Vue d’ensemble
Les signatures de sécurité SMB doivent être activées pour protéger contre les attaques en modifiant les paquets SMB en transit.
Description
La signature SMB utilise une clé de session et un algorithme de chiffrement pour ajouter une signature à chaque message. Cela permet de vérifier l’origine et l’intégrité des paquets, protégeant ainsi contre les attaques de type « homme du milieu » et d’usurpation d’identité
Impact
Si les signatures SMB ne sont pas activées, un attaquant peut intercepter et modifier les paquets pour accéder sans autorisation aux données ou manipuler les messages transmis
Pour activer la signature SMB, vous pouvez utiliser l’Éditeur de stratégie de groupe locale sur Windows
Solution
La politique de signature des paquets SMB détermine si la signature des paquets SMB doit être négociée avant toute communication avec un client SMB. Si cette option est activée, le serveur réseau Microsoft ne communiquera pas avec un client réseau Microsoft à moins que celui-ci n’accepte de signer les paquets SMB.
Pour activer la signature SMB, vous pouvez utiliser la gestion des stratégies de groupe (GPO) sur le serveur et le client. Par défaut, elle est principalement utilisée sur les contrôleurs de domaine dans un domaine. Pour configurer la signature SMB via GPO :
Ouvrez le Gestionnaire de stratégie de groupe.
Accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Options de sécurité.
Activez les options suivantes :
Client réseau Microsoft : communications signées numériquement (toujours)
Options de signature SMB
Serveur réseau Microsoft : communications signées numériquement (toujours)
Client réseau Microsoft : communications signées numériquement (toujours)
Les options « si le serveur accepte » et « si le client accepte » ne sont pas recommandées car elles ne concernent que SMB version 1.
Utilisation de l’Éditeur de Registre
Appuyez sur Windows+R, tapez regedit, puis appuyez sur OK.
Activer la signature SMB via le Registre
Accédez à la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters
Créez ou modifiez la valeur REG_DWORD RequireSecuritySignature et définissez-la sur 1 pour activer la signature SMB.
Activer la signature SMB via le Registre
Accédez à la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
Créez ou modifiez la valeur REG_DWORD RequireSecuritySignature et définissez-la sur 1 pour activer la signature SMB
