Криптиране на трафика в SMB 3.0

В протоколна версия Сървър съобщение Блокиране (SMB) 3.0, въведена в Windows Server 2012 / Windows 8, стана възможно криптирането на данни, предавани по мрежата, между SMB файловия сървър и клиента. Шифроването на SMB трафика ви позволява да защитите данните, предавани по ненадеждна или отворена мрежа от прихващане и модификация. Криптирането на данни е прозрачно от гледна точка на клиента и не изисква значителни организационни и ресурсни разходи, както при внедряването на VPN, IPSec и PKI инфраструктура. В последната версия на протокола SMB 3.1.1 (въведено в Windows 10 и Windows Server 2016) се използва типът на криптиране AES 128 GCM и значително се увеличава работата на алгоритъма за криптиране. Освен това се извършва автоматично подписване и проверка на целостта на данните..

Ще разгледаме характеристиките на внедряването на SMB криптиране в Windows Server 2012. На първо място, трябва да разберете, че ако клиентът и сървърът поддържат различни версии на SMB протокола, тогава при установяване на връзка между сървъра и клиента, за взаимодействие се избира най-високата поддържана версия на SMB. както клиент, така и сървър. Това означава, че всички клиенти с ОС под Windows 8 / Server 2012 няма да могат да взаимодействат с мрежовата директория, за която е активирано SMB криптирането..

На файловия сървър можете да получите версията на SMB протокола, използван от един или друг клиент (версията на използвания протокол, избран в рамките на връзката, е посочена в колоната Диалект):

Get-SmbConnection

По подразбиране криптирането за предаване на SMB трафик е деактивирано на файловия сървър на Windows Server 2012. Можете да активирате криптиране както поотделно за всяка SMB топка, така и за целия сървър.

Ако трябва да активирате криптиране в конкретна директория, отворете конзолата на сървъра Сървър мениджър и отидете на секцията Услуги за файлове и съхранение -> Споделя. Изберете желаната публична папка и отворете нейните свойства. След това отидете на раздела Настройки, където опция за разрешаване Криптирайте достъпа до данни. Запазване на промените.

Можете също да активирате SMB криптиране от конзолата PowerShell. Активиране на криптиране за една папка:

Set-SmbShare -Name Install -EncryptData $ true

Или за всички SMB връзки към сървъра (независимо дали става дума за споделени папки или административни ресурси):

Set-SmbServerConfiguration -EncryptData $ true

След като активирате SMB криптиране за споделена мрежова папка, всички наследени клиенти (преди Windows 8) няма да могат да се свържат с тази директория, тъй като не поддържат версия на протокол SMB 3.0. За да разрешите достъп до такива клиенти на Windows (като правило такъв достъп е организиран временно, в противен случай няма смисъл да активирате криптирането), можете да разрешите свързване към сървъра без криптиране:

Set-SmbServerConfiguration -RejectUnencryptedAccess $ false

съвет. След като активирате този режим, свързващият клиент ще може да премине към напълно остаряла версия на SMB 1.0 в процеса на договаряне на поддържана версия на протокол, което не е безопасно (в Windows Server 2012 R2 протоколът SMB 1.0 вече е деактивиран по подразбиране). В този случай, за да защитите поне частично сървъра, препоръчително е да деактивирате поддръжката на SMB 1.0:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false