Delen via

SMB-beveiligingsverbeteringen

  • Artikel

In dit artikel worden de SMB-beveiligingsverbeteringen in Windows Server en Windows uitgelegd.

SMB-versleuteling

SMB-versleuteling biedt end-to-end-versleuteling van SMB-gegevens en beschermt gegevens tegen afluisterpogingen op onbetrouwbare netwerken. U kunt SMB-versleuteling met minimale inspanning implementeren, maar hiervoor zijn mogelijk andere kosten vereist voor gespecialiseerde hardware of software. Het heeft geen vereisten voor Internet Protocol-beveiliging (IPsec) of WAN-accelerators. SMB-versleuteling kan per gedeelde map worden geconfigureerd, voor de hele bestandsserver of bij het maken van stationskoppelingen.

Notitie

SMB-versleuteling heeft geen betrekking op beveiliging in rust, die doorgaans wordt verwerkt door BitLocker-stationsversleuteling.

U kunt SMB-versleuteling overwegen voor elk scenario waarin gevoelige gegevens moeten worden beveiligd tegen onderscheppingsaanvallen. Mogelijke scenario's zijn:

  • U verplaatst de gevoelige gegevens van een informatiemedewerker met behulp van het SMB-protocol. SMB-versleuteling biedt een end-to-end privacy- en integriteitscontrole tussen de bestandsserver en de client. Het biedt deze beveiliging, ongeacht de netwerken die worden doorkruist, zoals WAN-verbindingen (Wide Area Network) die worden onderhouden door niet-Microsoft-providers.
  • Met SMB 3.0 kunnen bestandsservers continu beschikbare opslag bieden voor servertoepassingen, zoals SQL Server of Hyper-V. Het inschakelen van SMB-versleuteling biedt de mogelijkheid om die informatie te beschermen tegen snooping-aanvallen. SMB-versleuteling is eenvoudiger te gebruiken dan de toegewezen hardwareoplossingen die vereist zijn voor de meeste SAN's (Storage Area Networks).

Windows Server 2022 en Windows 11 introduceren AES-256-GCM en AES-256-CCM cryptografische suites voor SMB 3.1.1-versleuteling. Windows onderhandelt automatisch over deze geavanceerdere coderingsmethode wanneer u verbinding maakt met een andere computer die dit ondersteunt. U kunt deze methode ook verplichten via Groepsbeleid. Windows ondersteunt nog steeds AES-128-GCM en AES-128-CCM. AES-128-GCM wordt standaard onderhandeld met SMB 3.1.1, waardoor de beste balans tussen beveiliging en prestaties wordt bereikt.

Windows Server 2022 en Windows 11 SMB Direct ondersteunen nu versleuteling. Voorheen heeft het inschakelen van SMB-versleuteling directe gegevensplaatsing uitgeschakeld, waardoor RDMA-prestaties net zo traag zijn als TCP. Gegevens worden nu versleuteld voordat ze worden geplaatst, wat leidt tot relatief kleine prestatievermindering tijdens het toevoegen van AES-128- en AES-256-beveiligde pakketprivacy. U kunt versleuteling inschakelen met Windows Admin Center, Set-SmbServerConfigurationof UNC Hardening-groepsbeleid.

Bovendien bieden Windows Server-failoverclusters nu ondersteuning voor gedetailleerde controle over het versleutelen van opslagcommunicatie tussen knooppunten voor gedeelde clustervolumes (CSV) en de opslagbuslaag (SBL). Deze ondersteuning betekent dat u bij het gebruik van Opslagruimten Direct en SMB Direct de communicatie in oost-west binnen het cluster zelf kunt versleutelen voor een hogere beveiliging.

Belangrijk

Er zijn aanzienlijke operationele prestatiekosten bij end-to-end-versleuteling in vergelijking met niet-versleutelde verbindingen.

SMB-versleuteling inschakelen

U kunt SMB-versleuteling inschakelen voor de hele bestandsserver of alleen voor specifieke bestandsshares. Gebruik een van de volgende procedures om SMB-versleuteling in te schakelen.

SMB-versleuteling inschakelen met Het Windows-beheercentrum

  1. Download en installeer Windows Admin Center.
  2. Maak verbinding met de bestandsserver.
  3. Selecteer Bestanden & het delen van bestanden.
  4. Selecteer het tabblad Bestandsdeling.
  5. Als u versleuteling voor een share wilt vereisen, selecteert u de naam van de share en kiest u SMB-versleuteling inschakelen.
  6. Als u versleuteling op de server wilt vereisen, selecteert u bestandsserverinstellingen.
  7. Selecteer onder SMB 3-versleutelingVereist voor alle clients (anderen worden geweigerd)en kies vervolgens Opslaan.

