Dela via

SMB-säkerhetsförbättringar

  • Artikel

I den här artikeln beskrivs SMB-säkerhetsförbättringarna i Windows Server och Windows.

SMB-kryptering

SMB-kryptering tillhandahåller end-to-end-kryptering av SMB-data och skyddar data från avlyssning på osäkra nätverk. Du kan distribuera SMB-kryptering med minimal ansträngning, men det kan kräva andra kostnader för specialiserad maskinvara eller programvara. Den har inga krav på Internet Protocol Security (IPsec) eller WAN-acceleratorer. SMB-kryptering kan konfigureras per resurs, för hela filservern eller vid mappning av enheter.

Anteckning

SMB-kryptering omfattar inte säkerhet i vila, som vanligtvis hanteras av BitLocker-diskkryptering.

Du kan överväga SMB-kryptering för alla scenarier där känsliga data måste skyddas från avlyssningsattacker. Möjliga scenarier är:

  • Du flyttar en informationsarbetares känsliga data med hjälp av SMB-protokollet. SMB Encryption erbjuder en sekretess- och integritetsgaranti från slutpunkt till slutpunkt mellan filservern och klienten. Den ger den här säkerheten oavsett vilka nätverk som passerar, till exempel WAN-anslutningar (Wide Area Network) som underhålls av icke-Microsoft-leverantörer.
  • Med SMB 3.0 kan filservrar tillhandahålla kontinuerligt tillgänglig lagring för serverprogram, till exempel SQL Server eller Hyper-V. Genom att aktivera SMB-kryptering kan du skydda informationen från snokande attacker. SMB-kryptering är enklare att använda än de dedikerade maskinvarulösningar som krävs för de flesta lagringsområdesnätverk (SAN).

Windows Server 2022 och Windows 11 introducerar krypteringssviterna AES-256-GCM och AES-256-CCM för SMB 3.1.1-kryptering. Windows förhandlar automatiskt om den här mer avancerade chiffermetoden när du ansluter till en annan dator som stöder den. Du kan också ge den här metoden mandat via grupprincip. Windows stöder fortfarande AES-128-GCM och AES-128-CCM. Som standard förhandlas AES-128-GCM med SMB 3.1.1, vilket ger den bästa balansen mellan säkerhet och prestanda.

Windows Server 2022 och Windows 11 SMB Direct stöder nu kryptering. Tidigare inaktiverade aktivering av SMB-kryptering direktdataplacering, vilket gjorde RDMA-prestanda så långsam som TCP. Nu krypteras data innan det lagras, vilket leder till relativt liten prestandaförsämring samtidigt som paketsekretessen skyddas med AES-128 och AES-256. Du kan aktivera kryptering med hjälp av Windows Admin Center, Set-SmbServerConfigurationeller UNC Hardening-grupprincip.

Dessutom har Windows Server-redundanskluster nu stöd för detaljerad kontroll av kryptering av lagringskommunikation inom noden för klusterdelade volymer (CSV) och lagringsbusslagret (SBL). Det här stödet innebär att när du använder Storage Spaces Direct och SMB Direct kan du kryptera intern kommunikation i själva klustret för högre säkerhet.

Viktig

Det finns en betydande prestandadriftskostnad med alla krypteringsskydd från slutpunkt till slutpunkt jämfört med icke-krypterade.

Aktivera SMB-kryptering

Du kan aktivera SMB-kryptering för hela filservern eller bara för specifika filresurser. Använd någon av följande procedurer för att aktivera SMB-kryptering.

Aktivera SMB-kryptering med Windows Admin Center

  1. Ladda ned och installera Windows Admin Center.
  2. Anslut till filservern.
  3. Välj filer & fildelning.
  4. Välj fliken Fildelningar.
  5. Om du vill kräva kryptering på en resurs väljer du resursnamnet och väljer Aktivera SMB-kryptering.
  6. Om du vill kräva kryptering på servern väljer du Filserverinställningar.
  7. Under SMB 3-krypteringväljer du Krävs från alla klienter (andra avvisas)och väljer sedan Spara.

