Protocole SMBv1

SMBv1 (Server Message Block), est un protocole faible qui peut perdurer encore malheureusement dans de nombreuses situations !

 

Mise en situation

 

L’arrivée des contrôleurs de domaine Windows Server 2019 Active Directory engendre quelques interrogations légitimes vis à vis du protocole SMBv1.

Dans un environnement contenant un ou plusieurs serveurs Windows Server 2003 et des systèmes d’exploitation de la même génération, la question doit être clarifiée. En tant que machines jointes au domaine (scénarios suffisamment réalistes au regard de certaines applications métier), se défaire du SMBv1 peut ne pas être simple.

Le protocole SMBv1 est celui utilisé par ces machines Windows Server 2003, tandis que ce même protocole SMBv1 est obsolète. Effectivement, il n’est plus vraiment le protocole de prédilection des familles de systèmes d’exploitation à jour. Il suffit de prendre pour exemple Windows Server 2016,  2019 et cætera ; cela en tant que serveurs d’infrastructure Windows Active Directory ou non.

 

Le dilemme

 

Cette situation pose clairement un problème vis-à-vis du maintien en condition opérationnelle des applications adossées aux serveurs applicatifs « obsolètes », typiquement Windows Server 2003.

Le dilemme est davantage de taille si la mise à niveau de ces machines applicatives n’est pas une option facilement envisageable.

De surcroit, l’utilisation ou le maintien de SMBv1, un protocole obsolète, interpelle forcément en matière de sécurité.

 

Prise en charge de SMBv1

 

Le cadre étant maintenant posé, ce qui suivra nous montrera les actions techniques possibles à mettre en œuvre. Elles permettent de garantir une cohabitation entre les systèmes d’exploitation,anciens et moderner. Les serveurs d’infrastructure Active Directory (2016 ou 2019) sont des bons exemples.

L’activation du protocole SMBv1 est toujours faisable : dism /online /Enable-Feature /FeatureName:SMB1Protocol /All /source:%drive%:\wim\mount\windows\winsxs /limitaccess

Dans cet esprit, la commande reste tout à fait standard.

Cette activation requiert un redémarrage de la machine.

Une fois la machine Windows Server 2019 ou 2016 redémarrée, vous pouvez exécuter la commande suivante afin de vérifier la bonne disponibilité du protocole SMBv1 : Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol.

La propriété State devrait alors indiquer Enabled, signe que l’installation s’est correctement déroulée.

Une fois ces étapes franchies, la cohabitation entre Windows 2016 ou 2019 Active Directory et un client Windows Server 2003 est donc faisable et vérifiable. En conséquence, cette cohabitation requiert explicitement l’utilisation d’un protocole faible.

 

Point d’attention

 

Plusieurs recommandations semblent indiquer l’abandon du protocole SMBv1, toutefois une bonne analyse situationnelle reste de mise. C’est pourquoi, cette question à un million de dollars doit être tranchée entre les départements techniques et métiers. Il ne faut rien délaisser également de la gestion des risques.

A part cette activation du protocole faible SMBv1 (contraire aux recommandations), il peut n’y avoir aucune solution immédiate. Ainsi, pour rester opérationnelle, votre application historique peut exiger l’activation de SMBv1.

Donc, dans certaines situations, l’infrastructure Active Directory mise à jour nécessite la prise en charge de ce protocole démodé.

Tout ceci pour dire que ce schéma typiquement IT est tout à fait valable pour des machines industrielles basées sur Windows Server 2003, Windows XP et autres systèmes d’exploitation du genre.

Dans l’IT et l’OT (deux environnements qui doivent être séparés pour rappel), c’est le même combat : comment sécuriser sans introduire aucune régression fonctionnelle applicative vis-à-vis du métier ?

Quelque part, si la cartographie applicative des entreprises existe et est à jour, planifier devient simple. En outre, anticiper pour trouver des compromis deviendrait une réalité. Ce sera moins pénible dans le cadre d’une mise à niveau des serveurs d’infrastructure.

 

Conclusion

 

En fin de compte, tout ne peut pas complètement être à jour instantanément parce que la technique et les règles de sécurité poussées par les éditeurs l’exigent.

Il y a parfois des enjeux prioritaires requérant une transgression nette des règles faites par des entités qui ignorent tout de votre business.

La technique reste au service du business pour rappel. La gestion des risques encadre à son tour le business. Par conséquent, la technique ne peut commander tout, bien qu’il soit toujours bon de la maîtriser entièrement.

Le métier l’emporte toujours, c’est une part de réponse 🙂

Share This