Partagez des fichiers en toute sécurité via SMB sur QUIC

Partagez des fichiers en toute sécurité sur Internet sans configurer de VPN traditionnel. Ce n'est plus une idée futuriste : avec SMB sur QUIC, c'est une solution pleinement opérationnelle et, correctement configurée, extrêmement robuste. Cette approche associe le protocole SMB éprouvé à QUIC, un mécanisme de transport moderne conçu pour les réseaux exigeants comme Internet, offrant ainsi une expérience utilisateur quasi transparente.

Vous verrez dans les lignes qui suivent Comment fonctionne SMB sur QUIC, ce dont vous avez besoin pour le mettre en service, comment il est géré et comment il s'intègre à votre stratégie de sécuritéNous examinerons également les questions courantes (par exemple, s'il peut remplacer OneDrive ou s'il fonctionne dans les groupes de travail), ainsi que les améliorations apportées à ce protocole par Windows Server 2025.

Qu'est-ce que SMB over QUIC et pourquoi est-ce important pour l'accès à distance ?

SMB over QUIC est, en pratique, un « VPN SMB » intégré au protocole de fichiers lui-même.Au lieu de transporter SMB sur TCP (port 445), il encapsule la communication dans QUIC en utilisant UDP 443, le même port utilisé par HTTPS, créant un tunnel chiffré avec TLS 1.3 entre le client et le serveur de fichiers.

QUIC est une norme IETF qui offre plusieurs avantages indéniables par rapport à TCP.Tous les paquets sont systématiquement chiffrés, l'authentification de la connexion est assurée par TLS 1.3, ce système permet des flux parallèles fiables et non fiables, peut envoyer des données applicatives dès le premier aller-retour (RTT nul) et améliore la gestion de la congestion et la récupération en cas de perte de paquets, même en cas de changement d'adresse IP ou de port du client (cas fréquent). les réseaux mobiles ou avec des changements de Wi-Fi à 4G).

Du point de vue de l'utilisateur, SMB continue de se comporter comme toujours.L'accès aux ressources partagées via les chemins UNC, l'utilisation de l'explorateur de fichiers, les scripts avec NET USE ou New-SmbMapping, etc. Les fonctions avancées telles que le multicanal, la signature, la compression, la disponibilité continue ou la location de répertoires continuent de fonctionner dans le tunnel QUIC sans que l'utilisateur ne s'en aperçoive.

L'essentiel est que tout le trafic SMB (y compris l'authentification et l'autorisation) Les données transitent par un tunnel TLS 1.3 et ne sont jamais exposées en clair au réseau intermédiaire. C'est ce qui fait de SMB sur QUIC une option très intéressante pour les télétravailleurs. mobiles et les organisations qui souhaitent réduire leur dépendance aux VPN traditionnels.

Prérequis pour l'utilisation de SMB sur QUIC

Avant de commencer, cliquez sur le bouton « Configurer » dans le Centre d’administration Windows.Plusieurs conditions doivent être remplies côté serveur et côté client. Si l'une d'entre elles fait défaut, l'expérience sera frustrante.

Serveur SMB compatible

Vous avez besoin d'un serveur SMB fonctionnant sous une version compatible de Windows.Généralement, Windows Server 2022 Datacenter : Azure Edition (en particulier dans les environnements Azure Stack HCI ou Azure Local) ou des versions ultérieures telles que Windows Server 2025, où SMB sur QUIC est encore plus intégré et dispose de nouvelles fonctionnalités.

Clients Windows compatibles

Du côté client, aujourd'hui l'élément clé est Windows 11 (éditions destinées aux entreprises)qui intègre le client PME avec prise en charge de QUIC. À partir de Windows 11 24H2 Les améliorations comprennent un audit avancé des connexions SMB via QUIC dans l'Observateur d'événements.

