté vers Windows XP et Windows Server 2003 via des mises à jour. Avec ces modifications, les clients SMB peuvent prendre en charge la signature même si elle n’est pas explicitement activée, à condition que le serveur en ait besoin. 

Notes

  • Les clients qui implémentent correctement la signature mais qui ne publient pas une telle prise en charge entraînent des faux positifs.

  • Les clients qui publient la prise en charge de la signature mais qui n’implémentent pas correctement la prise en charge entraînent des faux négatifs.

Activation de la prise en charge de l’audit pour L’EPA du serveur SMB

Par défaut, l’audit de l’EPA du serveur SMB est désactivé. Cela peut être activé pour le serveur SMBv1 et le serveur SMB2/3 via stratégie de groupe ou le paramètre de Registre.

Stratégie de groupe

Emplacement de la stratégie

Configuration ordinateur\Modèles d’administration\Réseau\Serveur Lanman

Nom de la stratégie

Auditer la prise en charge du SPN client SMB

États de stratégie

  • Désactivé : désactiver l’audit

  • Activé : activer l’audit

  • Non configuré (par défaut) : suivez la configuration du Registre

Registre

Emplacement du Registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Valeur

AuditClientSpnSupport

Type (Type)

REG_DWORD

Data (Données)

  • 0 (par défaut) : désactiver l’audit SPN

  • 1 – Activer l’audit SPN

Événements d’audit EPA du serveur SMB

Journal des événements

Microsoft-Windows-SMBServer/Audit

Type d’événement

Avertissement

Source de l’événement

Microsoft-Windows-SMBServer

ID d’événement

3024

Texte de l’événement

Le serveur SMB a observé que le client n’a pas envoyé de SPN pendant l’authentification, indiquant que le client ne prend pas en charge la protection étendue pour l’authentification (EPA) ou que la prise en charge de l’EPA est désactivée. 

Nom du client : <>

État de la requête SPN : <>

Activer la protection étendue pour la stratégie d’authentification : <>

Journal des événements

Microsoft-Windows-SMBServer/Audit

Type d’événement

Avertissement

Source de l’événement

Microsoft-Windows-SMBServer

ID d’événement

3025

Texte de l’événement

Le serveur SMB a observé que le client a envoyé un SPN non reconnu lors de l’authentification. 

Nom du client : <>

SPN : <>

Activer la protection étendue pour la stratégie d’authentification : <>

Journal des événements

Microsoft-Windows-SMBServer/Audit

Type d’événement

Avertissement

Source de l’événement

Microsoft-Windows-SMBServer

ID d’événement

3026

Texte de l’événement

Le serveur SMB a observé que le client a envoyé un SPN vide lors de l’authentification, ce qui indique que le client est capable d’envoyer un SPN, mais a choisi de ne pas en fournir un. 

Nom du client : <>

Activer la protection étendue pour la stratégie d’authentification : <>
Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité