Comment activer ou désactiver SMB 1.0 sous Windows 10 et 11
Gérer SMB 1.0 sur les versions récentes de Windows peut s’avérer complexe. Par défaut, depuis Windows 10 1709, Microsoft a désactivé SMBv1 car ce protocole est obsolète et présente de nombreuses failles de sécurité. Cependant, si vous possédez encore du matériel ancien (comme d’anciens NAS, des imprimantes anciennes ou des ordinateurs sous Windows XP/2003), vous pourriez avoir besoin de ce protocole. En effet, l’activer n’est pas aussi simple que de cliquer sur un bouton, notamment en raison des nombreux avertissements de sécurité, mais cela fonctionne si vous savez où chercher.
Sur certaines configurations, SMBv1 reste désactivé par défaut, mais dès que vous tentez de vous connecter à un périphérique ou un partage système ancien, Windows affiche des erreurs 0x80070035ou des avertissements concernant des protocoles non sécurisés. C’est assez étrange, car Windows bloque l’accès SMBv1, alors que sur d’autres machines, son activation ne prend que quelques clics ou commandes. N’oubliez pas que, SMBv1 étant vulnérable, son activation ne doit être envisagée qu’en dernier recours et de manière temporaire.
Vérifiez si SMBv1 est activé à l’aide de DISM
- Ouvrir l’invite de commandes en tant qu’administrateur (clic droit, exécuter en tant qu’administrateur)
- Saisissez :
Dism /online /Get-Features /format:table | find "SMB1Protocol"
En général, toutes les fonctionnalités sont désactivées, ce qui est normal pour les versions récentes de Windows. Voici à quoi cela peut ressembler :
SMB1Protocol | Disabled SMB1Protocol-Client | Disabled SMB1Protocol-Server | Disabled SMB1Protocol-Deprecation | Disabled
Activation de SMB 1.0 à partir des fonctionnalités Windows
Une méthode simple consiste à utiliser le Panneau de configuration ( optionalfeatures.exe), car Windows a la fâcheuse habitude de compliquer les choses. Il suffit de rechercher « Fonctionnalités Windows », de lancer l’utilitaire et de faire défiler jusqu’à « Prise en charge du partage de fichiers SMB 1.0/CIFS ». Développez cette option ; vous verrez alors trois possibilités :
- Suppression automatique SMB 1.0/CIFS (principalement un paramètre de nettoyage)
- Client SMB 1.0/CIFS — nécessaire si votre PC doit accéder à d’anciens partages
- Serveur SMB 1.0/CIFS — nécessaire si votre PC fait office de serveur de fichiers pour les périphériques anciens
Sélectionnez les éléments souhaités et cliquez sur OK. Une brève mise à jour de Windows est à prévoir. Le client SMB peut se désinstaller automatiquement après 15 jours d’inactivité ; si vous l’avez activé, surveillez sa présence et réactivez-le s’il disparaît. Sur les machines où SMBv1 est indispensable (comme certaines imprimantes réseau anciennes), l’activation du serveur est nécessaire.
Activation de SMBv1 avec des commandes et PowerShell
Si l’interface graphique ne vous convient pas ou si vous préférez utiliser des scripts, voici les commandes. Ouvrez l’invite de commandes ou PowerShell en tant qu’administrateur.
- Pour activer le client et le serveur SMB1 :
DISM /online /Enable-Feature /FeatureName:"SMB1Protocol" DISM /online /Enable-Feature /FeatureName:"SMB1Protocol-Client" DISM /online /Enable-Feature /FeatureName:"SMB1Protocol-Server"
Ou, avec PowerShell :
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client
Sur certains ordinateurs, un redémarrage peut être nécessaire ; prévoyez-le. Attention : l’activation de SMBv1 peut déclencher des alertes de sécurité et vous exposer à des risques si elle n’est pas correctement gérée.
Désactivez à nouveau SMB 1.0 une fois terminé.
Pour le désactiver (ce qui est fortement recommandé une fois les problèmes résolus ou si la prise en charge des anciennes versions n’est plus nécessaire), exécutez :
Dism /online /Disable-Feature /FeatureName:"SMB1Protocol" Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Client" Dism /online /Disable-Feature /FeatureName:"SMB1Protocol-Server"
Et pour PowerShell :
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
Il arrive que Windows rencontre des problèmes et exige un redémarrage après l’exécution de ces commandes. Si SMBv1 est désactivé, toute tentative d’accès à d’anciens partages utilisant encore ce protocole entraînera des erreurs et des avertissements dans l’Observateur d’événements. Par conséquent, prévoyez un dépannage si ces périphériques obsolètes sont toujours en service.
