l'Internet

Activer ou désactiver les protocoles SMBv1, SMBv2 et SMBv3 sous Windows

SMB (Server Message Block) est l’un des protocoles par excellence pour le partage de fichiers sur le réseau local, en 1998 Microsoft a renommé ce protocole en CIFS (anciennement connu sous le nom de SMB mais il a été renommé en CIFS (Common Internet File System)) . Depuis lors, il est connu sous le nom de SMB / CIFS dans de nombreux endroits, les dernières versions de SMB / CIFS intègrent la prise en charge des liens physiques et symboliques, des fichiers de plus grande taille, et nous avons même une authentification et un transfert de fichiers sécurisé à l’aide de protocoles cryptographiques. Samba est l’implémentation gratuite du protocole Windows SMB / CIFS, nous aurons donc une compatibilité entre les systèmes Microsoft et les systèmes d’exploitation Linux et Unix sans problème. Aujourd’hui dans RedesZone nous allons vous expliquer comment activer ou désactiver les différents protocoles SMBv1,

Caractéristiques SMB / CIFS dans ses différentes versions

SMB est un protocole réseau qui nous permet de partager des fichiers, des dossiers et des imprimantes sur le réseau local entre différents systèmes d’exploitation, notamment Windows, Linux, MacOS et tout système d’exploitation Unix intégrant Samba. Ce protocole est au sein de la couche application, et en dessous, il utilise le port TCP 445, donc les transferts de données sont fiables car il y a retransmission des données en cas de problème. Depuis la naissance de SMB/CIFS jusqu’à maintenant, nous avons plusieurs versions qui intègrent des améliorations dans le fonctionnement et aussi dans la sécurité du protocole, cependant, tous les serveurs qui fonctionnent avec SMB/CIFS n’utilisent pas les dernières versions du protocole. , nous pourrions donc rencontrer des plantages inattendus lors de la tentative de connexion à un serveur SMB local.

L’accès aux ressources SMB / CIFS peut se faire via l’authentification avec les utilisateurs locaux, via l’authentification basée sur le serveur RADIUS ou LDAP et, bien sûr, via l’authentification Active Directory. Au niveau de la configuration, nous pourrions configurer le serveur pour éviter les mots de passe nuls, nous pourrions également créer des comptes invités qui permettront d’accéder à certaines ressources sans aucun type d’authentification. Les autres fonctionnalités de SMB/CIFS sont que nous pouvons activer la prise en charge des attributs étendus OS/2 dans une ressource partagée, ainsi que stocker ces attributs DOS si nous utilisons des systèmes d’exploitation Microsoft. Bien sûr, nous pouvons établir un masque pour créer des fichiers et aussi des répertoires, de sorte que les fichiers ou dossiers que nous allons en créer de nouveaux aient des autorisations spécifiques.

Concernant les performances de SMB/CIFS, nous pouvons activer les E/S asynchrones, afin d’obtenir de meilleures vitesses de lecture et d’écriture dans les ressources Samba, de plus, cela ne pourrait être utilisé que pour des fichiers d’une taille supérieure à celle définie dans la configuration de le serveur. Lorsque l’on va configurer un serveur SMB/CIFS, la version utilisée est très importante, aussi bien sur le serveur que sur le client. Au niveau de la configuration, nous pouvons définir différents paramètres pour définir le protocole de niveau serveur maximal pris en charge, ainsi que le protocole de niveau serveur minimal, afin de fournir la meilleure sécurité aux clients. Par exemple, une configuration très sécurisée consisterait à ne prendre en charge que le protocole SMB3, cependant, nous pouvons avoir des problèmes avec certains clients qui ne prennent en charge que jusqu’à SMB2,

PME/CIFS version 1

La première version de ce protocole est née en 1983 et a été construite à l’aide de NetBIOS de Microsoft, cependant, dans les versions ultérieures, NetBIOS n’était plus utilisé. Toutes les anciennes versions de Microsoft Windows utilisent SMBv1, cependant, les nouvelles versions des versions de Windows 10 et Windows Server n’intègrent pas SMBv1 installé dans le système d’exploitation pour des raisons de sécurité, car il a été démontré que ce protocole n’est actuellement pas sécurisé du tout et il n’est pas recommandé de l’utiliser. Par exemple, Windows Server 2016 et versions ultérieures et Windows 10 Fall Creators Update n’incluent pas cette version par défaut.

