Désactivation du dialecte SMBv1 via GPO

Cette page vise à indiquer aux responsables Active Directory de l’Ecole comment appliquer une GPO à certaines parties de l’arborescence dont ils ont la gestion afin de désactiver le dialecte SMBv1 sur le composant serveur des postes de travail. Comme vous le savez très certainement, les postes de travail peuvent offrir certaines ressources via le protocole SMB et le but de la manœuvre est de ne plus permettre leur accès via le dialecte désuet et dangereux SMBv1.

L’opération est très simple et se limite à linker la GPO SI-DisableSMBv1-SERVICE-ON-WORKSTATIONS, publiée à la racine du domaine sur les OU concernées. Cette GPO fait appel à un filtre WMI afin de ne s’appliquer qu’aux postes de travail. Son application sur une OU contenant des postes de travail et des serveurs ne pose donc aucun problème.

Une fois la GPO linkée, vous pouvez forcer son application immédiate sur les postes de travail de l’OU en lançant un gpupdate /force depuis une invite de commande disposant des privilèges administratifs (s’agissant d’une modification affectant la configuration de la machine et non celle de l’utilisateur).

La bonne application de la GPO peut se vérifier en exécutant un gpresult /SCOPE COMPUTER /R depuis une invite de commande admin. La GPO SI-DisableSMBv1-SERVICE-ON-WORKSTATIONS doit figurer dans la liste des stratégies appliquées à la machine, sous COMPUTER SETTINGS >> Applied Group Policy Objects :

Le redémarrage de la machine est obligatoire afin que ce changement de configuration soit pris en compte.