Partilhar via

Melhorias na segurança SMB

  • Artigo

Este artigo explica os aprimoramentos de segurança SMB no Windows Server e no Windows.

Encriptação SMB

A criptografia SMB fornece criptografia de ponta a ponta de dados SMB e protege os dados contra ocorrências de espionagem em redes não confiáveis. Você pode implantar a criptografia SMB com o mínimo de esforço, mas isso pode exigir outros custos para hardware ou software especializado. Ele não tem requisitos para segurança do protocolo Internet (IPsec) ou aceleradores WAN. A criptografia SMB pode ser configurada por compartilhamento, para todo o servidor de arquivos ou ao mapear unidades.

Observação

A Criptografia SMB não cobre a segurança em repouso, que normalmente é tratada pela Criptografia de Unidade de Disco BitLocker.

Você pode considerar a criptografia SMB para qualquer cenário em que os dados confidenciais precisem ser protegidos contra ataques de intercetação. Os cenários possíveis incluem:

  • Você move os dados confidenciais de um operador de informações usando o protocolo SMB. A criptografia SMB oferece uma garantia de privacidade e integridade de ponta a ponta entre o servidor de arquivos e o cliente. Ele fornece essa segurança independentemente das redes percorridas, como conexões de rede de longa distância (WAN) mantidas por provedores que não são da Microsoft.
  • O SMB 3.0 permite que os servidores de arquivos forneçam armazenamento continuamente disponível para aplicativos de servidor, como SQL Server ou Hyper-V. Habilitar a criptografia SMB oferece uma oportunidade de proteger essas informações contra ataques de espionagem. A criptografia SMB é mais simples de usar do que as soluções de hardware dedicadas necessárias para a maioria das SANs (Storage Area Network, redes de armazenamento de dados).

O Windows Server 2022 e o Windows 11 apresentam pacotes criptográficos AES-256-GCM e AES-256-CCM para criptografia SMB 3.1.1. O Windows negoceia automaticamente este método de cifragem mais avançado quando se liga a outro computador que o suporta. Você também pode exigir esse método por meio da Diretiva de Grupo. O Windows ainda suporta AES-128-GCM e AES-128-CCM. Por padrão, o AES-128-GCM é negociado com o SMB 3.1.1, trazendo o melhor equilíbrio entre segurança e desempenho.

O Windows Server 2022 e o Windows 11 SMB Direct agora oferecem suporte à criptografia. Anteriormente, a ativação da criptografia SMB desativava o posicionamento direto dos dados, tornando o desempenho do RDMA tão lento quanto o TCP. Agora, os dados são criptografados antes do posicionamento, levando a uma degradação de desempenho relativamente pequena ao adicionar privacidade de pacotes protegida AES-128 e AES-256. Você pode habilitar a criptografia usando Windows Admin Center, Set-SmbServerConfigurationou política de grupo UNC Hardening.

Além disso, os clusters de failover do Windows Server suportam agora o controlo granular da encriptação das comunicações de armazenamento intra-nó para os Volumes Compartilhados de Cluster (CSV) e a camada de barramento de armazenamento (SBL). Esse suporte significa que, ao usar o Storage Spaces Direct e o SMB Direct, você pode criptografar comunicações leste-oeste dentro do próprio cluster para maior segurança.

Importante

Existe um custo notável de desempenho operacional associado a qualquer proteção de criptografia de ponta a ponta, quando comparada a métodos não criptografados.

Ativar criptografia SMB

Você pode habilitar a criptografia SMB para todo o servidor de arquivos ou apenas para compartilhamentos de arquivos específicos. Use um dos procedimentos a seguir para habilitar a criptografia SMB.

Habilitar a criptografia SMB com o Windows Admin Center

  1. Transfira e instale Windows Admin Center.
  2. Conecte-se ao servidor de arquivos.
  3. Selecione Arquivos & compartilhamento de arquivos.
  4. Selecione o separador Compartilhamentos de arquivos.
  5. Para exigir criptografia em um compartilhamento, selecione o nome do compartilhamento e escolha Habilitar criptografia SMB.
  6. Para exigir criptografia no servidor, selecione Configurações do servidor de arquivos.
  7. Na criptografia SMB 3 , selecione Obrigatório para todos os clientes (outros são rejeitados)e em seguida escolha Salvar.