Aktivera SMB-kryptering med UNC Hardening

MED UNC Hardening kan du konfigurera SMB-klienter så att de kräver kryptering oavsett inställningar för serverkryptering. Den här funktionen hjälper till att förhindra avlyssningsattacker. Information om hur du konfigurerar UNC-härdning finns i MS15-011: Sårbarhet i gruppolicy kan möjliggöra fjärrkörning av kod. Mer information om skydd mot avlyssningsattacker finns i Så här försvarar du användare från avlyssningsattacker via SMB Client Defense.

Aktivera SMB-kryptering med Windows PowerShell

  1. Logga in på servern och kör PowerShell på datorn i en upphöjd session.

  2. Om du vill aktivera SMB-kryptering för en enskild filresurs kör du följande kommando.

    Set-SmbShare –Name <sharename> -EncryptData $true

  3. Om du vill aktivera SMB-kryptering för hela filservern kör du följande kommando.

    Set-SmbServerConfiguration –EncryptData $true

  4. Kör följande kommando för att skapa en ny SMB-filresurs med SMB-kryptering aktiverat.

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Mappa enheter med kryptering

  1. Om du vill aktivera SMB-kryptering när du mappar en enhet med PowerShell kör du följande kommando.

    New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE

  2. Om du vill aktivera SMB-kryptering vid mappning av en enhet med hjälp av CMD kör du följande kommando.

    NET USE <drive letter> <UNC path> /REQUIREPRIVACY

Överväganden för att distribuera SMB-kryptering

När SMB-kryptering är aktiverat för en filresurs eller server tillåts som standard endast SMB 3.0-, 3.02- och 3.1.1-klienter att komma åt de angivna filresurserna. Den här gränsen tillämpar administratörens avsikt att skydda data för alla klienter som har åtkomst till resurserna.

I vissa fall kanske en administratör dock vill tillåta okrypterad åtkomst för klienter som inte stöder SMB 3.x. Den här situationen kan inträffa under en övergångsperiod när blandade klientoperativsystemversioner används. Om du vill tillåta okrypterad åtkomst för klienter som inte stöder SMB 3.x anger du följande skript i Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Not

Vi rekommenderar inte att du tillåter okrypterad åtkomst när du har distribuerat kryptering. Uppdatera klienterna så att de stöder kryptering i stället.

Funktionen för förautentiseringsintegritet som beskrivs i nästa avsnitt förhindrar att en avlyssningsattack nedgraderar en anslutning från SMB 3.1.1 till SMB 2.x (som skulle använda okrypterad åtkomst). Det förhindrar dock inte en nedgradering till SMB 1.0, vilket också skulle resultera i okrypterad åtkomst.

För att garantera att SMB 3.1.1-klienter alltid använder SMB-kryptering för att komma åt krypterade resurser måste du inaktivera SMB 1.0-servern. För instruktioner, anslut till servern med Windows Admin Center och öppna Filer & filresurser-tillägget, och välj sedan fliken Filresurser för att guidas till avinstallation. Mer information finns i Så här identifierar, aktiverar och inaktiverar du SMBv1, SMBv2 och SMBv3 i Windows.

Om inställningen –RejectUnencryptedAccess finns kvar vid standardinställningen $truefår endast krypteringskompatibla SMB 3.x-klienter komma åt filresurserna (SMB 1.0-klienter avvisas också).

