Comment configurer SMB sur QUIC pour le partage de fichiers Windows sécurisé sans VPN

Commencez par installer le rôle de serveur de fichiers sur votre Windows Server 2025. Cela fournit la base pour les services SMB et inclut les outils de gestion nécessaires.

Install-WindowsFeature -Name FS-FileServer -IncludeManagementTools

Cette commande installe le rôle de serveur de fichiers avec tous les outils de gestion. L'installation prend généralement 2-3 minutes et peut nécessiter un redémarrage selon la configuration de votre serveur.

Vérification : Exécutez la commande suivante pour confirmer que le rôle est installé :

Get-WindowsFeature -Name FS-FileServer

Vous devriez voir Install State: Installed dans la sortie.

SMB sur QUIC nécessite un certificat TLS valide avec un Subject Alternative Name (SAN) qui correspond à votre FQDN public. Vous pouvez utiliser des certificats de CA publiques comme Let's Encrypt, DigiCert, ou votre CA interne.

Si vous utilisez une CA publique, demandez un certificat pour le nom d'hôte public de votre serveur (par exemple, fileserver.example.com). Pour ce tutoriel, nous supposerons que vous avez un fichier de certificat prêt à être importé.

Importez le certificat dans le magasin de certificats de l'ordinateur local :

# Importer le certificat depuis le fichier PFX
$certPassword = ConvertTo-SecureString "YourCertPassword" -AsPlainText -Force
Import-PfxCertificate -FilePath "C:\Certificates\fileserver.pfx" -CertStoreLocation Cert:\LocalMachine\My -Password $certPassword

Après l'importation, obtenez l'empreinte numérique du certificat dont vous aurez besoin pour les étapes suivantes :

Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*fileserver.example.com*"} | Select-Object Thumbprint, Subject

Vérification : La commande ci-dessus devrait afficher votre certificat avec son empreinte numérique. Copiez cette valeur d'empreinte numérique pour l'utiliser à l'étape 5.

Créez un enregistrement DNS public qui résout le nom d'hôte choisi vers l'adresse IP publique de votre serveur ou le répartiteur de charge. Ce nom d'hôte doit correspondre au SAN dans votre certificat TLS.

Par exemple, si l'adresse IP publique de votre serveur est 203.0.113.45 et que votre certificat est pour fileserver.example.com, créez un enregistrement A :

fileserver.example.com.    IN    A    203.0.113.45

Testez la résolution DNS depuis une machine cliente :

nslookup fileserver.example.com

Configurez le Pare-feu Windows pour autoriser l'UDP 443 entrant et bloquer le TCP 445 sur l'interface publique :

# Autoriser UDP 443 pour SMB sur QUIC
New-NetFirewallRule -DisplayName "SMB over QUIC" -Direction Inbound -Protocol UDP -LocalPort 443 -Action Allow

# Bloquer TCP 445 sur l'interface publique (remplacez "Public" par le nom de votre interface publique)
New-NetFirewallRule -DisplayName "Block SMB TCP 445 Public" -Direction Inbound -Protocol TCP -LocalPort 445 -InterfaceType Public -Action Block

Vérification : Vérifiez que vos règles de pare-feu sont actives :

Get-NetFirewallRule -DisplayName "SMB over QUIC" | Select-Object DisplayName, Enabled, Direction, Action

La règle devrait apparaître comme Enabled: True et Action: Allow.

Vous allez maintenant lier votre certificat TLS au service de serveur SMB. Cela indique à Windows quel certificat utiliser pour les connexions SMB sur QUIC.

Utilisez l'empreinte numérique du certificat que vous avez obtenue à l'étape 2 :

# Remplacez par l'empreinte numérique réelle de votre certificat
$thumbprint = "1234567890ABCDEF1234567890ABCDEF12345678"
Set-SmbServerCertificateMapping -Thumbprint $thumbprint -StoreName My

Vérifiez que le mappage du certificat est configuré correctement :

Get-SmbServerCertificateMapping

Cela devrait afficher l'empreinte numérique de votre certificat et le nom du magasin. Si vous voyez une erreur concernant le certificat introuvable, vérifiez que :

• Le certificat est dans le magasin Local Machine\My
• L'empreinte numérique est correcte (pas d'espaces ou de caractères supplémentaires)
• Le certificat n'a pas expiré

Vérification : La commande Get-SmbServerCertificateMapping devrait retourner les détails de votre certificat sans erreurs.

Activez la fonctionnalité SMB sur QUIC sur votre Windows Server 2025. Il s'agit de la configuration principale qui permet au trafic SMB d'utiliser le protocole QUIC sur UDP 443.

Set-SmbServerConfiguration -EnableSMBQUIC $true

Lorsque vous y êtes invité, confirmez le changement en tapant Y et en appuyant sur Entrée. Ce paramètre prend effet immédiatement sans nécessiter de redémarrage.

Vérifiez que SMB sur QUIC est activé :

Get-SmbServerConfiguration | Select-Object EnableSMBQUIC

Vous devriez voir EnableSMBQUIC : True dans la sortie.

Vérifiez que le serveur SMB écoute sur UDP 443 :

Get-NetUDPEndpoint | Where-Object {$_.LocalPort -eq 443}

Vérification : La vérification du point de terminaison UDP devrait montrer le processus du serveur SMB écoutant sur le port 443. Si vous ne voyez pas cela, redémarrez le service Serveur :

Restart-Service -Name "Server" -Force

Créez la structure de répertoires et les partages SMB qui seront accessibles via QUIC. Pour cet exemple, nous allons créer un partage "Projects".

