Sdílet prostřednictvím

Vylepšení zabezpečení protokolu SMB

  • Článek

Tento článek vysvětluje vylepšení zabezpečení protokolu SMB ve Windows Serveru a Windows.

Šifrování SMB

Šifrování SMB poskytuje šifrování dat SMB od konce ke konci a chrání data před odposlechem na nedůvěryhodných sítích. Šifrování SMB můžete nasadit s minimálním úsilím, ale může vyžadovat další náklady na specializovaný hardware nebo software. Nemá žádné požadavky na akcelerátory protokolu IPsec (Internet Protocol Security) nebo WAN. Šifrování SMB je možné nakonfigurovat pro každou sdílenou složku, pro celý souborový server nebo při mapování jednotek.

Poznámka

Šifrování SMB nepokrývá zabezpečení neaktivních uložených dat, které obvykle zpracovává nástroj BitLocker Drive Encryption.

Šifrování PROTOKOLU SMB můžete zvážit pro jakýkoli scénář, ve kterém musí být citlivá data chráněná před útoky na zachycení. Mezi možné scénáře patří:

  • Citlivá data informačního pracovníka přesunete pomocí protokolu SMB. Šifrování SMB nabízí komplexní záruku ochrany osobních údajů a integrity mezi souborovým serverem a klientem. Poskytuje toto zabezpečení bez ohledu na procházené sítě, jako jsou připojení WAN (sítě s rozlehlou oblastí), která udržují poskytovatelé, kteří nejsou od společnosti Microsoft.
  • Protokol SMB 3.0 umožňuje souborovým serverům poskytovat nepřetržitě dostupné úložiště pro serverové aplikace, jako je SQL Server nebo Hyper-V. Povolování šifrování SMB umožňuje chránit informace před útoky odposlechu. Šifrování SMB je jednodušší než vyhrazená hardwarová řešení požadovaná pro většinu sítí SAN (Storage Area Network).

Windows Server 2022 a Windows 11 zavádí kryptografické sady AES-256-GCM a AES-256-CCM pro šifrování SMB 3.1.1. Systém Windows automaticky vyjedná tuto pokročilejší metodu šifry při připojování k jinému počítači, který ji podporuje. Tuto metodu můžete také nařídit prostřednictvím zásad skupiny. Windows stále podporuje AES-128-GCM a AES-128-CCM. AES-128-GCM je ve výchozím nastavení vyjednáván s protokolem SMB 3.1.1, což přináší nejlepší rovnováhu mezi zabezpečením a výkonem.

Windows Server 2022 a Windows 11 SMB Direct teď podporují šifrování. Dříve povolení šifrování SMB zakázalo přímé umístění dat, což zpomaluje výkon RDMA jako TCP. Teď se data před umístěním šifrují, což vede k relativně menšímu snížení výkonu při přidávání ochrany osobních údajů chráněných pakety AES-128 a AES-256. Šifrování můžete povolit pomocí Windows Admin Center, Set-SmbServerConfigurationnebo zásad skupiny posílení zabezpečení UNC.

Navíc clustery s podporou převzetí služeb při selhání Windows Serveru teď podporují podrobnou kontrolu šifrování komunikace úložiště uvnitř uzlů sdílených svazků clusteru (CSV) a vrstvy sběrnice úložiště (SBL). Tato podpora znamená, že při použití Prostorů úložiště s přímým přístupem a SMB Direct můžete šifrovat komunikaci mezi východem a západem v rámci samotného clusteru pro zajištění vyššího zabezpečení.

Důležitý

Při porovnání s nešifrovanými daty existují znatelné provozní náklady na výkon u ochran end-to-end šifrováním.

Povolení šifrování SMB

Šifrování SMB můžete povolit pro celý souborový server nebo jenom pro konkrétní sdílené složky. K povolení šifrování SMB použijte jeden z následujících postupů.

Povolení šifrování SMB pomocí Centra pro správu Windows

  1. Stáhněte a nainstalujte windows Admin Center.
  2. Připojte se k souborovém serveru.
  3. Vyberte soubory & sdílení souborů.
  4. Vyberte kartu Sdílené soubory.
  5. Pokud chcete vyžadovat šifrování sdílené složky, vyberte název sdílené složky a zvolte Povolit šifrování SMB.
  6. Pokud chcete vyžadovat šifrování na serveru, vyberte nastavení souborového serveru.
  7. V části šifrování protokolu SMB 3 vybertePožadováno ze všech klientů (ostatní jsou odmítnuti) a pak zvolte Uložit.