Intégration avec Active Directory ou groupe de travail

Microsoft recommande d'utiliser SMB plutôt que QUIC avec les domaines Active Directory.Le serveur et le client SMB doivent appartenir au même domaine ou à des domaines de confiance. Le serveur doit pouvoir communiquer avec au moins un contrôleur de domaine pour l'authentification, même si ce contrôleur n'a pas nécessairement besoin d'être accessible depuis Internet.

Toutefois, posséder un nom de domaine n'est pas obligatoire.Vous pouvez également configurer SMB sur QUIC dans des environnements de groupe de travail en utilisant des comptes locaux et NTLM, ou même sur des serveurs IaaS joints à Microsoft Entra (anciennement Azure AD), avec quelques réserves : ces derniers ne peuvent pas utiliser les informations d’identification Entra pour les opérations de sécurité à distance car Entra ID ne gère pas les SID des utilisateurs ou des groupes ; en pratique, vous devrez donc toujours utiliser des comptes de domaine locaux ou classiques pour accéder à la ressource partagée.

Ports et pare-feu

L'un des points les plus critiques est la configuration du réseau.Le serveur doit être accessible aux clients via son interface publique grâce à une règle de pare-feu autorisant le trafic UDP entrant sur le port 443. Il est important de ne pas ouvrir le port TCP 445 sur Internet : l’accès SMB classique via ce port doit être bloqué au niveau du périmètre réseau.

Si vous devez modifier le port par défaut (En raison de politiques internes ou de conflits avec d'autres services), des ports alternatifs peuvent être configurés pour SMB, mais la pratique habituelle et recommandée pour QUIC est de maintenir UDP 443, car il facilite la traversée des pare-feu et des proxys typiques.

Centre d'administration Windows et infrastructure à clés publiques (PKI)

Pour faciliter l'administration, il est recommandé d'utiliser le Centre d'administration Windows (WAC). Dans sa dernière version, il inclut des assistants spécifiques pour activer et gérer le protocole SMB via QUIC. Cependant, comme certains utilisateurs l'ont constaté, si le bouton « Configurer » ne répond pas, c'est presque toujours le signe qu'une condition préalable est manquante (rôle non installé, autorisations insuffisantes, WAC obsolète, navigateur problématique, etc.).

En plus du WAC, vous avez besoin d'une infrastructure à clés publiques (PKI). capable d'émettre des certificats de serveur appropriés, soit à partir d'une autorité de certification Active Directory Certificate Services, soit à partir d'une autorité de certification publique de confiance telle que Digicert, Let's Encrypt, etc. Sans certificat correct, QUIC ne pourra pas établir le tunnel.

Certificats SMB et configuration de base sur QUIC

Le cœur du protocole SMB sur QUIC est le certificat du serveur.Sans cela, il n'y a pas de tunnel TLS 1.3 ni d'authentification du point de terminaison ; c'est donc la première chose à sécuriser correctement.

fonctionnalités du certificat serveur

Le certificat serveur que vous utiliserez pour QUIC doit répondre à un certain nombre d'exigences techniques:

• Utilisation des clés: signature numérique.
• Objectif (EKU): authentification du serveur (OID 1.3.6.1.5.5.7.3.1).
• Algorithme de signature: SHA256RSA ou supérieur, avec un hachage SHA256 ou supérieur.
• Clave publique: de préférence ECDSA_P256 ou supérieur ; RSA avec un minimum de 2048 bits est également pris en charge.
• Autre nom de sujet (SAN): doit inclure les entrées DNS pour tous les noms de domaine pleinement qualifiés (FQDN) que les clients utiliseront pour accéder au serveur SMB.
• Sujet (CN)Cela peut être « presque » ce que vous voulez, mais cela doit exister et respecter les bonnes pratiques d'émission.
• Clé privée incluse: Absolument, c'est stocké sur l'ordinateur serveur.