SMB-versleuteling inschakelen met UNC-versterking

Met UNC-beveiliging kunt u SMB-clients zo configureren dat versleuteling is vereist, ongeacht de instellingen voor serverversleuteling. Deze functie helpt onderscheppingsaanvallen te voorkomen. Om UNC-beveiliging te configureren, zie MS15-011: Beveiligingsprobleem in groepsbeleid kan externe code-uitvoeringtoestaan. Zie Hoe Gebruikers te Verdedigen tegen Onderschepping Aanvallen via SMB Client Defensevoor meer informatie over verdedigingen tegen onderschepping aanvallen.

SMB-versleuteling inschakelen met Windows PowerShell

  1. Meld u aan bij uw server en voer PowerShell uit op uw computer in een sessie met verhoogde bevoegdheid.

  2. Voer de volgende opdracht uit om SMB-versleuteling in te schakelen voor een afzonderlijke bestandsshare.

    Set-SmbShare –Name <sharename> -EncryptData $true

  3. Voer de volgende opdracht uit om SMB-versleuteling in te schakelen voor de hele bestandsserver.

    Set-SmbServerConfiguration –EncryptData $true

  4. Voer de volgende opdracht uit om een nieuwe SMB-bestandsshare te maken waarvoor SMB-versleuteling is ingeschakeld.

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Netwerkstations toewijzen met versleuteling

  1. Als u SMB-versleuteling wilt inschakelen bij het toewijzen van een station met behulp van PowerShell, voert u de volgende opdracht uit.

    New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE

  2. Als u SMB-versleuteling wilt inschakelen bij het toewijzen van een station met behulp van CMD, voert u de volgende opdracht uit.

    NET USE <drive letter> <UNC path> /REQUIREPRIVACY

Overwegingen voor het implementeren van SMB-versleuteling

Wanneer SMB-versleuteling is ingeschakeld voor een bestandsshare of server, hebben alleen SMB 3.0-, 3.02- en 3.1.1-clients toegang tot de opgegeven bestandsshares. Deze limiet dwingt de intentie van de beheerder af om de gegevens te beveiligen voor alle clients die toegang hebben tot de shares.

In sommige gevallen wil een beheerder echter niet-versleutelde toegang toestaan voor clients die SMB 3.x niet ondersteunen. Deze situatie kan optreden tijdens een overgangsperiode wanneer versies van gemengde clientbesturingssystemen worden gebruikt. Als u niet-versleutelde toegang wilt toestaan voor clients die geen ondersteuning bieden voor SMB 3.x, voert u het volgende script in Windows PowerShell in:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Notitie

Het wordt afgeraden om niet-versleutelde toegang toe te staan wanneer u versleuteling hebt geïmplementeerd. Werk de clients bij om in plaats daarvan versleuteling te ondersteunen.

Met de functie voor verificatie vooraf die in de volgende sectie wordt beschreven, voorkomt u dat een onderscheppingsaanval een verbinding van SMB 3.1.1 naar SMB 2.x downgradet (die gebruikmaakt van niet-versleutelde toegang). Het voorkomt echter geen downgrade naar SMB 1.0, wat ook zou leiden tot niet-versleutelde toegang.

Als u wilt garanderen dat SMB 3.1.1-clients altijd SMB-versleuteling gebruiken voor toegang tot versleutelde shares, moet u de SMB 1.0-server uitschakelen. Voor instructies maakt u verbinding met de server bij het Windows-beheercentrum en opent u de extensie Bestanden & Bestandsdeling. Vervolgens selecteert u het tabblad Bestandsdelen om te worden gevraagd om het te verwijderen. Zie SMBv1, SMBv2 en SMBv3 detecteren, inschakelen en uitschakelen in Windowsvoor meer informatie.

Als de instelling –RejectUnencryptedAccess is ingesteld op de standaardinstelling van $true, mogen alleen SMB 3.x-clients die geschikt zijn voor versleuteling, toegang krijgen tot de bestandsshares (SMB 1.0-clients worden ook geweigerd).