Povolení šifrování SMB s využitím posílení zabezpečení UNC

Posílení zabezpečení UNC umožňuje nakonfigurovat klienty SMB tak, aby vyžadovaly šifrování bez ohledu na nastavení šifrování serveru. Tato funkce pomáhá předcházet útokům odposlechu. Informace o konfiguraci posílení zabezpečení UNC najdete v tématu MS15-011: Ohrožení zabezpečení v zásadách skupiny by mohlo umožnit vzdálené spuštění kódu. Další informace o ochraně proti zachycujícím útokům najdete v tématu Jak bránit uživatele před útoky tohoto typu pomocí ochrany klienta SMB.

Povolení šifrování SMB pomocí Windows PowerShellu

  1. Přihlaste se k serveru a spusťte PowerShell na počítači v relaci se zvýšenými oprávněními.

  2. Pokud chcete povolit šifrování SMB pro jednotlivé sdílené složky, spusťte následující příkaz.

    Set-SmbShare –Name <sharename> -EncryptData $true

  3. Pokud chcete povolit šifrování SMB pro celý souborový server, spusťte následující příkaz.

    Set-SmbServerConfiguration –EncryptData $true

  4. Pokud chcete vytvořit novou sdílenou složku SMB s povoleným šifrováním SMB, spusťte následující příkaz.

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Mapování jednotek pomocí šifrování

  1. Pokud chcete povolit šifrování SMB při mapování jednotky pomocí PowerShellu, spusťte následující příkaz.

    New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE

  2. Pokud chcete povolit šifrování SMB při mapování jednotky pomocí cmD, spusťte následující příkaz.

    NET USE <drive letter> <UNC path> /REQUIREPRIVACY

Důležité informace o nasazení šifrování SMB

Pokud je pro sdílenou složku nebo server povolené šifrování SMB, mají přístup ke zadaným sdíleným složkám ve výchozím nastavení jenom klienti SMB 3.0, 3.02 a 3.1.1. Tento limit vynucuje záměr správce chránit data pro všechny klienty, kteří přistupují ke sdíleným složkám.

Za určitých okolností ale může správce chtít povolit nešifrovaný přístup pro klienty, kteří nepodporují protokol SMB 3.x. K této situaci může dojít během přechodného období, kdy se používají verze smíšeného klientského operačního systému. Pokud chcete povolit nešifrovaný přístup pro klienty, kteří nepodporují protokol SMB 3.x, zadejte v prostředí Windows PowerShell následující skript:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Poznámka

Nedoporučujeme povolit nešifrovaný přístup, pokud jste nasadili šifrování. Aktualizujte klienty tak, aby místo toho podporovaly šifrování.

Funkce integrity předběžného ověření popsaná v další části brání útoku na zachycení před downgradem připojení z protokolu SMB 3.1.1 na PROTOKOL SMB 2.x (který by používal nešifrovaný přístup). Nezabrání však downgrade na protokol SMB 1.0, což by také vedlo k nešifrovanému přístupu.

Chcete-li zaručit, že klienti SMB 3.1.1 vždy používají šifrování SMB pro přístup k šifrovaným sdíleným složkám, je nutné zakázat server SMB 1.0. Pokyny zobrazíte tak, že se připojíte k serveru pomocí Windows Admin Center a otevřete rozšíření Files & File Sharing, a pak vyberte kartu Sdílené složky, kde se zobrazí výzva k odinstalaci. Další informace naleznete v tématu Jak rozpoznat, povolit a zakázat SMBv1, SMBv2 a SMBv3 ve Windows.

Pokud je nastavení –RejectUnencryptedAccess ponecháno ve výchozím nastavení $true, mají přístup ke sdíleným složkám (klienti SMB 1.0 jsou také odmítnuti) pouze klienti podporující šifrování SMB 3.x.

