Definieren des SMB-Protokolls und der zugehörigen Sicherheitsüberlegungen
Die Verwaltung der Zusammenarbeit und Datenfreigabe sind wichtige Zuständigkeiten eines IT-Administrators. Es ist hilfreich, die der Windows-Dateifreigabe zugrunde liegenden Technologien zu verstehen, z. B. das SMB-Protokoll (Server Message Block), um dieser Verantwortung nachkommen zu können.
Was ist das SMB-Protokoll?
Das SMB-Protokoll ist ein TCP/IP-basiertes Protokoll für die Freigabe von Netzwerkdateien und ermöglicht es Anwendungen auf einem Computer, Dateien zu lesen und in Dateien zu schreiben sowie Dienste von Serverprogrammen in einem Computernetzwerk anzufordern. Mit dem SMB-Protokoll kann eine Anwendung (oder der Benutzer einer Anwendung) auf Dateien oder andere Ressourcen auf einem Remoteserver zugreifen. Dadurch wird es Anwendungen ermöglicht, Dateien auf dem Remoteserver zu lesen, zu erstellen und zu aktualisieren.
Wie lauten die Vorteile von SMB 3.x?
Microsoft hat das Server Message Block-Protokoll (SMB) in den 80er Jahren entwickelt. Die ursprüngliche Spezifikation (SMB 1) war ineffizient in Bezug auf die Bandbreite und nicht sicher genug. In den Folgeversionen des SMB-Protokolls wurden diese Mängel durch Features wie die integrierte Verschlüsselung, SMB Multichannel und SMB Direct behoben.
Die von Microsoft in Windows Server 2008 eingeführte Version 2.0 des SMB-Protokolls bot zwar erhebliche Leistungsverbesserungen, allerdings wurden die Sicherheitslücken nicht in signifikantem Umfang in Angriff genommen.
Die von Microsoft in Windows Server 2012 eingeführte Version 3.0 des SMB-Protokolls umfasst die folgenden Features:
- SMB Transparent Failover: Dieses Feature ermöglicht es Administratoren, Hardware- oder Softwarewartungen an den Knoten eines Clusterdateiservers ohne Unterbrechung der Serveranwendungen durchzuführen, die die Daten in diesen Dateifreigaben speichern.
- SMB Scale Out: In gruppierten Konfigurationen können Sie Dateifreigaben erstellen, die in allen Knoten eines Dateiserverclusters gleichzeitigen Zugriff auf Datendateien sowie eine direkte Eingabe/Ausgabe (E/A) bieten.
- SMB Encryption: Dieses Feature bietet End-to-End-Verschlüsselung von SMB-Daten in nicht vertrauenswürdigen Netzwerken und stärkt den Schutz vor Datenlecks.
- Windows PowerShell-Befehle zum Verwalten des SMB-Protokolls: Mit diesen Befehlen können Sie Dateifreigaben auf dem Dateiserver umfassend über die Befehlszeile verwalten.
- SMB Multichannel: Dieses Feature ermöglicht es Ihnen, die Netzwerkbandbreite und -fehlertoleranz zu aggregieren, wenn zwischen dem SMB 3.x-Client und -Server mehrere Pfade verfügbar sind.
- SMB Direct: Dieses Feature unterstützt Netzwerkadapter, die über Remotezugriff auf den direkten Speicher (Remote Direct Memory Access, RDMA) verfügen, und kann bei sehr geringer Latenz und CPU-Verarbeitungszeit bei voller Geschwindigkeit ausgeführt werden.
Die von Microsoft in Windows Server 2016 eingeführte Version 3.1.1 des SMB-Protokolls bietet einige zusätzliche Verbesserungen, z. B.:
- Integrität der Vorauthentifizierung: Die Vorauthentifizierungsintegrität gewährleistet einen besseren Schutz vor Man-in-the-Middle-Angriffen, die die Einrichtung von SMB-Verbindungen und die Authentifizierung von darüber gesendeten Nachrichten manipulieren.
- Verbesserungen an SMB Encryption: Die in SMB 3.0 eingeführte SMB-Verschlüsselung basiert auf einem dynamischen Kryptografiealgorithmus (AES-128-CCM). Der in SMB 3.1.1 verfügbare Algorithmus AES-128-GCM ist jedoch für die meisten modernen Prozessoren besser geeignet.
- Die Entfernung der Einstellung RequireSecureNegotiate: Da einige Drittanbieterimplementierungen des SMB-Protokolls diese Aushandlung nicht ordnungsgemäß durchführen, bietet Microsoft eine Option, mit der sich „Secure Negotiate“ deaktivieren lässt. SMB 3.1.1-Server und -Clients verwenden jedoch wie zuvor beschrieben standardmäßig die Vorauthentifizierungsintegrität.
Wie lauten die häufigsten Anwendungsfälle für die Leistungsverbesserungen in SMB 3.x?
Mit SMB Direct und SMB Multichannel können Sie kostengünstigen, kontinuierlich verfügbaren und hochleistungsfähigen Speicher für Serveranwendungen auf Dateiservern bereitstellen. Sowohl SMB Multichannel als auch SMB Direct sind unter Windows Server standardmäßig aktiviert. Sie können SMB Multichannel zusammen mit mehreren Netzwerkverbindungen verwenden, wodurch sich die Gesamtleistung der Dateifreigabe erhöht. SMB Direct stellt sicher, dass mehrere Netzwerkadapter die Übertragung großer Datenmengen zur Leitungsgeschwindigkeit koordinieren können, während weniger CPU-Zyklen verwendet werden.
Auf SMB Direct und SMB Multichannel basierende Dateifreigaben stellen eine Alternative zur Speicherung von Dateien auf Internet Small Computer System Interface- oder Fibre Channel-Storage Area Network-Geräten (iSCSI bzw. SAN) dar. Beim Erstellen einer VM in Hyper-V unter Windows Server können Sie eine Netzwerkfreigabe angeben, wenn Sie den VM-Speicherort und den Speicherort der virtuellen Festplatte auswählen. Zudem können Sie Datenträger an SMB 3.x-Dateifreigaben anfügen. Mit diesem Ansatz können Sie Hochverfügbarkeit nicht durch das Clustering von Microsoft Hyper-V-Knoten, sondern mithilfe von gruppierten Dateiservern erreichen, die VM-Dateien auf ihren Dateifreigaben hosten. Dies wird als Dateiserver mit horizontaler Skalierung bezeichnet. Mit dieser Funktion kann Hyper-V alle VM-Dateien speichern, einschließlich der Konfigurationsdateien, VHD-Dateien und Prüfpunkte auf hoch verfügbaren SMB-Dateifreigaben.
Hinweis
Cluster Dialect Fencing, verfügbar ab SMB 3.1.1, bietet Unterstützung für Clusterupgrades zwischen aufeinanderfolgenden Betriebssystemversionen für die Dateiserver mit horizontaler Skalierung.