Houd rekening met de volgende problemen bij het implementeren van SMB-versleuteling:

  • SMB Encryption maakt gebruik van het AES-algoritme (Advanced Encryption Standard) -GCM en CCM om de gegevens te versleutelen en ontsleutelen. AES-CMAC en AES-GMAC bieden ook validatie van gegevensintegriteit (ondertekening) voor versleutelde bestandsshares, ongeacht de SMB-ondertekeningsinstellingen. Als u SMB-ondertekening zonder versleuteling wilt inschakelen, kunt u dit blijven doen. Zie SMB-ondertekening configureren met betrouwbaarheidvoor meer informatie.
  • Er kunnen problemen optreden wanneer u toegang probeert te krijgen tot de bestandsdeling of server als uw organisatie Wide Area Network (WAN)-versnellingsapparaten gebruikt.
  • Met een standaardconfiguratie (waarbij er geen niet-versleutelde toegang is toegestaan voor versleutelde bestandsshares), als clients die geen ondersteuning bieden voor SMB 3.x toegang proberen te krijgen tot een versleutelde bestandsshare, wordt gebeurtenis-id 1003 vastgelegd in het Microsoft-Windows-SmbServer/Operationeel gebeurtenislogboek en ontvangt de client een Toegang geweigerd foutbericht.
  • SMB Encryption en het Encrypting File System (EFS) in het NTFS-bestandssysteem zijn niet gerelateerd en SMB-versleuteling vereist of is niet afhankelijk van het gebruik van EFS.
  • SMB-versleuteling en BitLocker-stationsversleuteling zijn niet gerelateerd en SMB-versleuteling is niet vereist of is afhankelijk van het gebruik van BitLocker-stationsversleuteling.

Integriteit van verificatie vooraf

SMB 3.1.1 kan onderscheppingsaanvallen detecteren die proberen het protocol te downgraden of de mogelijkheden die de client en server onderhandelen door gebruik te maken van preauthenticatie-integriteit. Integriteit van verificatie vooraf is een verplichte functie in SMB 3.1.1. Het beschermt tegen manipulatie van Negotiate- en Sessiestartberichten door gebruik te maken van cryptografische hashing. De resulterende hash wordt gebruikt als invoer om de cryptografische sleutels van de sessie af te leiden, inclusief de ondertekeningssleutel. Met dit proces kunnen de client en server de eigenschappen van de verbinding en sessie wederzijds vertrouwen. Wanneer de client of de server een dergelijke aanval detecteert, wordt de verbinding verbroken en wordt gebeurtenis-id 1005 geregistreerd in het Microsoft-Windows-SmbServer/Operational-gebeurtenislogboek.

Vanwege deze beveiliging en om te profiteren van de volledige mogelijkheden van SMB-versleuteling, raden we u ten zeerste aan de SMB 1.0-server uit te schakelen. Voor instructies maakt u verbinding met de server met het Windows-beheercentrum en opent u de extensie Bestanden & bestandsdeling en selecteert u vervolgens het tabblad bestandsshares om te worden gevraagd de installatie ongedaan te maken. Zie SMBv1, SMBv2 en SMBv3 detecteren, inschakelen en uitschakelen in Windowsvoor meer informatie.

Nieuw handtekeningalgoritme

SMB 3.0 en 3.02 gebruiken een recentere versleutelingsalgoritme voor ondertekening: Advanced Encryption Standard (AES)-coderingscode voor berichtverificatie (CMAC). SMB 2.0 gebruikte het oudere HMAC-SHA256-versleutelingsalgoritmen. AES-CMAC en AES-CCM kunnen gegevensversleuteling aanzienlijk versnellen op de meeste moderne CPU's met ondersteuning voor AES-instructies.

Windows Server 2022 en Windows 11 introduceren AES-128-GMAC voor SMB 3.1.1-ondertekening. Windows onderhandelt automatisch over deze beter presterende coderingsmethode wanneer u verbinding maakt met een andere computer die dit ondersteunt. Windows ondersteunt nog steeds AES-128-CMAC. Zie SMB-ondertekening configureren met betrouwbaarheidvoor meer informatie.

SMB 1.0 uitschakelen

SMB 1.0 is niet standaard geïnstalleerd vanaf Windows Server versie 1709 en Windows 10 versie 1709. Voor instructies voor het verwijderen van SMB1 maakt u verbinding met de server met Windows Admin Center, opent u de extensie Bestanden & bestandsdeling en selecteert u vervolgens het tabblad bestandsshares om te worden gevraagd om te deïnstalleren. Zie SMBv1, SMBv2 en SMBv3 detecteren, inschakelen en uitschakelen in Windowsvoor meer informatie.

Als deze nog steeds is geïnstalleerd, moet u SMB1 onmiddellijk uitschakelen. Zie Stop using SMB1voor meer informatie over het detecteren en uitschakelen van SMB 1.0-gebruik. Zie SMB1 Product Clearinghousevoor een clearinghouse van software waarvoor eerder of momenteel SMB 1.0 is vereist.