Ative a criptografia SMB com reforço de segurança UNC

UNC Hardening permite configurar clientes SMB para exigir criptografia, independentemente das configurações de criptografia do servidor. Esse recurso ajuda a evitar ataques de intercetação. Para configurar o UNC Hardening, consulte MS15-011: Vulnerabilidade na Diretiva de Grupo pode permitir a execução remota de código. Para obter mais informações sobre defesas de ataque de interceção, consulte Como defender utilizadores de ataques de interceção através da defesa do cliente SMB.

Habilitar a criptografia SMB com o Windows PowerShell

  1. Entre no servidor e execute o PowerShell no computador em uma sessão com privilégios elevados.

  2. Para habilitar a criptografia SMB para um compartilhamento de arquivos individual, execute o seguinte comando.

    Set-SmbShare –Name <sharename> -EncryptData $true

  3. Para habilitar a criptografia SMB para todo o servidor de arquivos, execute o seguinte comando.

    Set-SmbServerConfiguration –EncryptData $true

  4. Para criar um novo compartilhamento de arquivos SMB com a Criptografia SMB habilitada, execute o seguinte comando.

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Mapear unidades com criptografia

  1. Para habilitar a Criptografia SMB ao mapear uma unidade usando o PowerShell, execute o seguinte comando.

    New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE

  2. Para habilitar a criptografia SMB ao mapear uma unidade usando CMD, execute o seguinte comando.

    NET USE <drive letter> <UNC path> /REQUIREPRIVACY

Considerações para implantar a criptografia SMB

Por padrão, quando a Criptografia SMB está habilitada para um compartilhamento de arquivos ou servidor, somente os clientes SMB 3.0, 3.02 e 3.1.1 têm permissão para acessar os compartilhamentos de arquivos especificados. Esse limite reforça a intenção do administrador de proteger os dados de todos os clientes que acessam os compartilhamentos.

No entanto, em algumas circunstâncias, um administrador pode querer permitir acesso não criptografado para clientes que não suportam SMB 3.x. Essa situação pode ocorrer durante um período de transição quando versões mistas do sistema operacional cliente estão sendo usadas. Para permitir acesso não criptografado para clientes que não oferecem suporte ao SMB 3.x, insira o seguinte script no Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Observação

Não recomendamos permitir o acesso não criptografado quando você tiver implantado a criptografia. Em vez disso, atualize os clientes para oferecer suporte à criptografia.

O recurso de integridade de pré-autenticação descrito na próxima seção impede que um ataque de intercetação faça o downgrade de uma conexão do SMB 3.1.1 para o SMB 2.x (que usaria acesso não criptografado). No entanto, isso não impede um downgrade para SMB 1.0, o que também resultaria em acesso não criptografado.

Para garantir que os clientes SMB 3.1.1 sempre usem a criptografia SMB para acessar compartilhamentos criptografados, você deve desabilitar o servidor SMB 1.0. Para obter instruções, conecte-se ao servidor com o Windows Admin Center e abra a extensão Files & File Sharing, depois selecione o separador File shares para prosseguir com a desinstalação. Para obter mais informações, consulte Como detetar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows.

Se a configuração –RejectUnencryptedAccess for deixada em sua configuração padrão de $true, somente clientes SMB 3.x com capacidade de criptografia terão permissão para acessar os compartilhamentos de arquivos (clientes SMB 1.0 também serão rejeitados).

