Comment Windows Server 2022 améliore la sécurité réseau

TLS 1.3

L’une des plus grandes améliorations de sécurité que Microsoft a ajoutées à Windows Server 2022 est la prise en charge native du protocole de chiffrement du trafic réseau TLS 1.3 (Transport Layer Security). Publiée en 2018, cette dernière version 1.3 corrige les vulnérabilités trouvées dans TLS 1.2 et offre de meilleures performances, notamment lors du processus handshake qui initialise une communication.

Microsoft a activé TLS 1.3 par défaut dans Windows Server 2022, mais le système d’exploitation peut toujours utiliser des versions antérieures de TLS pour tenir compte des clients incompatibles.

HTTP/3

La dernière mise à jour majeure de HTTP, en 2016, a permis de résoudre les problèmes de sécurité et de performances. C’est cette troisième révision du protocole, dite HTTP/3, qui a été mise en œuvre dans Windows Server 2022.

HTTP/3 est encore en cours de développement, mais il est déjà utilisé par Google et Facebook. HTTP/3 utilise le protocole de transport QUIC basé sur le protocole UDP. Outre de meilleures performances, HTTP/3 utilise le chiffrement par défaut pour maintenir une connexion sécurisée.

L’activation de HTTP/3 nécessite l’ajout de la clé de registre suivante :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters" /v EnableHttp3 /t REG_DWORD /d 1 /f

Microsoft recommande par ailleurs aux administrateurs de configurer le service Web de Windows de telle sorte qu’il annonce aux clients la disponibilité du protocole HTTP/3. Les clients qui se connectent avec un ancien protocole seront alors informés de la prise en charge de HTTP/3 et passeront à un protocole plus sûr. Pour activer l’annonce HTTP/3, ajoutez la clé de registre suivante :

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters" /v EnableAltSvc /t REG_DWORD /d 1 /f

Redémarrez le serveur pour que les clés de registre prennent effet.

Secure DNS

Microsoft a amélioré la sécurité du réseau Windows Server 2022 en prenant en charge Secure DNS, un standard du marché qui porte plusieurs autres noms, notamment DNS-over-HTTPS (DoH).

DoH assure la confidentialité des requêtes DNS. Si quelqu’un surveille le trafic réseau, il verra l’envoi de requêtes DNS sans pouvoir lire leur contenu. Certaines entreprises utilisent Secure DNS pour dissimuler leurs activités en ligne à leur fournisseur d’accès Internet. Secure DNS peut également contribuer à prévenir les attaques par manipulation du DNS.

Attention toutefois. Bien qu’il apporte des avantages en termes de sécurité, Secure DNS peut également rendre plus difficile la détection d’activités malveillantes depuis le réseau, car il masque les requêtes DNS générées par ces attaques.

Chiffrement SMB AES-256

Le chiffrement SMB permet de chiffrer le trafic d’un NAS sur le réseau. SMB est le protocole que les appareils Windows utilisent pour accéder aux partages de fichiers. SMB est aussi couramment utilisé sur les baies de stockage.

Microsoft avait ajouté le chiffrement SMB à Windows Server 2012. Il l’améliore dans Windows Server 2022 en ajoutant la prise en charge des chiffrements AES-256-GCM et AES-256-CCM.

Les administrateurs activent le chiffrement SMB à partir du Centre d’administration Windows en se connectant au serveur hébergeant un partage SMB, en cliquant sur Fichiers et Partage de fichiers, puis sur l’onglet Partages de fichiers. De là, sélectionnez le partage à chiffrer et cochez Activer le chiffrement SMB.

La même procédure, mais à partir de PowerShell est la suivante :

Set-SmbShare –Name <sharename> -EncryptData $true

Attention, il y a une nuance entre Activer et Exiger le chiffrement SMB. L’activation signifie que les clients qui se connectent à un partage SMB utiliseront le chiffrement si possible, tandis que la demande de chiffrement SMB rejettera toute connexion non chiffrée.

Windows Server 2022 et Windows 11 sont actuellement les seuls systèmes d’exploitation Windows qui prennent en charge le chiffrement AES-256. Les clients Windows plus anciens qui se connectent à un partage SMB hébergé sur un hôte Windows Server 2022 reviendront à une norme plus ancienne, typiquement AES-128.

Windows Server 2022 prend également en charge le chiffrement SMB pour le trafic est-ouest, c’est-à-dire le trafic SMB qui circule entre un volume partagé principal et les nœuds d’un cluster qui lui servent d’unités redondantes (dans les configurations avec répartition automatique de la charge). Si le cluster utilise Storage Spaces Direct, cette option permet le chiffrement des communications au sein du cluster pour une meilleure sécurité globale.

La façon la plus simple de forcer un nœud de cluster à chiffrer tout le trafic SMB est de saisir la commande suivante dans PowerShell :

Set-SMBServerConfiguration -EncryptData $True -Force

Vérifiez que l’opération a réussi en contrôlant la valeur EncryptData après avoir exécuté la commande Get-SMBServerConfiguration.

Chiffrement SMB Direct et RDMA

Dans Windows Server 2022, Microsoft prend pour la première fois en charge le chiffrement par-dessus SMB Direct. SMB Direct est un protocole NAS qui utilise les fonctions d’accès mémoire à distance (RDMA), c’est-à-dire qui élimine, dans les paquets, nombre de fonctions liées au fonctionnement des disques durs. Il parvient ainsi à transférer de grandes quantités de données sans surcharger le processeur.

Dans les versions précédentes de Windows Server, l’activation du chiffrement par-dessus SMB désactivait obligatoirement le RDMA, ce qui entraînait un ralentissement significatif des performances de SMB Direct, puisque ce mode de fonctionnement redevenait dès lors du SMB tout court. Microsoft a résolu ce problème dans Windows Server 2022 pour offrir aux entreprises des transferts chiffrés à grande vitesse. En l’occurrence, les données sont chiffrées avant d’être transférées en RDMA. Bien que le processus de chiffrement nécessite certaines ressources CPU, l’impact sur les performances est généralement très mineur.