Autres remarques basées sur l’expérience
Sur certaines configurations, l’activation de SMBv1 peut entraîner des problèmes de découverte du réseau ou perturber le service Explorateur d’ordinateurs, car SMBv1 est obsolète et dépassé par des protocoles plus récents et plus performants. En cas de problème, il est donc conseillé de le désactiver. Par ailleurs, certains périphériques réseau spécifiques peuvent ne communiquer qu’avec SMBv1 ; son activation présente donc un double inconvénient.
Activer ou désactiver le protocole SMB 1.0 sur Windows Server 2019/2022
Vous utilisez un serveur Windows ? Le protocole SMBv1 y est également désactivé par défaut. Si vous devez prendre en charge un client ou un périphérique ancien, vous devrez l’activer manuellement. La procédure est sensiblement la même, que ce soit via PowerShell ou le Gestionnaire de serveur.
Dans PowerShell, vérifiez si SMBv1 est installé avec :
Get-WindowsFeature | Where-Object {$_.name -like "*SMB1*"} | ft Name, InstallState
Pour installer le client SMBv1 :
Install-WindowsFeature FS-SMB1-CLIENT
Et pour activer le serveur SMBv1 :
Install-WindowsFeature FS-SMB1-SERVER
N’oubliez pas de vérifier qu’il est activé :
Get-SmbServerConfiguration | Select-Object EnableSMB1Protocol Set-SmbServerConfiguration -EnableSMB1Protocol $true -Force
Pour désactiver le serveur SMBv1, exécutez :
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Forceet redémarrer.Audit des accès SMB 1.0 sur les serveurs de fichiers Windows
Avant de désactiver définitivement SMBv1, il est judicieux de vérifier si d'anciens clients tentent encore de l'utiliser. Activez l'audit des accès SMB1 avec :
Set-SmbServerConfiguration -AuditSmb1Access $trueEnsuite, patientez quelques jours et consultez les journaux de l'Observateur d'événements sous Applications et services -> Microsoft -> Windows -> SMBServer -> Audit. Utilisez la commande Get-WinEvent pour consulter facilement les journaux.
Get-WinEvent -LogName Microsoft-Windows-SMBServer/AuditSi vous constatez des tentatives répétées provenant de certains appareils, il est conseillé de les mettre à niveau ou de les remplacer. Sinon, désactivez l'audit une fois que vous êtes certain de votre choix.
Désactiver SMB 1.0 via la stratégie de groupe
Si vous gérez plusieurs machines et souhaitez désactiver SMBv1 sur l'ensemble du réseau, la configuration d'une stratégie de groupe est la solution. Créez un nouvel objet de stratégie de groupe (par exemple, « Désactiver SMBv1 ») dans la console de gestion des stratégies de groupe (
gpmc.msc), associez-le à l'unité d'organisation appropriée, puis modifiez-le pour désactiver SMBv1 via les paramètres du registre.Accédez à Configuration ordinateur → Préférences → Paramètres Windows → Registre. Créez une nouvelle entrée de registre avec les informations suivantes :
- Action:
Update - Ruche:
HKEY_LOCAL_MACHINE - Chemin d’accès principal :
SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters - Nom de la valeur :
SMB1 - Type de valeur :
REG_DWORD - Données de valeur :
0
Cela désactive le serveur SMB sur ces machines. Pour désactiver complètement le client SMB, procédez de la même manière ; voici les modifications de registre recommandées :
- Configurez le démarrage sur
4inHKLM\SYSTEM\CurrentControlSet\Services\mrxsmb10pour désactiver le pilote client SMB. - Dans
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation, définissez DependOnService pour inclure uniquement les dépendances sécurisées commeBowser,MRxSmb20, etNSI.
Enfin, forcez l’actualisation de la stratégie de groupe ( gpupdate /force) et redémarrez. Après cela, SMBv1 devrait être désactivé sur tous ces ordinateurs. Attention cependant : la désactivation de SMBv1 peut rendre incompatibles des fonctionnalités anciennes ; il est donc essentiel de procéder à des vérifications approfondies avant tout déploiement à grande échelle.
Conclure
En résumé, utiliser SMBv1 sur les systèmes modernes est un peu risqué. Il est présent et fonctionnel, mais aussi potentiellement dangereux. Si vous devez l’utiliser avec du matériel ancien, activez-le temporairement, surveillez votre réseau et prévoyez la mise à niveau ou le remplacement de ces appareils. Une fois la mise à niveau terminée, désactivez SMBv1 ou, mieux encore, limitez son utilisation via une stratégie de groupe ou des règles de pare-feu.
Résumé
- Vérifiez l’état de SMBv1 avec DISM ou PowerShell.
- Activez ou désactivez cette fonctionnalité via les fonctionnalités Windows, les commandes ou les GPO.
- Auditez les accès SMBv1 pour repérer les anciens périphériques encore présents.
- Réévaluez la nécessité de SMBv1 : la sécurité prime sur la commodité.