Considere os seguintes problemas ao implantar a criptografia SMB:

  • A criptografia SMB usa o algoritmo Advanced Encryption Standard (AES)-GCM e CCM para criptografar e descriptografar os dados. AES-CMAC e AES-GMAC também fornecem validação de integridade de dados (assinatura) para compartilhamentos de arquivos criptografados, independentemente das configurações de assinatura SMB. Se quiser ativar a assinatura SMB sem encriptação, pode continuar a fazê-lo. Para obter mais informações, consulte Configurar assinatura SMB com segurança.
  • Você pode encontrar problemas ao tentar acessar o compartilhamento de arquivos ou o servidor se sua organização usar dispositivos de aceleração de rede de longa distância (WAN).
  • Com uma configuração padrão (onde não há acesso não criptografado permitido para compartilhamentos de arquivos criptografados), se os clientes que não suportam SMB 3.x tentarem acessar um compartilhamento de arquivos criptografados, a ID de Evento 1003 será registrada no log de eventos Microsoft-Windows-SmbServer/Operational e o cliente receberá uma mensagem de erro de de Acesso ao negado.
  • A Criptografia SMB e o Sistema de Arquivos com Criptografia (EFS) no sistema de arquivos NTFS não estão relacionados, e a Criptografia SMB não requer nem depende do uso do EFS.
  • A Criptografia SMB e a Criptografia de Unidade de Disco BitLocker não estão relacionadas, e a Criptografia SMB não requer nem depende do uso da Criptografia de Unidade de Disco BitLocker.

Integridade da pré-autenticação

O SMB 3.1.1 é capaz de detetar ataques de intercetação que tentam fazer downgrade do protocolo ou dos recursos que o cliente e o servidor negociam usando integridade de pré-autenticação. A integridade da pré-autenticação é um recurso obrigatório no SMB 3.1.1. Ele protege contra qualquer adulteração com mensagens de Negociação e Configuração de Sessão usando hash criptográfico. O hash resultante é usado como entrada para derivar as chaves criptográficas da sessão, incluindo sua chave de assinatura. Esse processo permite que o cliente e o servidor confiem mutuamente nas propriedades da conexão e da sessão. Quando o cliente ou o servidor deteta tal ataque, a conexão é desconectada e a ID de evento 1005 é registrada no log de eventos Microsoft-Windows-SmbServer/Operation.

Devido a esta proteção, e para tirar partido de todas as capacidades da Encriptação SMB, recomendamos vivamente que desative o servidor SMB 1.0. Para obter instruções, conecte-se ao servidor com o Windows Admin Center e abra a extensão Files & File Sharing e selecione a guia File shares a ser solicitada a desinstalar. Para obter mais informações, consulte Como detetar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows.

Novo algoritmo de assinatura

SMB 3.0 e 3.02 usam um algoritmo de criptografia mais recente para assinar: Advanced Encryption Standard (AES) - código de autenticação de mensagem baseado em cifra (CMAC). O SMB 2.0 usava o algoritmo de encriptação HMAC-SHA256 mais antigo. AES-CMAC e AES-CCM podem acelerar significativamente a criptografia de dados na maioria das CPUs modernas que têm suporte a instruções AES.

O Windows Server 2022 e o Windows 11 apresentam o AES-128-GMAC para assinatura SMB 3.1.1. O Windows negocia automaticamente esse método de codificação de melhor desempenho ao se conectar a outro computador que ofereça suporte a ele. O Windows ainda suporta AES-128-CMAC. Para obter mais informações, consulte Configurar Assinatura SMB com Confiança.

Desativando o SMB 1.0

O SMB 1.0 não é instalado por padrão a partir do Windows Server versão 1709 e do Windows 10 versão 1709. Para obter instruções sobre como remover o SMB1, conecte-se ao servidor com o Windows Admin Center, abra a extensão Arquivos & Compartilhamento de Arquivos e selecione a guia Compartilhamentos de arquivos para ser solicitado a desinstalar. Para obter mais informações, consulte Como detetar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows.

Se ainda estiver instalado, deve desativar o SMB1 imediatamente. Para obter mais informações sobre como detetar e desabilitar o uso do SMB 1.0, consulte Parar de usar o SMB1. Para obter uma central de informações sobre software que anteriormente ou atualmente requer o SMB 1.0, consulte SMB1 Product Clearinghouse.