Si vous travaillez avec une autorité de certification d'entreprise MicrosoftLa méthode la plus simple consiste à créer un modèle de certificat spécifique pour SMB sur QUIC. L'administrateur du serveur de fichiers peut ensuite demander le certificat en spécifiant les noms DNS appropriés. La documentation Microsoft relative à la conception et à la mise en œuvre d'une infrastructure à clés publiques (PKI) explique en détail le processus de création de modèles.

Demande du certificat au serveur

Dans un environnement avec Active Directory CALe flux typique serait le suivant :

1. Démarrez la console MMC sur le serveur de fichiers et ajoutez le composant logiciel enfichable Certificats pour le compte d'ordinateur.
2. Accédez à Certificats (ordinateur local) > Personnel > Certificats et sélectionnez « Demander un nouveau certificat ».
3. Sélectionnez la stratégie d'inscription Active Directory et cliquez sur Suivant jusqu'à atteindre la liste des modèles.
4. Marquez le modèle créé pour les PME sur QUIC.
5. Renseignez le champ Sujet avec un nom commun permettant aux utilisateurs d'identifier le serveur et ajoutez tous les noms DNS qui seront utilisés pour les SAN.
6. Confirmez et finalisez l'enregistrement afin que le certificat soit installé dans l'entrepôt de matériel.

Si vous utilisez une autorité de certification publique tierceLe processus consiste à générer une CSR à partir du serveur et à suivre le guide spécifique du fournisseur pour émettre un certificat avec les EKU, SAN et algorithmes appropriés.

Activez SMB sur QUIC sur le serveur

Une fois le certificat obtenu, il est temps d'activer SMB sur QUIC.Le serveur ne l'active pas par défaut, et les clients ne peuvent pas l'« activer » unilatéralement, pour des raisons de sécurité évidentes.

La configuration peut être effectuée via le Centre d'administration Windows ou PowerShellDans Windows Asset Management (WAC), un assistant vous invite à sélectionner le certificat et à activer QUIC. Sous PowerShell, la procédure consiste à utiliser les cmdlets de mappage de certificats de serveur SMB via QUIC (New-SmbServerCertificateMapping et Set-SmbServerCertificateMapping, selon le cas).

Concernant le trafic clientWindows continuera d'essayer d'abord la connexion SMB via TCP de manière classique. Il n'utilisera QUIC qu'en cas d'échec de la connexion TCP ou si vous spécifiez explicitement l'utilisation de QUIC. commandes en tant que:

• NET USE /TRANSPORT:QUIC
• New-SmbMapping -TransportType QUIC

Connexion des clients aux ressources partagées des PME via QUIC

Du point de vue des utilisateurs, l'accès aux ressources SMB via QUIC est presque identique à l'accès traditionnel.La différence est que ce trafic est désormais protégé dans le tunnel QUIC/TLS 1.3 et transite sur Internet sans exposer le port 445.

Préparer le client et la résolution de nom

Si le client appartient à un domaineLa procédure normale consiste à joindre le périphérique Windows au domaine correspondant et à s'assurer que les noms de serveur utilisés dans les chemins UNC sont publiés dans le DNS et correspondent aux SAN du certificat du serveur de fichiers.

Dans les cas où le DNS ne résout pas ces nomsVous pouvez utiliser le fichier HOSTS du client pour associer le nom de domaine pleinement qualifié (FQDN) du serveur à son adresse IP publique. L'important est que le nom saisi par l'utilisateur dans le chemin UNC figure parmi ceux inclus dans le certificat du serveur.

Connexion à partir de réseaux externes

Le scénario d'utilisation typique est celui où le client se trouve en dehors du réseau de l'entreprise.sans accès direct aux contrôleurs de domaine internes ni aux adresses IP privées du serveur de fichiers. C'est là que QUIC excelle : le tunnel est établi via Internet à l'aide du port UDP 443, sans nécessiter de VPN supplémentaire.

