Limiter l’accès au partage de fichiers par IP sous Windows 11

Restreindre l’accès au partage de fichiers via une liste blanche d’adresses IP de confiance est une stratégie essentielle pour renforcer les défenses du réseau contre les ransomwares, les logiciels malveillants et les intrusions non autorisées dans les environnements professionnels et les LAN de jeu.

Le partage de fichiers via le protocole SMB (Server Message Block) simplifie la collaboration des données sur les réseaux locaux. Pourtant, cette commodité ouvre une brèche de sécurité critique. N’importe quel périphérique du même sous‑réseau peut potentiellement afficher, modifier ou chiffrer les dossiers que vous partagez. Windows 11 active le partage dès que la découverte du réseau est activée. Dès lors, un filtrage d’accès strict au niveau du réseau est indispensable. Une technique de liste blanche d’adresses IP via le Pare‑feu Windows Defender restreint l’accès au partage de fichiers exclusivement aux adresses de confiance. Cette approche remplace la dépendance à des mots de passe facilement compromis par des identités réseau difficiles à usurper.

Prérequis système et préparation du réseau

Avant de commencer, assurez‑vous que tous les ordinateurs résident dans un seul sous‑réseau local. Des adresses IP statiques sont fortement recommandées tant pour le serveur que pour les clients. Le DHCP offre certes de la commodité, mais il peut rompre la connectivité lorsque les baux expirent et que les appareils reçoivent de nouvelles attributions. Vous devez également disposer des privilèges d’administrateur sur le PC qui jouera le rôle de serveur de fichiers. Vérifiez que le Pare‑feu Windows Defender est actif et qu’il n’est pas supplanté par un logiciel de sécurité tiers. Les services Serveur et Station de travail doivent eux aussi fonctionner normalement pour que le protocole SMB soit opérationnel. Ces prérequis établissent une base fiable.

À lire aussi : Bloquer Accès Internet Applications avec Pare-feu Windows

Fonctionnement de SMB et risques de sécurité

Le protocole SMB opère au niveau de la couche application et utilise généralement le port TCP 445 pour une communication directe. Ce chemin devient fréquemment un vecteur de cyberattaques. Le ver WannaCry, par exemple, s’est propagé via les vulnérabilités de SMBv1. Même si Windows 11 désactive SMBv1 par défaut, activer le partage de fichiers sans filtrage IP reste dangereux. Les attaques par force brute ou la propagation de ransomwares depuis un appareil interne déjà compromis restent des menaces bien réelles. En mettant en œuvre une liste blanche IP, vous créez un micro‑périmètre de sécurité. Seuls les paquets de données provenant des adresses enregistrées peuvent atteindre le port du service de fichiers. Cette technique excelle pour isoler l’accès entre départements ou entre dossiers de jeux lors d’une LAN party.

Étape 1 : Activer la fonction de partage de fichiers

La configuration initiale exige l’activation du service de partage sur le système d’exploitation. Suivez cette procédure pour bâtir la fondation avant d’ajouter la couche de sécurité :

1. Ouvrez les Paramètres en pressant la combinaison de touches (WIN + I).
2. Naviguez jusqu’à Réseau et Internet, puis sélectionnez Paramètres réseau avancés.
3. Sous Plus de paramètres, cliquez sur Paramètres de partage avancés.
4. Dans la section Réseau privé, basculez les commutateurs Découverte de réseau et Partage de fichiers et d’imprimantes sur la position activée.

Ensuite, désactivez le partage protégé par mot de passe pour simplifier les tests. Ainsi, le filtrage repose uniquement sur l’identité réseau sans interférence des informations d’identification.

5. Faites défiler jusqu’à la section Tous les réseaux et sélectionnez Désactiver le partage protégé par mot de passe.
6. Cliquez sur Enregistrer les modifications pour appliquer la configuration.

Étape 2 : Partager un dossier spécifique

Une fois le service actif, choisissez le répertoire local que vous souhaitez exposer. Cette étape combine les permissions du système de fichiers NTFS et les autorisations de partage pour une compatibilité totale.

1. Lancez l’Explorateur de fichiers et localisez le dossier cible.
2. Faites un clic droit sur le dossier et sélectionnez Propriétés dans le menu contextuel.
3. Basculez vers l’onglet Partage et cliquez sur le bouton Partage avancé.
4. Cochez la case Partager ce dossier. Vous pouvez personnaliser le Nom du partage pour une identification plus facile.
5. Cliquez sur Autorisations pour gérer les droits d’accès au niveau réseau.

Dans la fenêtre Autorisations, accordez le Contrôle total ou au minimum la Lecture au groupe Tout le monde. L’objectif est d’éviter un double blocage. Le pare‑feu filtrera le trafic ultérieurement, ces autorisations garantissent donc simplement que les clients qui franchissent le filtre ne soient pas entravés par des refus au niveau du système de fichiers.

Étape 3 : Tester la connectivité initiale

Avant d’appliquer le moindre filtre, validez que le dossier est accessible depuis un autre client. Utilisez un second ordinateur sur le réseau et tapez le chemin UNC dans la barre d’adresse de l’Explorateur de fichiers.

