Un partage réseau qui fonctionnait hier peut cesser brusquement sous Windows 11 : voici comment diagnostiquer, réparer et sécuriser l’accès à vos dossiers partagés, même après les mises à jour cumulatives les plus récentes.
Contexte : quand un partage Windows lâche sans prévenir
Vous gérez deux PC sous Windows 11 sur le même réseau domestique : jusqu’à la semaine dernière, le poste CLIENT accédait sans mot de passe au dossier \\SERVEUR\Media. Du jour au lendemain, l’explorateur affiche une invite « Enter network credentials »; la saisie de Guest, d’un compte Microsoft ou même de l’utilisateur local échoue invariablement. Pourtant :
- La découverte du réseau est activée ;
- Le partage de fichiers et d’imprimantes est autorisé dans les paramètres avancés ;
- Le dossier est donné en « Contrôle total » à
Everyoneau niveau NTFS et partage ; - Le Partage protégé par mot de passe est désactivé ;
- Les GPO
AllowInsecureGuestAuthetEnable insecure guest logonssont déjà activées côté SERVEUR.
Alors, pourquoi cela ne marche-t‑il plus ? La réponse tient en une subtilité : la stratégie doit être active sur le client autant que sur l’hôte.
Solution express : activer le guest côté client
- Sur le PC CLIENT, ouvrez gpedit.msc.
- Naviguez vers :
Configuration ordinateur ► Modèles d’administration ► Réseau ► Station de travail Lanman - Double‑cliquez Autoriser les connexions invité non sécurisées et choisissez Activé.
- Validez, puis exécutez gpupdate /force ou redémarrez.
- Revenez dans l’explorateur :
\\SERVEUR\Mediase monte de nouveau sans authentification.
Pourquoi l’activation côté serveur ne suffit pas ?
Depuis Windows 10 1709, Microsoft exige que la station de travail valide expressément l’usage du mode invité ; sans cette approbation, même un serveur prêt à accepter l’anonymat vous demandera des identifiants non reconnus.
Analyse détaillée : comprendre pour éviter la rechute
| Point clé | Pourquoi c’est important | Suggestion pratique |
|---|---|---|
| SMB invité | Sans authentification, toute personne sur le LAN peut lire/écrire. Microsoft durcit donc régulièrement son activation. | Pour les données sensibles, créez un compte local dédié (share_user) et limitez les autorisations NTFS. |
| SMB 1 vs SMB 2/3 | SMB1 n’est plus corrigé depuis 2014. Activer Enable insecure guest logons laisse SMB2/3 intact, donc moins risqué que réactiver SMB1. | Vérifiez l’état SMB1 :Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol doit renvoyer Désactivé. |
| Pare‑feu / Antivirus | Certains suites bloquent le port 445, indispensable à SMB. | Désactivez temporairement, testez, puis créez une règle ciblant %SystemRoot%\System32\svchost.exe sur TCP 445 entrant. |
| Mises à jour Windows | Chaque Patch Tuesday peut réinitialiser les stratégies « guest ». | Documentez la procédure ; si l’accès retombe, réappliquez la GPO et conservez un script .reg/.ps1 de secours. |
Étapes de diagnostic avancé
- Journal des événements :
Observateur d’événements ► Journaux Windows ► Sécurité
Filtrez les ID :4625(échec d’ouverture de session) et5140(accès partage) pour repérer des refus récents. - Vérification du protocole SMB :
Get-SmbConnectiondepuis le client liste la version négociée ; l’absence de sortie confirme l’échec de session. - Analyse réseau :
Lanceznetstat -ano | find ":445"sur les deux PCs ; le statut LISTENING doit figurer côté serveur et ESTABLISHED côté client après correction. - Robocopy en mode test :
robocopy \\SERVEUR\Media C:\Test /L /R:0: le commutateur/Lsimule la copie ; si aucune erreur 5 (Access denied) n’apparaît, le partage est rétabli.
Approches plus sûres que le guest
1. Partage authentifié minimaliste
Créez sur SERVEUR :
net user share_user "MotDePasseFort#" /add
icacls D:\Media /grant share_user:(OI)(CI)MPuis, depuis CLIENT :
net use \\SERVEUR\Media /user:SERVEUR\share_user Vous obtenez la protection d’un mot de passe local, sans dépendre d’un compte Microsoft.
2. Synchronisation ponctuelle
- Robocopy : planifiez la commande avec
/MIR /Z /FFTpour des copies delta. - Syncthing ou Resilio : multiplateforme, chiffré TLS, idéal pour un foyer multi‑OS.
- Câble USB‑C host‑to‑host : un transfert direct à 10 Gb/s sans configuration réseau.
3. NAS ou Raspberry Pi avec Samba
Un Raspberry Pi 5 consomme 5 W en veille et sert de serveur dédié. Configurez map to guest = never pour forcer l’authentification, tout en gardant le confort d’un partage Windows natif.
Bonnes pratiques pour un LAN sans tracas
- Documentez vos GPO dans un fichier .md versionné sur Git : vous repérez vite ce qui a changé.
- Créez un point de restauration avant de toucher au registre ou aux fonctionnalités facultatives.
- Segmentez votre réseau Wi‑Fi : isolez l’IoT sur un VLAN invité, réservez le LAN principal aux PC de confiance.
- Surveillez l’usage des ports :
Get-NetTCPConnection -LocalPort 445vous alerte en cas de service exotique ouvert. - Automatisez les correctifs avec Intune ou un script PowerShell signé pour pousser la GPO après chaque mise à niveau.
FAQ – Questions récurrentes
Activer SMB 1 règlerait-il le problème plus vite ?
Oui… mais au prix d’une faille béante (EternalBlue, WannaCry !). SMB1 n’assure ni intégrité ni chiffrement. Ne l’activez qu’en dernier recours sur un segment isolé et temporairement.
Le partage cesse encore après chaque mise à jour cumulée ; que faire ?
Utilisez la Console de gestion des stratégies de groupe pour exporter vos GPO au format .gpoBackup. Après une mise à niveau (par ex. 23H2 → 24H2), ré‑importez-la en un clic.
Puis‑je mêler comptes Microsoft et comptes locaux ?
Oui. Windows 11 accepte parfaitement un mix : le serveur peut rester connecté à un compte Microsoft (OneDrive, M365) tandis que le dossier partagé s’appuie sur un simple compte local.
Avantage : si le mot de passe Microsoft change, le partage local reste valide.
Conclusion
Le blocage provenait d’un détail souvent négligé : la GPO “Enable insecure guest logons” doit être activée côté client. En la rétablissant, votre partage invité refonctionne sans effort. Pensez néanmoins à migrer vers un accès authentifié pour toute donnée privée : le gain de sécurité dépasse largement le surcroît de gestion des comptes.
Astuce finale : conservez un .reg auto‑exécutable qui positionne la clé HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\AllowInsecureGuestAuth=1 (DWORD). Vous rétablirez l’accès en deux clics, même sur une machine fraîchement réinstallée.