Pour l'utilisateur, l'accès se fait simplement depuis l'explorateur de fichiers.en indiquant le chemin UNC vers la ressource partagée (par exemple, \\fsedge1.contoso.com\sales). Vous pouvez également utiliser :

• NET USE * \\fsedge1.contoso.com\ventas (tente une connexion TCP, puis une connexion QUIC automatiquement si TCP échoue).
• NET USE * \\fsedge1.contoso.com\ventas /TRANSPORT:QUIC (force QUIC).
• New-SmbMapping -LocalPath 'Z:' -RemotePath '\\fsedge1.contoso.com\ventas' -TransportType QUIC (via PowerShell).

Si la connexion échoue lorsque vous forcez QUICIl s'agit généralement d'un symptôme indiquant que le tunnel tente d'être établi, mais qu'un élément de la configuration du pare-feu, du certificat ou du mappage n'est pas correctement configuré.

Authentification : NTLMv2, Kerberos et proxy KDC

Par défaut, lorsque le client se connecte à un serveur de fichiers SMB via QUIC depuis InternetIl n'a pas de visibilité directe sur les contrôleurs de domaine internes. Dans ce contexte, l'authentification repose sur NTLMv2, où le serveur s'authentifie pour le compte de l'utilisateur, mais toujours au sein du tunnel TLS 1.3 (aucune information d'identification n'est exposée en dehors de QUIC).

Bien que NTLMv2 soit acceptable à l'intérieur du tunnel, Microsoft recommande de conserver Kerberos autant que possible.car il offre un modèle de sécurité plus robuste et évite une dépendance à long terme à NTLM.

Proxy KDC pour activer Kerberos via Internet

Pour continuer à utiliser Kerberos sans exposer directement les contrôleurs de domaine à InternetVous pouvez configurer le proxy KDC. Ce service reçoit les demandes de tickets Kerberos via HTTPS (port TCP 443), les transmet aux contrôleurs de domaine internes et répond au client, le tout sans échange d'informations d'identification en clair sur le réseau externe.

La configuration comprend plusieurs étapes sur le serveur de fichiers:

1. Enregistrez une URL d'écoute pour le proxy avec NETSH, généralement dans https://+:443/KdcProxy, avec le compte « NT AUTHORITY\Network Service ».
2. Configurez certaines clés de registre du service KPSSVC (proxy KDC) pour ajuster l'authentification HTTPS et activer les scénarios nécessaires.
3. Associez le certificat approprié au port 443 avec Add-NetIPHttpsCertBinding, en utilisant l'empreinte digitale du certificat SMB sur QUIC.
4. Ajoutez les noms SMB au-dessus du QUIC du serveur en tant que SPN dans Active Directory (par exemple, avec NETDOM computername).
5. Configurez le service kpssvc pour un démarrage automatique et démarrez-le.

Côté client, la stratégie de groupe est utilisée. Pour spécifier les serveurs proxy KDC pour les clients Kerberos, associez le domaine AD (par exemple, corp.contoso.com) à l'URL externe du proxy (par exemple, corp.contoso.com). https fsedge1.contoso.com:443:kdcproxy /).

Par conséquent, lorsqu'un utilisateur de corp.contoso.com tente d'accéder à fsedge1.contoso.comLe client saura contacter ce proxy pour obtenir des tickets Kerberos, sans avoir besoin de parler directement aux contrôleurs de domaine internes.

Expiration et renouvellement des certificats

L'un des points les plus négligés en pratique est la gestion du cycle de vie des certificats.Lorsque le certificat SMB sur QUIC expire et qu'un nouveau est émis, l'empreinte numérique change, même s'il est automatiquement renouvelé par la même autorité de certification.

Cela signifie que la configuration SMB sur QUIC doit être mise à jour. pour associer le nouveau certificat. Vous pouvez le faire depuis le Centre d'administration Windows en sélectionnant le nouveau certificat dans les paramètres existants, ou via PowerShell avec Set-SMBServerCertificateMapping viser une empreinte inédite.