Při nasazování šifrování SMB zvažte následující problémy:

  • Šifrování SMB používá algoritmus AES (Advanced Encryption Standard) -GCM a CCM k šifrování a dešifrování dat. AES-CMAC a AES-GMAC také poskytují ověřování integrity dat (podepisování) pro šifrované sdílené složky bez ohledu na nastavení podepisování PROTOKOLU SMB. Pokud chcete povolit podepisování SMB bez šifrování, můžete to udělat i nadále. Další informace najdete v tématu Konfigurace podepisování SMB bez starostí.
  • Při pokusu o přístup ke sdílené složce nebo serveru může dojít k problémům, pokud vaše organizace používá zařízení akcelerace sítě WAN (Wide Area Network).
  • Pokud v základním nastavení (kde není povolený žádný nešifrovaný přístup k šifrovaným sdíleným složkám) se klienti, kteří nepodporují protokol SMB 3.x, pokusí o přístup k šifrované sdílené složce, zaprotokoluje se událost s ID 1003 do protokolu událostí Microsoft-Windows-SmbServer/Operational a klient obdrží chybovou zprávu Přístup odepřen.
  • Šifrování SMB a systém souborů EFS (Encrypting File System) v systému souborů NTFS nesouvisejí a šifrování SMB nevyžaduje ani nezávisí na používání systému souborů EFS.
  • Šifrování SMB a šifrování jednotky BitLockeru nesouvisejí a šifrování SMB nevyžaduje ani nezávisí na použití nástroje BitLocker Drive Encryption.

Integrita předběžného ověření

Protokol SMB 3.1.1 je schopen detekovat útoky zachycení, které se pokusí downgradovat protokol nebo možnosti, které klient a server vyjednávají pomocí integrity předběžného ověření. Integrita předběžného ověřování je povinná funkce protokolu SMB 3.1.1. Chrání před jakoukoli manipulací se zprávami Negotiate a Session Setup pomocí kryptografického hashování. Výsledná hodnota hash se používá jako vstup pro odvození kryptografických klíčů relace, včetně podpisového klíče. Tento proces umožňuje klientovi a serveru vzájemně důvěřovat vlastnostem připojení a relace. Když klient nebo server takový útok zjistí, připojení se odpojí a v protokolu událostí Microsoft-Windows-SmbServer/Operational se zaprotokoluje ID události 1005.

Kvůli této ochraně a k využití všech funkcí šifrování SMB důrazně doporučujeme zakázat server SMB 1.0. Pokyny zobrazíte připojením k serveru pomocí centra Windows Admin Center a otevřením přípony Files & File Sharing (Sdílení souborů), poté vyberte kartu Sdílené složky a zobrazí se výzva k odinstalaci. Další informace naleznete v tématu Jak rozpoznat, povolit a zakázat SMBv1, SMBv2 a SMBv3 ve Windows.

Nový podpisový algoritmus

Protokol SMB 3.0 a 3.02 používají novější šifrovací algoritmus pro podepisování: Advanced Encryption Standard (AES) - kód pro ověřování zpráv založený na šifrovacím algoritmu (CMAC). Protokol SMB 2.0 používal starší šifrovací algoritmus HMAC-SHA256. AES-CMAC a AES-CCM mohou výrazně zrychlit šifrování dat u většiny moderních procesorů s podporou instrukcí AES.

Windows Server 2022 a Windows 11 zavádí AES-128-GMAC pro podepisování SMB 3.1.1. Systém Windows automaticky vyjedná tuto výkonnější metodu šifry při připojování k jinému počítači, který ji podporuje. Windows stále podporuje AES-128-CMAC. Další informace najdete v dokumentu Konfigurace podepisování SMB s důvěrou.

Zakázání protokolu SMB 1.0

Protokol SMB 1.0 není ve výchozím nastavení nainstalovaný ve Windows Serveru verze 1709 a Windows 10 verze 1709. Pokyny k odebrání protokolu SMB1 zobrazíte tak, že se připojíte k serveru pomocí Centra Windows Admin Center, otevřete rozšíření Soubory & Sdílení souborů a poté vyberete kartu Sdílené složky, kde budete vyzváni k odinstalaci. Další informace naleznete v tématu Jak rozpoznat, povolit a zakázat SMBv1, SMBv2 a SMBv3 ve Windows.

Pokud je stále nainstalovaný, měli byste protokol SMB1 okamžitě zakázat. Další informace o zjišťování a zakázání použití protokolu SMB 1.0 najdete v tématu Zastavení používání protokolu SMB1. Pro clearinghouse softwaru, který dříve nebo aktuálně vyžaduje protokol SMB 1.0, viz SMB1 Products Clearinghouse.