\\192.168.1.100

Remplacez l’IP d’exemple par l’adresse locale de votre PC serveur. Si le dossier partagé apparaît, la configuration de base a réussi. Notez les adresses IP des machines clientes auxquelles vous comptez accorder un accès exclusif avant de passer à l’étape de sécurité.

Configuration centrale : Restreindre l’accès au partage de fichiers avec le pare‑feu

Le cœur de cette stratégie de sécurité consiste à bloquer globalement tout le trafic SMB entrant, puis à créer des exceptions précises pour les adresses IP de confiance. Cette méthode garantit que toute analyse du port 445 provenant d’un périphérique inconnu soit rejetée en silence.

1. Bloquer les règles par défaut de partage de fichiers et d’imprimantes

La première action consiste à désactiver les règles intégrées trop permissives que le système d’exploitation applique automatiquement.

1. Ouvrez le Panneau de configuration et accédez à Système et sécurité > Pare‑feu Windows Defender.
2. Cliquez sur Autoriser une application ou une fonctionnalité via le Pare‑feu Windows Defender dans le volet de gauche.
3. Cliquez sur le bouton Modifier les paramètres pour activer l’édition. Des privilèges administrateur sont nécessaires.
4. Faites défiler la liste et décochez toutes les cases associées à Partage de fichiers et d’imprimantes et à Partage de fichiers et d’imprimantes sur SMBDirect. Cela coupe l’ensemble des connexions entrantes vers les ressources partagées.

2. Créer une règle personnalisée de liste blanche d’IP (règle entrante)

Une fois le blocage global en place, nous construisons une « porte dérobée » que seules les adresses désignées peuvent franchir. Cela s’effectue via le Pare‑feu Windows Defender avec fonctions avancées de sécurité.

1. Sur la page principale du Pare‑feu Windows Defender, choisissez Paramètres avancés dans le volet de gauche.
2. Faites un clic droit sur le nœud Règles entrantes et sélectionnez Nouvelle règle.

3. Sur l’écran Type de règle, choisissez Personnalisée pour un contrôle complet des paquets. Cliquez sur Suivant.
4. Sous Programme, sélectionnez Tous les programmes. Cliquez sur Suivant.
5. À l’étape Protocole et ports, configurez :
   • Type de protocole : TCP
   • Port local : Ports spécifiques et entrez 445.
   Cliquez sur Suivant.

La phase la plus critique consiste à définir la liste blanche sur la page Étendue. La précision lors de la saisie des adresses IP est essentielle.

6. À l’étape Étendue, repérez À quelles adresses IP distantes cette règle s’applique‑t‑elle ?.
7. Choisissez Ces adresses IP et cliquez sur le bouton Ajouter.
8. Saisissez les adresses IP spécifiques des PC ou serveurs que vous souhaitez autoriser. Vous pouvez ajouter une seule IP ou un sous‑réseau entier en notation CIDR.
9. Cliquez sur Suivant à l’étape Action et conservez Autoriser la connexion sélectionné.
10. À l’étape Profil, laissez tous les profils (Domaine, Privé, Public) cochés, puis cliquez sur Suivant.
11. Attribuez un nom descriptif à la règle, par exemple Allow_SMB_Trusted_IPs. Cliquez sur Terminer.

Priorité des règles : Veillez à ce que la règle Autoriser nouvellement créée figure en haut de la liste des Règles entrantes. Windows traite les règles de manière hiérarchique ; une règle de blocage peut donc primer sur une règle d’autorisation si elle est placée plus haut.

Vérification et dépannage post‑configuration

Une fois la règle créée, il est impératif de tester depuis les deux côtés. Accédez au dossier partagé depuis un client dont l’IP figure dans la liste blanche. La connexion devrait s’établir sans problème. Essayez ensuite d’accéder depuis un périphérique qui n’est pas répertorié. Le système doit afficher un message d’échec tel que « Windows ne peut pas accéder… » ou une invite d’identification qui échoue finalement.

Si les connexions échouent encore, videz le cache DNS à l’aide de ipconfig /flushdns dans une invite de commandes. Vérifiez également la présence de règles de blocage conflictuelles qui pourraient interférer. Pour une sécurité renforcée, combinez ce filtrage IP avec le chiffrement SMBv3 afin de protéger les données en transit. De nombreux administrateurs pensent également qu’il est utile d’activer l’enregistrement d’audit pour tracer toute tentative d’accès illicite.

Cas d’usage professionnels et mise en œuvre

Dans les environnements professionnels, la liste blanche IP s’avère inestimable. Une équipe de développement a seulement besoin de partager un dossier de build avec une machine CI/CD disposant d’une adresse fixe. De même, les administrateurs de serveurs de jeux peuvent empêcher les joueurs ordinaires de manipuler les fichiers de configuration vulnérables. Cette méthode s’inscrit dans une stratégie de défense en profondeur. Aucun administrateur ne devrait se reposer uniquement sur les filtres IP ; activez systématiquement les journaux d’audit Windows pour surveiller les tentatives non autorisées. Explorez la documentation officielle pour approfondir : Microsoft SMB Overview et le Windows Firewall Configuration Guide.