Le protocole SMB facilite le partage de fichiers entre machines connectées à un même réseau local, en particulier sous Windows. Il permet d’accéder à des dossiers distants et d’intégrer des lecteurs réseau comme s’ils étaient locaux, ce qui simplifie l’accès aux fichiers partagés entre postes.
Cette introduction présente les points-clés pour comprendre les versions, la compatibilité et la sécurité du protocole SMB. Les éléments essentiels sont présentés dans la section A retenir :
A retenir :
- Accès aux fichiers partagé en réseau local sans cloud
- Préférence pour SMB moderne plutôt que SMB v1 obsolète et risqué
- Contrôle des autorisations NTFS et des partages pour limiter l’exposition
- Ports principaux 445 TCP et parfois 139 NetBIOS selon implémentation
SMB et versions : fonctionnement du protocole réseau SMB sous Windows
Comprendre les versions aide à choisir une configuration sûre pour le partage de fichiers et la sécurité réseau. La suite détaille l’histoire, les risques associés à SMB v1 et les améliorations apportées aux versions récentes.
Historique et évolution des versions SMB
Cette section situe les étapes majeures de l’évolution du protocole SMB depuis sa création jusqu’aux éditions récentes. Selon Microsoft, les améliorations visent la sécurité et les performances lors de l’accès aux fichiers sur le réseau.
Version SMB
Introduit
Améliorations principales
Statut
SMB v1 (CIFS)
1980s / intégration historique
Compatibilité initiale, NetBIOS
Obsolète
SMB v2
Windows Vista
Protocole allégé, meilleures performances
Supporté
SMB v3
Windows 8 / Server 2012
Chiffrement, SMB Multichannel, SMB Direct
Supporté
SMB 3.1.1
Windows Server 2016
Chiffres plus robustes, signature améliorée
Recommandé
Cette synthèse montre que choisir une version récente réduit la surface d’attaque et améliore les performances. Selon Samba Team, les implémentations modernes offrent une interopérabilité avec Linux et les NAS en entreprise.
Pourquoi éviter SMB v1 et conséquences pratiques
SMB v1 présente des vulnérabilités historiques exploitables comme EternalBlue, qui a servi de vecteur à des ransomwares célèbres. En production, la désactivation de SMB v1 est une mesure de sécurité simple et efficace pour limiter les risques.
Selon Microsoft, SMB v1 est déprécié et ne doit pas être activé sauf nécessité extrême avec équipements anciens. Cela reste valide pour des périphériques anciens nécessitant un examen avant réactivation.
Risques connus :
- Propagation de malwares via partage activé
- Exploitation de failles non patchées sur clients
- Absence de chiffrement natif sur anciennes versions
- Visibilité accrue des ressources sensibles
Compatibilité SMB et négociation entre clients et serveurs Windows
Après les versions, la compatibilité détermine la dialectique choisie lors d’une connexion SMB entre client et serveur. Le mécanisme de négociation sélectionne le dialecte le plus élevé supporté par les deux hôtes ou retient la version la plus faible en commun.
Comment s’effectue la négociation du dialecte SMB
Cette partie décrit la phase initiale d’établissement de la connexion SMB et ses critères de choix de version. Selon Microsoft, la négociation cherche un dialecte commun et la sécurité proposée dépendra de ce dialecte final.
Vérifications réseau :
- Confirmer accès DNS et résolution de noms
- Vérifier que le port 445 est ouvert côté serveur
- Contrôler version SMB activée côté client
- Tester avec Get-SmbConnection sur le poste client
Ports et transport : 445, 139 et variantes modernes
La plupart des connexions SMB modernes utilisent le port 445/TCP, alors que le port 139 reste lié aux implémentations NetBIOS historiques. Selon IT-Connect, les captures réseau confirment l’usage du port 445 dans la majorité des environnements récents.
Port
Transport
Usage
Systèmes
445
TCP
SMB natif moderne
Windows, NAS, Samba
139
TCP via NetBIOS
Compatibilité historique
Anciennes versions Windows
UDP (QUIC)
QUIC/UDP
SMB over QUIC pour mobilité
Windows Server, clients récents
RDMA
ROCE/RDMA
SMB Direct pour hauts débits
Stockages performants
Déployer un partage SMB sur Windows et bonnes pratiques
Après avoir vérifié la compatibilité et les ports, la mise en œuvre réclame une configuration des partages et des permissions. Cette section détaille création, tests et recommandations pour un serveur de fichiers Windows sécurisé.
Créer un partage, autorisations NTFS et tests pratiques
Cette sous-partie guide pas à pas la création d’un dossier partagé et la définition des droits de partage et NTFS. Sur le serveur, les onglets Partage et Sécurité restent complémentaires et doivent être cohérents pour permettre l’accès voulu.
Paramètres essentiels :
- Nom du partage explicite et chemin UNC clair
- Autorisation NTFS alignée avec droits de partage
- Utilisation d’un compte de service pour automatisation
- Activer chiffrement SMB si possible
« J’ai configuré ce type de partage pour une petite PME et le contrôle NTFS a évité des suppressions accidentelles. »
Jean N.
Dépannage courant, outils et bonnes routines
Cette section couvre les vérifications à effectuer en cas d’erreur d’accès ou de lenteur lors d’un transfert de fichiers. Les commandes PowerShell comme Get-SmbConnection aident à identifier le dialecte utilisé et le compte employé.
Dépannage rapide :
- Vérifier services de découverte réseau et pare-feu
- Tester résolution DNS et ping entre hôtes
- Relancer capture pktmon pour identifier port utilisé
- Comparer versions SMB avec Get-SmbConnection
« En audit réseau, la capture pktmon m’a confirmé l’utilisation du port 445 et accéléré le correctif. »
Claire N.
« Mon avis professionnel est de privilégier SMB 3.1.1 et l’usage du chiffrement sur les partages critiques. »
Éric N.
« J’utilise Samba sur des NAS pour rendre des partages compatibles avec Windows et Linux sans perte de fonctionnalité. »
Anna N.
Source : Microsoft, « Server Message Block overview », Microsoft Docs, 2016 ; Samba Team, « Samba documentation », samba.org, 2024.