Tout d'abord, créez le répertoire :

New-Item -Path "C:\Shares\Projects" -ItemType Directory -Force

Créez le partage SMB avec les autorisations appropriées :

New-SmbShare -Name "Projects" -Path "C:\Shares\Projects" -FullAccess "BUILTIN\Administrators" -ChangeAccess "BUILTIN\Users"

Configurez des autorisations supplémentaires au niveau du partage si nécessaire. Pour les environnements de domaine, vous pourriez vouloir accorder l'accès à des groupes de domaine spécifiques :

# Exemple pour environnement de domaine
# Grant-SmbShareAccess -Name "Projects" -AccountName "CORP\FileServer-Projects-Modify" -AccessRight Change -Force

Définissez les autorisations NTFS sur le dossier pour une sécurité supplémentaire :

# Accorder des autorisations de modification au groupe Users sur le dossier
icacls "C:\Shares\Projects" /grant "Users:(OI)(CI)M"

Vérification : Vérifiez que votre partage est créé et accessible :

Get-SmbShare -Name "Projects" | Select-Object Name, Path, Description

Testez l'accès local pour vous assurer que le partage fonctionne :

Test-Path "\\localhost\Projects"

Cela devrait retourner True si le partage est accessible localement.

Sur votre client Windows 11 (version 24H2 ou ultérieure), activez la prise en charge de SMB sur QUIC. Cela doit être fait sur chaque client qui accédera aux partages.

Ouvrez PowerShell en tant qu'administrateur sur la machine cliente et activez SMB sur QUIC :

Set-SmbClientConfiguration -EnableSMBQUIC $true

Confirmez le changement lorsque vous y êtes invité. Vérifiez que le paramètre est activé :

Get-SmbClientConfiguration | Select-Object EnableSMBQUIC

Assurez-vous que le client fait confiance au certificat de votre serveur. Si vous utilisez une CA publique, cela devrait fonctionner automatiquement. Pour les CA internes, importez le certificat racine :

# Uniquement nécessaire pour les CA internes
# Import-Certificate -FilePath "C:\Certificates\RootCA.crt" -CertStoreLocation Cert:\LocalMachine\Root

Testez la connectivité au FQDN de votre serveur :

Test-NetConnection -ComputerName "fileserver.example.com" -Port 443 -InformationLevel Detailed

Vérification : Le test de connexion devrait afficher TcpTestSucceeded: True. Si cela échoue, vérifiez vos règles de pare-feu et la résolution DNS.

Connectez-vous maintenant à vos partages SMB depuis le client Windows 11 en utilisant le protocole QUIC. C'est ici que vous verrez la magie opérer - partage de fichiers sécurisé sur Internet sans VPN.

Mappez un lecteur réseau en utilisant le paramètre -UseQUIC :

New-SmbMapping -RemotePath "\\fileserver.example.com\Projects" -LocalPath "Z:" -UseQUIC

Si vous êtes invité à entrer des identifiants, saisissez vos identifiants de domaine ou les identifiants de compte local qui ont accès au partage.

Alternativement, vous pouvez vous connecter sans mapper une lettre de lecteur :

New-SmbMapping -RemotePath "\\fileserver.example.com\Projects" -UseQUIC

Vérifiez que la connexion utilise le protocole QUIC :

Get-SmbConnection | Where-Object {$_.ServerName -eq "fileserver.example.com"} | Select-Object ServerName, ShareName, Dialect, Transport, Encrypted

Vous devriez voir une sortie montrant :

• Transport: QUIC
• Encrypted: True
• Dialect: 3.1.1 (SMB 3.1.1)

Testez les opérations de fichier en créant un fichier de test :

"Test content" | Out-File -FilePath "Z:\test.txt"

Vérification : Vérifiez que le fichier a été créé avec succès et vérifiez que les détails de la connexion montrent le transport QUIC. Si vous voyez TCP au lieu de QUIC, dépannez la confiance des certificats et assurez-vous que le client et le serveur ont tous deux QUIC activé.

Effectuez des tests complets pour vous assurer que votre configuration SMB sur QUIC fonctionne correctement et en toute sécurité. Cette étape valide que vous avez un partage de fichiers véritablement sécurisé, sans VPN.

Testez les opérations de fichiers depuis le client pour garantir une fonctionnalité complète :

# Créer un répertoire de test
New-Item -Path "Z:\TestFolder" -ItemType Directory

# Copier un fichier pour tester les performances de téléchargement
Copy-Item -Path "C:\Windows\System32\notepad.exe" -Destination "Z:\TestFolder\notepad_copy.exe"

# Tester le téléchargement de fichiers
Copy-Item -Path "Z:\TestFolder\notepad_copy.exe" -Destination "C:\Temp\downloaded_notepad.exe"

Surveillez la connexion pour vous assurer qu'elle reste stable :

Get-SmbConnection | Where-Object {$_.Transport -eq "QUIC"} | Format-Table ServerName, ShareName, Transport, Encrypted, Dialect

Vérifiez les statistiques du serveur SMB pour voir les connexions QUIC :

# Exécutez ceci sur le serveur
Get-SmbConnection | Where-Object {$_.Transport -eq "QUIC"} | Measure-Object

Testez depuis différents emplacements réseau pour garantir l'accessibilité Internet. Essayez de vous connecter depuis :

• Une connexion Internet différente (point d'accès mobile)
• Un emplacement de bureau distant
• Une VM cloud dans une région différente

Vérifiez que le chiffrement fonctionne en vérifiant les propriétés de la connexion :

Get-SmbConnection | Where-Object {$_.ServerName -eq "fileserver.example.com"} | Select-Object EncryptionMethod, SigningMethod

Vérification : Toutes les opérations de fichiers doivent se terminer avec succès, et la connexion doit constamment afficher Transport : QUIC et Encrypted : True. Les performances doivent être bonnes même sur les connexions Internet grâce à la meilleure gestion des pertes de paquets et de la migration de connexion par QUIC.