Comment Windows Server 2022 améliore la sécurité du réseau

Windows Server 2022 dispose de cinq nouvelles fonctionnalités de mise en réseau visant à contrecarrer les cyberattaques. Dans ce cas, ils limitent la vulnérabilité de l’EI à une variété d’attaques.

TLS 1.3

L’une des plus grandes améliorations de sécurité ajoutées par Microsoft Windows Server 2022 est la prise en charge native du protocole de chiffrement du trafic réseau Transport Layer Security (TLS 1.3). Cette dernière version 1.3, sortie en 2018, corrige les vulnérabilités trouvées dans TLS 1.2 et offre de meilleures performances, notamment lors du processus de poignée de main qui initialise une communication.

Microsoft a activé TLS 1.3 par défaut dans Windows Server 2022, mais le système d’exploitation peut continuer à utiliser des versions antérieures de TLS pour prendre en charge les clients incompatibles.

HTTP/3

La dernière mise à jour majeure de HTTP en 2016 a résolu des problèmes de sécurité et de performances. C’est cette troisième révision du protocole, connue sous le nom de HTTP/3, qui a été implémentée dans Windows Server 2022.

HTTP/3 est encore en développement mais est déjà utilisé par Google et Facebook. HTTP/3 utilise le protocole de transport QUIC basé sur le protocole UDP. En plus de meilleures performances, HTTP/3 utilise le cryptage par défaut pour maintenir une connexion sécurisée.

L’activation de HTTP/3 nécessite l’ajout de la clé de registre suivante :

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters” /v EnableHttp3 /t REG_DWORD /d 1 /f

Microsoft recommande également aux administrateurs de configurer le service Web Windows pour informer les clients de la disponibilité du protocole HTTP/3. Les clients qui se connectent à l’aide d’un protocole plus ancien sont alors informés de la prise en charge de HTTP/3 et passent à un protocole plus sécurisé. Pour activer la publicité HTTP/3, ajoutez la clé de registre suivante :

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters” /v EnableAltSvc /t REG_DWORD /d 1 /f

Redémarrez le serveur pour que les clés de registre prennent effet.

DNS sécurisé

Microsoft a amélioré la sécurité du réseau Windows Server 2022 en prenant en charge le DNS sécurisé, une norme de l’industrie connue sous plusieurs autres noms, notamment DNS-over-HTTPS (DoH).

DoH assure la confidentialité des requêtes DNS. Si quelqu’un surveille le trafic réseau, il verra les requêtes DNS envoyées sans pouvoir lire leur contenu. Certaines entreprises utilisent Secure DNS pour cacher leur activité en ligne à leur FAI. Le DNS sécurisé peut également aider à prévenir les attaques d’usurpation de DNS.

Cependant, soyez prudent. Bien qu’il offre des avantages en matière de sécurité, Secure DNS peut également rendre plus difficile la détection d’activités malveillantes à partir du réseau en masquant les requêtes DNS générées par ces attaques.

Cryptage SMB AES-256

Le chiffrement SMB est utilisé pour chiffrer le trafic d’un NAS sur le réseau. SMB est le protocole utilisé par les appareils Windows pour accéder aux partages de fichiers. SMB est également couramment utilisé sur les baies de stockage.

Microsoft a ajouté le chiffrement SMB à Windows Server 2012. Il les améliore dans Windows Server 2022 en ajoutant la prise en charge des chiffrements AES-256-GCM et AES-256-CCM.

Les administrateurs activent le chiffrement SMB dans Windows Admin Center en se connectant au serveur hébergeant un partage SMB, en cliquant sur Fichiers et partages de fichiers, puis sur l’onglet Partages de fichiers. À partir de là, sélectionnez le partage à chiffrer et activez Activer le chiffrement SMB.

La même procédure, mais depuis PowerShell, est la suivante :

Set-SmbShare –Nom -EncryptData $true

Attention, il y a une nuance entre Permettre et Exiger Cryptage SMB. L’activation signifie que les clients qui se connectent à un partage SMB utiliseront le cryptage dans la mesure du possible, tandis que l’exigence du cryptage SMB rejettera toute connexion non cryptée.

Windows Server 2022 et Windows 11 sont actuellement les seuls systèmes d’exploitation Windows prenant en charge le chiffrement AES-256. Les anciens clients Windows se connectant à un partage SMB hébergé sur un hôte Windows Server 2022 reviennent à une norme plus ancienne, généralement AES-128.

Windows Server 2022 prend également en charge le chiffrement SMB pour le trafic est-ouest, c’est-à-dire le trafic SMB circulant entre un volume partagé principal et les nœuds d’un cluster qui lui servent d’unités redondantes (dans les configurations d’équilibrage de charge automatique). Si le cluster utilise Storage Spaces Direct, cette option active le chiffrement des communications au sein du cluster pour une meilleure sécurité globale.

Le moyen le plus simple de forcer un nœud de cluster à chiffrer tout le trafic SMB consiste à saisir la commande suivante dans PowerShell :

Set-SMBServerConfiguration -EncryptData $True -Force

Vérifiez que l’opération a réussi en vérifiant la valeur EncryptData après avoir exécuté la commande Get-SMBServerConfiguration.

Cryptage SMB Direct et RDMA

Dans Windows Server 2022, Microsoft prend en charge le chiffrement via SMB Direct pour la première fois. SMB Direct est un protocole NAS qui utilise les fonctions RDMA (Remote Memory Access), c’est-à-dire qu’il supprime un certain nombre de fonctions liées au fonctionnement des disques des packages. Cela lui permet de transférer de grandes quantités de données sans surcharger le processeur.

Dans les versions précédentes de Windows Server, l’activation du chiffrement sur SMB forçait la désactivation de RDMA, ce qui entraînait une baisse significative des performances de SMB Direct, car ce mode de fonctionnement revenait ensuite à SMB uniquement. Microsoft a résolu ce problème dans Windows Server 2022 pour fournir aux entreprises des transmissions cryptées à grande vitesse. Dans ce cas, les données sont cryptées avant d’être transmises en RDMA. Bien que le processus de chiffrement nécessite certaines ressources CPU, l’impact sur les performances est généralement très faible.

See also  Analyse technique, finale de la Ligue Europa

Leave a Comment