TroutTrout
All docs

Configurer l'accès SMB

Gérez l'accès aux partages de fichiers SMB via Access Gate — accordez l'accès par enclave sur une IP overlay, puis ajoutez une identité avec un Access Screen.

3 min read · Last updated 2026-06-16

SMB (Server Message Block) est le protocole qui sous-tend les partages de fichiers Windows, les lecteurs réseau et les dossiers où résident les documents, les fichiers d'ingénierie et les programmes PLC. Il fonctionne sur le port TCP 445 (139 en version héritée) et est omniprésent en IT — et de plus en plus relié à l'OT pour le transfert de recettes, de programmes et de rapports. C'est aussi l'un des vecteurs les plus courants de propagation des ransomwares et d'exfiltration de données hors d'un site, ce qui fait du contrôle d'accès aux partages un levier de sécurité à haute valeur ajoutée.

Access Gate relaie le trafic SMB afin que seules les personnes et les systèmes autorisés atteignent un partage — et, avec un Access Screen, uniquement après authentification.

Protéger SMB avec Access Gate

1. Créer l'asset, le service et l'enclave

Ajoutez le serveur de fichiers en tant qu'asset, définissez son service SMB et placez-le dans une enclave avec une règle allow accordant l'accès. Voir Protéger un asset avec des enclaves et Access Control Lists.

Enclave SMB accordant l'accès au partage de fichiers
Enclave SMB accordant l'accès au partage de fichiers

2. Se connecter au partage via l'IP overlay

Pointez le client vers le partage en utilisant l'overlay IP d'Access Gate plutôt que l'adresse brute du serveur de fichiers. La session est relayée par la passerelle.

Connexion SMB établie via Access Gate
Connexion SMB établie via Access Gate

La connexion est établie et les paquets transitent par la passerelle.

Capture de paquets montrant le trafic SMB transitant par la passerelle
Capture de paquets montrant le trafic SMB transitant par la passerelle

Ajouter l'identité

Jusqu'ici, l'accès est accordé par politique réseau. Ajoutez un Access Screen pour exiger que l'utilisateur s'authentifie avant d'atteindre le partage — transformant ainsi l'accessibilité en une autorisation vérifiée par identité.

1. Protéger l'enclave SMB avec un Access Screen

Activez un Access Screen sur l'enclave. Voir Authentifier les utilisateurs avec des Access Screens.

Activation d'un Access Screen sur l'enclave SMB
Activation d'un Access Screen sur l'enclave SMB

2. L'utilisateur s'authentifie

L'utilisateur doit désormais s'authentifier via l'Access Screen avant que l'accès soit accordé. Tant qu'il ne l'a pas fait, le partage reste inaccessible.

Utilisateur s'authentifiant via l'Access Screen
Utilisateur s'authentifiant via l'Access Screen

Remarques et points d'attention

  • Conservez les permissions côté serveur comme second niveau de contrôle. La passerelle détermine qui atteint le partage ; le serveur de fichiers détermine toujours ce que l'utilisateur peut y faire. Utilisez les deux.
  • Version SMB. Vérifiez que le chemin relayé est compatible avec le dialecte SMB requis par vos serveurs, et maintenez SMBv1 désactivé.

Ressources associées

Previous
Configurer l'accès HTTP/HTTPS
Next
Configurer l'accès Modbus