Afin d'éviter les interruptions de service dues à une expiration inattendueMicrosoft suggère d'utiliser des outils comme Azure Automanage pour Windows Server, qui permettent de surveiller et d'automatiser le renouvellement des certificats et d'autres tâches de maintenance.

Contrôle d'accès client par certificats

En plus du tunnelage chiffré et de l'authentification de l'utilisateur, SMB sur QUIC peut appliquer un contrôle d'accès supplémentaire basé sur les certificats clients.Il s'agit d'une couche de sécurité supplémentaire qui vous permet de définir explicitement quels appareils peuvent établir des connexions QUIC avec le serveur.

Comment fonctionne le contrôle d'accès client

Le serveur gère une liste de contrôle d'accès des certificats. (listes d'autorisation et de blocage) et, lorsqu'un client tente de se connecter, il valide d'abord la chaîne de certificats de ce client. Le serveur vérifie :

• Vérifiez que la chaîne de certificats est valide et émise par une autorité de certification de confiance.
• Que le certificat ou son émetteur soient présents (autorisés ou refusés) dans les listes de contrôle d'accès.

Les certificats clients peuvent être utilisés avec SAN.Comme pour le serveur, la décision d'accès est prise en évaluant la présence d'entrées d'autorisation ou de blocage pour le certificat final ou pour l'un des émetteurs de la chaîne. Une seule entrée de refus dans la chaîne prévaut sur les entrées d'autorisation.

Cela permet des scénarios flexibles.Vous pouvez autoriser tous les certificats émis par une autorité de certification donnée, mais interdire certains appareils spécifiques en ajoutant leurs hachages comme bloqués, ou inversement, bloquer une autorité de certification entière, sauf exceptions très contrôlées.

Exigences en matière de contrôle d'accès client

Le serveur doit disposer de Windows Server 2022 Datacenter : Azure Edition avec la mise à jour KB5035857 de mars 2024. (et, pour certaines fonctionnalités en préversion, le package Feature Preview 240302_030531) ou des versions ultérieures telles que Windows Server 2025. De plus, il est évident que SMB sur QUIC doit déjà être activé.

Côté client, PMEVous devez disposer d'un système d'exploitation pris en charge et d'un certificat client avec authentification client EKU (OID 1.3.6.1.5.5.7.3.2), émis par une autorité de certification approuvée par le serveur et installé dans le magasin de certificats de l'ordinateur.

Attribuer des certificats et accorder l'accès

La procédure habituelle commence par le client, en obtenant l'empreinte digitale de son certificat.:

1. Lister les certificats dans Cert:\LocalMachine\My à l'aide de PowerShell.
2. Filtrez par sujet et enregistrez-le dans une variable.
3. Obtenez votre hachage SHA256 avec $clientCert.GetCertHashString("SHA256").

Ensuite, le mappage du certificat client SMB est créé. avec New-SmbClientCertificateMappingIl faut spécifier l'espace de noms (nom de domaine complet du serveur) et l'empreinte digitale correspondante. Dès lors, le client utilisera ce certificat pour se connecter au serveur correspondant à cet espace de noms.

Sur le serveur, l'authentification du client est requise. avec Set-SmbServerCertificateMapping -RequireClientAuthentication $trueÀ partir de là, des autorisations sont accordées à des clients spécifiques avec Grant-SmbClientAccessToServer ou ils sont bloqués avec Block-SmbClientAccessToServer, en utilisant comme identifiant le hachage SHA256 de la feuille du certificat ou le sujet de l'émetteur.

Journaux d'audit et d'événements pour les PME sur QUIC

Dans les environnements à haut risque, la visibilité est aussi importante que la sécurité.SMB over QUIC intègre des fonctionnalités d'audit côté client et côté serveur pour faciliter le diagnostic des problèmes et le suivi des accès.