Il est également vrai que certains routeurs utilisent encore la première version du protocole sur leurs serveurs SMB/CIFS, dans ce cas, peu ou rien ne peut être fait pour le configurer avec des versions supérieures, car cela dépend du constructeur dans la grande majorité des cas. cas. Par exemple, si vous disposez d’un micrologiciel tiers tel que OpenWRT ou DD-WRT, vous pouvez désactiver ce protocole SMBv1 et activer les dernières versions, car le logiciel intégré au micrologiciel le prend en charge.

PME/CIFS version 2

Microsoft a publié la version SMBv2 pour Windows Vista en 2006 et dans Windows Server 2008. Bien que ce protocole soit privé, toute sa spécification a été publiée pour permettre à des programmes tels que Samba pour Linux et Unix de l’utiliser et pour que les différents systèmes d’exploitation soient interopérables. Sinon, seuls les systèmes d’exploitation Windows pourraient échanger des informations entre eux.

SMB2 est un grand changement par rapport à la première version, aussi bien en fonctionnement qu’en sécurité. SMB2 réduit l’établissement de la connexion par rapport à SMB1.0, réduisant le nombre de commandes et de sous-commandes, en plus, il permet d’envoyer des demandes supplémentaires avant que la réponse à une demande précédente n’arrive, économisant beaucoup de temps et améliorant la vitesse lorsque nous avons une latence élevée dans les connexions, ou lorsque l’on veut obtenir les meilleures performances possibles. D’autres options très importantes sont la possibilité de combiner plusieurs actions en une seule requête, réduisant ainsi la quantité d’informations échangées. SMB 2.0 intègre une série d’identifiants pour éviter de se reconnecter de zéro en cas de brève panne du réseau, de cette façon, nous n’aurons pas à rétablir la communication.

Cette nouvelle version SMB 2.0 prend en charge les liens symboliques, la mise en cache, la signature de messages avec HMAC-SHA256 et une meilleure évolutivité pour avoir plusieurs utilisateurs simultanés sur le même serveur, en outre, elle permet également d’améliorer le nombre de ressources partagées et de fichiers ouverts par le serveur. . Alors que SMBv1 utilise une taille de données de 16 bits et que la limite de taille de bloc maximale est de 64 Ko, dans SMB2, 32 ou 64 bits sont utilisés pour le stockage, cela signifie que dans les liaisons réseau ultra-rapides telles que les réseaux Gigabit, Multigigabit ou 10G, le transfert de fichiers est beaucoup plus rapide lors de l’envoi de fichiers très volumineux.

Dans RedesZone, nous avons pu atteindre des vitesses de 1,2 Go / s dans un réseau 10G utilisant SMB2, avec un serveur NAS QNAP TS-1277 avec stockage SSD, et dans le PC source, nous avions également un stockage SSD, car stockage traditionnel avec disques durs ne supporte pas ces vitesses élevées à moins que nous n’utilisions certains RAID de nombreux disques.

Windows Vista et Windows Server 2008 et les systèmes d’exploitation ultérieurs utilisent SMB2 par défaut, cependant, vous pouvez toujours rencontrer SMB1 sur certains ordinateurs, vous devrez donc peut-être l’activer spécifiquement pour se connecter également à ces anciens serveurs. Enfin, SMB 2.1, qui a été introduit dans Windows 7 et Windows Server 2008 R2, a encore amélioré les performances avec un nouveau mécanisme de verrouillage opportuniste.

PME/CIFS version 3

Cette version SMB 3.0 s’appelait auparavant SMB 2.2, elle a été introduite avec Windows 8 et Windows Server 2012, avec de nouveaux changements très importants visant à ajouter de nouvelles fonctionnalités et à améliorer les performances de SMB2 dans les centres de données virtualisés. Certains des changements introduits étaient les suivants :

  • SMB Direct Protocol : cela permet d’utiliser SMB sur un accès direct à la mémoire distante RDMA, tout serveur avec cette version intègre cette fonctionnalité pour améliorer considérablement les performances.
  • SMB multicanal : cette fonctionnalité nous permet d’effectuer plusieurs connexions par session SMB, de forcer les communications autant que possible et de compresser le réseau local où nous exécutons le serveur et les clients.
  • Basculement entièrement transparent.