Överväg följande problem när du distribuerar SMB-kryptering:

  • SMB Encryption använder AES(Advanced Encryption Standard)-GCM- och CCM-algoritmen för att kryptera och dekryptera data. AES-CMAC och AES-GMAC tillhandahåller även verifiering av dataintegritet (signering) för krypterade fildelningar, oavsett inställningarna för SMB-signering. Om du vill aktivera SMB-signering utan kryptering kan du fortsätta att göra det. Mer information finns i Konfigurera SMB-signering med säkerhet.
  • Du kan stöta på problem när du försöker komma åt filresursen eller servern om din organisation använder WAN-accelerationsenheter (Wide Area Network).
  • Med en standardkonfiguration (där ingen okrypterad åtkomst tillåts till krypterade filresurser), om klienter som inte stöder SMB 3.x försöker komma åt en krypterad filresurs, loggas händelse-ID 1003 till händelseloggen Microsoft-Windows-SmbServer/Operational, och klienten får ett Åtkomst nekad felmeddelande.
  • SMB-kryptering och EFS (Encrypting File System) i NTFS-filsystemet är orelaterade och SMB-kryptering kräver inte eller är beroende av att använda EFS.
  • SMB-kryptering och BitLocker-diskkryptering är orelaterade och SMB-kryptering kräver inte eller är beroende av att använda BitLocker-diskkryptering.

Förautentiseringsintegritet

SMB 3.1.1 kan identifiera avlyssningsattacker som försöker nedgradera protokollet eller de funktioner som klienten och servern förhandlar om med hjälp av förautentiseringsintegritet. Förautentiseringsintegritet är en obligatorisk funktion i SMB 3.1.1. Den skyddar mot all manipulering av förhandlings- och sessionsinstallationsmeddelanden med hjälp av kryptografisk hashning. Den resulterande hashen används som indata för att härleda sessionens kryptografiska nycklar, inklusive dess signeringsnyckel. Den här processen gör det möjligt för klienten och servern att ömsesidigt lita på anslutnings- och sessionsegenskaperna. När klienten eller servern upptäcker en sådan attack kopplas anslutningen från och händelse-ID 1005 loggas i händelseloggen Microsoft-Windows-SmbServer/Operational.

På grund av det här skyddet och för att dra nytta av de fullständiga funktionerna i SMB-kryptering rekommenderar vi starkt att du inaktiverar SMB 1.0-servern. För instruktioner, anslut till servern med Windows Admin Center och öppna Filer & File Sharing-tillägget, och välj sedan fliken File shares för att uppmanas att avinstallera. Mer information finns i Så här identifierar, aktiverar och inaktiverar du SMBv1, SMBv2 och SMBv3 i Windows.

Ny signeringsalgoritm

SMB 3.0 och 3.02 använder en nyare krypteringsalgoritm för signering: Advanced Encryption Standard (AES)-chifferbaserad kod för meddelandeautentisering (CMAC). SMB 2.0 använde den äldre HMAC-SHA256 krypteringsalgoritmen. AES-CMAC och AES-CCM kan avsevärt påskynda datakryptering på de flesta moderna processorer som har stöd för AES-instruktioner.

Windows Server 2022 och Windows 11 introducerar AES-128-GMAC för SMB 3.1.1-signering. Windows förhandlar automatiskt om den här bättre presterande chiffermetoden när du ansluter till en annan dator som stöder den. Windows stöder fortfarande AES-128-CMAC. Mer information finns i Konfigurera SMB-signering med säkerhet.

Inaktivera SMB 1.0

SMB 1.0 installeras inte som standard med start i Windows Server version 1709 och Windows 10 version 1709. Följ anvisningar för att ta bort SMB1 genom att ansluta till servern med Windows Admin Center, öppna tillägget Files & File Sharing och välj sedan fliken Filresurser för att bli uppmanad att avinstallera. Mer information finns i Så här identifierar, aktiverar och inaktiverar du SMBv1, SMBv2 och SMBv3 i Windows.

Om den fortfarande är installerad bör du inaktivera SMB1 omedelbart. Mer information om hur du identifierar och inaktiverar SMB 1.0-användning finns i Sluta använda SMB1. En clearinghouse för programvara som tidigare eller för närvarande kräver SMB 1.0 kan hittas i SMB1 Product Clearinghouse.