Sur les clients exécutant Windows 11 24H2 ou version ultérieureL'Observateur d'événements enregistre les informations de connectivité SMB concernant QUIC dans le chemin d'accès Journaux des applications et des services\Microsoft\Windows\SMBClient\Connectivity, où, par exemple, l'événement 30832 reflète les détails des connexions QUIC.

Sur le serveur, vous pouvez activer l'audit des accès par certificats clients. avec Set-SmbServerConfiguration -AuditClientCertificateAccess $trueLes événements pertinents sont enregistrés dans :

• SMBServer\Audit (événements 3007, 3008 et 3009) pour le côté serveur.
• SMBClient\Connectivity (événement 30831) pour corréler les connexions du point de vue du client.

Ces événements incluent des données relatives aux certificats clients. (à l'exception de la racine) tels que le sujet, l'expéditeur, le numéro de série, les hachages SHA1/SHA256 et les entrées de contrôle d'accès appliquées à chaque requête, ainsi qu'un identifiant de connexion qui facilite le référencement croisé des informations entre le client et le serveur.

Sécurité réseau pour les PME : segmentation et pare-feu

SMB sur QUIC n'existe pas isolément ; il fait partie d'une stratégie de sécurité réseau plus large.Microsoft recommande de compléter ce tunnel chiffré par des techniques de segmentation et d'isolation afin de minimiser les déplacements latéraux et l'exposition inutile.

En règle générale, le port TCP 445 doit rester bloqué en provenance et à destination d'Internet.Ceci s'applique au trafic entrant et sortant, sauf dans des cas spécifiques comme Azure Files ou d'autres services cloud contrôlés. Lorsque le protocole SMB est requis dans le cloud public, il est recommandé de l'encapsuler dans un VPN ou d'utiliser SMB directement via QUIC afin de réduire la surface d'attaque.

Sur le réseau interne, il est judicieux d'inventorier le trafic SMB. (Qui communique avec qui, quelles ressources sont utilisées, quels serveurs exposent des ressources partagées réellement nécessaires). Des outils tels que les modules PowerShell (par exemple, Get-FileShareInfo) et l'audit des accès aux partages permettent de savoir ce qui est utilisé et ce qui ne l'est pas.

Le pare-feu windows Defender La sécurité avancée est un autre élément clé.Vous pouvez créer des règles entrantes et sortantes qui bloquent globalement le protocole SMB et utiliser l'action « Autoriser la connexion si sécurisée » pour définir des listes blanches basées sur l'authentification IPsec ou Kerberos avec une encapsulation nulle, n'autorisant que les contrôleurs de domaine et les serveurs de fichiers autorisés.

Dans les versions récentes de Windows (Windows 11 24H2 et Windows Server 2025)Les règles de pare-feu intégrées n'ouvrent plus automatiquement les ports NetBIOS 137 à 139 lors de la création de ressources partagées, ce qui renforce la sécurité par défaut. Si l'utilisation de SMB1 est nécessaire (déconseillé sauf dans des cas extrêmes de systèmes anciens), il faudra ouvrir ces ports manuellement.

Cas d'utilisation, questions fréquentes et relation avec OneDrive/SharePoint

L'un des débats les plus courants porte sur la question de savoir si SMB sur QUIC peut remplacer des solutions comme OneDrive ou SharePointEn résumé, ils ne sont pas conçus dans le même but, même s'il existe un certain chevauchement.

SMB sur QUIC offre un accès distant direct aux ressources du serveur partagéavec la même structure de dossiers, les permissions NTFS et les flux de travail déjà en place sur votre réseau local. Il est idéal pour les utilisateurs et les applications qui utilisent des chemins UNC, des verrous de fichiers, des flux de données continus ou les fonctionnalités classiques d'un serveur de fichiers.

OneDrive et SharePoint, quant à eux, fonctionnent comme des services SaaS avec synchronisation, collaboration en ligne et écosystème. Microsoft 365Ils sont plus adaptés au travail collaboratif, à l'édition simultanée dans Office, au contrôle de version des documents et à l'accès depuis n'importe où sans se soucier de l'infrastructure serveur.

Concernant les groupes de travail sans domaineLe protocole SMB sur QUIC peut être utilisé, mais il ne constitue pas une solution miracle et ne transforme pas comme par magie un groupe d'ordinateurs en un système distribué de type « Dropbox P2P ». Certes, une machine peut faire office de serveur SMB sur QUIC et exposer des ressources aux autres, à condition de posséder un certificat valide et d'être accessible via le port UDP 443, mais :

• La machine hébergeant les fichiers doit rester allumée et accessible. pour que d'autres puissent se connecter.
• Il n'existe pas de synchronisation native des données entre tous les appareils.SMB sur QUIC est un accès distant, et non une réplication automatique en mode multi-maître.
• Mettre en place un « système décentralisé » où toutes les machines sont à la fois serveur et client. Cela nécessiterait une couche supplémentaire de logiciel de réplication ou de clustering ; QUIC ne résout pas ce problème à lui seul.

En d'autres termes : non, vous n'avez pas encore découvert l'alternative magique à OneDrive pour synchroniser tout entre tous les utilisateurs sans infrastructure.Vous disposez ainsi d'une méthode puissante et sécurisée pour exposer les ressources de votre serveur de fichiers sur Internet sans VPN, tout en conservant une logique d'autorisation et des outils familiers.

Nouvelles fonctionnalités de Windows Server 2025 relatives à SMB sur QUIC

Windows Server 2025 intègre plusieurs améliorations qui prennent directement en charge SMB sur QUIC. et dans l'optique d'offrir un accès distant sécurisé et efficace aux ressources sur site et périmétriques.

D'une part, cela renforce le soutien aux PME sur QUIC en tant que composant central des environnements de travail hybrides et à distance, avec un accent clair sur les connexions chiffrées de bout en bout sans VPN, de meilleures performances sur les réseaux à latence élevée et une préférence pour les certificats TLS et Kerberos par rapport à NTLM.

En revanche, elle étend les capacités de gestion et la haute disponibilité Grâce à des fonctionnalités telles que le hotpatching (application de correctifs critiques sans redémarrage, notamment dans Datacenter : Azure Edition) et une intégration plus poussée avec Windows Admin Center, Hyper-V, les conteneurs et Azure Arc.

Azure Arc et les services associés (Surveillance, Stratégie, Automatisation) Ils vous permettent de traiter les serveurs physiques ou virtuels comme des ressources cloud, en appliquant des politiques de sécurité, des mises à jour et des audits de manière uniforme, ce qui est particulièrement utile lorsque ces serveurs exposent des ressources SMB via QUIC sur Internet.

Bien que la version finale de Windows Server 2025 soit encore en phase d'évaluation techniqueL'aperçu disponible via Windows Insider montre déjà clairement que le modèle d'accès à distance implique des protocoles modernes tels que QUIC et l'intégration du serveur de fichiers classique dans des scénarios hybrides et multicloud.

Le protocole SMB sur QUIC est devenu un outil stratégique pour le partage sécurisé de fichiers sur Internet.Il combine le protocole SMB, bien connu, avec un transport moderne, chiffré et résilient comme QUIC, simplifiant ainsi l'accès distant sans nécessiter le déploiement et la maintenance de VPN complexes. Il permet un contrôle d'accès précis grâce aux certificats clients, s'intègre à Kerberos via un proxy KDC et est conforme aux bonnes pratiques de segmentation et de sécurisation du trafic SMB. Correctement conçu (avec des certificats gérés avec soin, un pare-feu performant, un audit actif et une politique de mots de passe robuste ou une authentification sans mot de passe), il offre une solution très sécurisée pour exposer des serveurs de fichiers depuis l'extérieur, tout en permettant de contrôler qui y accède, d'où et avec quelles garanties.