Cependant, la caractéristique la plus importante est l’authentification de l’utilisateur dans le SMB, maintenant elle est entièrement cryptée, avant qu’elle ne soit toujours effectuée en texte clair, de sorte qu’un utilisateur malveillant pourrait mettre un renifleur de réseau et capturer les informations d’identification de l’utilisateur. Grâce à cela, l’authentification s’effectue de manière sécurisée. La possibilité d’avoir un cryptage de bout en bout avec AES a également été intégrée afin de crypter ou de crypter les transferts de fichiers et de dossiers. Par conséquent, avec SMB 3.0, nous avons deux possibilités de configuration :

  • Authentification sécurisée avec cryptage et transfert de fichiers et de dossiers non cryptés.
  • Authentification et échange de fichiers et de dossiers avec cryptage symétrique, cela nous fournira une sécurité maximale, mais les performances pourraient être altérées.

Si le serveur SMB ne prend pas en charge AES-NI dans son processeur, il est probable que les performances que nous obtenons lors du transfert de fichiers et de dossiers soient vraiment faibles, il est donc fortement recommandé de disposer d’un processeur puissant avec un moteur de chiffrement matériel. Actuellement, tous les processeurs à partir de l’année 2015 ont environ cette technologie, mais vous devriez l’examiner dans ses spécifications techniques.

En plus de la version SMB 3.0, la version SMB 3.0.2 a également été introduite dans Windows 8.1 et Windows Server 2012 R2, améliorant les fonctionnalités et les performances. De plus, dans ces systèmes d’exploitation, il est déjà possible de désactiver la version SMB 1.0 pour améliorer sécurité, car lors de la connexion, les clients peuvent négocier le protocole SMB à utiliser.

Enfin, Microsoft a introduit SMB version 3.1.1 dans Windows 10 et dans Windows Server 2016 et versions ultérieures. Cette nouvelle version intègre le cryptage symétrique AES-128-GCM pour offrir la meilleure sécurité possible et les meilleures performances en lecture et en écriture, nous avons également la possibilité de configurer le mode de cryptage CCM. En plus de cela, il implémente un contrôle d’intégrité préalable qui utilise un hachage SHA2-512, l’un des plus sécurisés actuellement. Enfin, cette version de SMB 3.1.1 force la négociation des clients utilisant SMB 2.0 ou supérieur à se faire avec sécurité, c’est-à-dire authentification avec cryptage.

Activer ou désactiver différents protocoles SMB sous Windows

Actuellement, si nous utilisons les dernières versions du système d’exploitation Windows, la version SMB 1.0 est désactivée par défaut pour la sécurité, car il s’agit d’un protocole qui n’est actuellement pas considéré comme sécurisé, il est nécessaire que vous utilisiez SMB 2.0 ou supérieur pour éviter la sécurité problèmes. Cependant, il serait conseillé de vérifier si nous avons ou non les différents protocoles activés pour savoir lesquels nous devons activer ou désactiver.

Ensuite, nous allons vous expliquer comment détecter, désactiver ou activer les différentes versions de Samba, la première chose que nous devons faire est de cliquer sur la touche « Windows » puis de rechercher « Powershell », nous faisons un clic droit de la souris et « l’ exécuter en tant qu’administrateur ».

SMBv1 à la fois client et serveur

Si nous voulons activer ou désactiver la prise en charge de SMBv1 sur notre ordinateur, nous devons d’abord vérifier si nous l’avons activé ou désactivé.

Détecter:

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Pour activer le protocole SMBv1 (il n’est pas recommandé pour la sécurité), vous devez mettre :

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Pour le désactiver :

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

SMBv2 / SMB3 à la fois client et serveur

Si nous voulons activer ou désactiver la prise en charge de SMBv2 ou SMBv3 sur notre ordinateur, nous devons d’abord vérifier si nous l’avons activé ou désactivé.

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Pour l’activer :

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Pour le désactiver :

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Cela fonctionne à la fois pour la version SMBv2 et la version SMBv3, de cette façon, nous n’aurons pas de commande spécifique pour SMBv3 car il est déjà intégré dans SMBv2, mais nous devons vérifier si le cryptage des données est activé, une fonctionnalité unique dans la dernière version .SMBv3 :

Get-SmbServerConfiguration | Select EncryptData

S’il indique « False », cela signifie que le cryptage des données n’est pas activé, pour l’activer, nous devons exécuter la commande suivante :

Set-SmbServerConfiguration -EncryptData $True

Vous devez vous assurer que le serveur distant prend en charge SMBv3, sinon, une erreur s’affichera lorsque vous tenterez d’accéder aux ressources partagées de n’importe quel serveur.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba