SMB-SicherheitsfunktionenSMB security enhancements

Gilt für: Windows Server 2012 R2, Windows Server 2012, Windows Server 2016Applies to: Windows Server 2012 R2, Windows Server 2012, Windows Server 2016

In diesem Thema werden die SMB-Verschlüsselungsfunktion in Windows Server 2012 R2, Windows Server 2012 und Windows Server 2016 erläutert.This topic explains the SMB security enhancements in Windows Server 2012 R2, Windows Server 2012, and Windows Server 2016.

SMB-VerschlüsselungSMB Encryption

SMB-Verschlüsselung sorgt für End-to-End-Verschlüsselung von SMB-Daten und schützt Daten vor Lauschangriffen in nicht vertrauenswürdigen Netzwerken.SMB Encryption provides end-to-end encryption of SMB data and protects data from eavesdropping occurrences on untrusted networks. Sie können SMB-Verschlüsselung mit minimalem Aufwand bereitstellen, für spezielle Hardware oder Software fallen jedoch möglicherweise geringfügige zusätzliche Kosten an.You can deploy SMB Encryption with minimal effort, but it may require small additional costs for specialized hardware or software. Sie erfordert weder IPsec (Internet Protocol Security) noch WAN-Beschleuniger.It has no requirements for Internet Protocol security (IPsec) or WAN accelerators. SMB-Verschlüsselung kann auf Freigabebasis oder für den gesamten Dateiserver konfiguriert und für eine Vielzahl von Szenarien aktiviert werden, bei denen Daten über nicht vertrauenswürdige Netzwerke übertragen werden.SMB Encryption can be configured on a per share basis or for the entire file server, and it can be enabled for a variety of scenarios where data traverses untrusted networks.

Hinweis

SMB-Verschlüsselung bezieht sich nicht auf Daten im Ruhezustand. Diese werden in der Regel von BitLocker-Laufwerkverschlüsselung verarbeitet.SMB Encryption does not cover security at rest, which is typically handled by BitLocker Drive Encryption.

SMB-Verschlüsselung sollte für jedes Szenario in Erwägung gezogen werden, in dem vertrauliche Daten vor Man-in-the-Middle-Angriffen geschützt werden müssen.SMB Encryption should be considered for any scenario in which sensitive data needs to be protected from man-in-the-middle attacks. Mögliche Szenarien:Possible scenarios include:

  • Die sensiblen Daten eines Information Workers werden mithilfe des SMB-Protokolls verschoben.An information worker's sensitive data is moved by using the SMB protocol. SMB-Verschlüsselung bietet eine End-to-End-Datenschutz- und -Integritätssicherung zwischen dem Dateiserver und dem Client, unabhängig von den durchlaufenen Netzwerken, z. B. WAN-Verbindungen (Wide Area Network), die von Nicht-Microsoft-Anbietern verwaltet werden.SMB Encryption offers an end-to-end privacy and integrity assurance between the file server and the client, regardless of the networks traversed, such as wide area network (WAN) connections that are maintained by non-Microsoft providers.
  • Mit SMB 3.0 können Dateiserver kontinuierlich verfügbaren Speicher für Serveranwendungen bereitstellen, z. B. für SQL Server oder Hyper-V.SMB 3.0 enables file servers to provide continuously available storage for server applications, such as SQL Server or Hyper-V. Das Aktivieren der SMB-Verschlüsselung bietet die Möglichkeit, diese Informationen vor Spionageangriffen zu schützen.Enabling SMB Encryption provides an opportunity to protect that information from snooping attacks. SMB-Verschlüsselung ist einfacher zu verwenden als die dedizierten Hardwarelösungen, die für die meisten SANs (Storage Area Networks) erforderlich sind.SMB Encryption is simpler to use than the dedicated hardware solutions that are required for most storage area networks (SANs).

Wichtig

Beachten Sie, dass im Vergleich zu nicht verschlüsseltem Schutz für die End-to-End-Verschlüsselung beachtliche Leistungsbetriebskosten anfallen.You should note that there is a notable performance operating cost with any end-to-end encryption protection when compared to non-encrypted.

Aktivieren von SMB-VerschlüsselungEnable SMB Encryption

Sie können SMB-Verschlüsselung für den gesamten Dateiserver oder nur für bestimmte Dateifreigaben aktivieren.You can enable SMB Encryption for the entire file server or only for specific file shares. Verwenden Sie zum Aktivieren von SMB-Verschlüsselung eines der folgenden Verfahren:Use one of the following procedures to enable SMB Encryption:

Aktivieren von SMB-Verschlüsselung mit Windows PowerShellEnable SMB Encryption with Windows PowerShell

  1. Geben Sie das folgende Skript auf dem Server ein, um SMB-Verschlüsselung für eine einzelne Dateifreigabe zu aktivieren:To enable SMB Encryption for an individual file share, type the following script on the server:

    Set-SmbShare –Name <sharename> -EncryptData $true
    
  2. Geben Sie das folgende Skript auf dem Server ein, um SMB-Verschlüsselung für den gesamten Dateiserver zu aktivieren:To enable SMB Encryption for the entire file server, type the following script on the server:

    Set-SmbServerConfiguration –EncryptData $true
    
  3. Geben Sie das folgende Skript ein, um eine neue SMB-Dateifreigabe mit aktivierter SMB-Verschlüsselung zu erstellen:To create a new SMB file share with SMB Encryption enabled, type the following script:

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
    

Aktivieren von SMB-Verschlüsselung mit Server-ManagerEnable SMB Encryption with Server Manager

  1. Öffnen Sie in Server-Manager Datei- und Speicherdienste.In Server Manager, open File and Storage Services.
  2. Wählen Sie Freigaben aus, um die Verwaltungsseite „Freigaben“ zu öffnen.Select Shares to open the Shares management page.
  3. Klicken Sie mit der rechten Maustaste auf die Freigabe, für die Sie SMB-Verschlüsselung aktivieren möchten, und wählen Sie dann Eigenschaften aus.Right-click the share on which you want to enable SMB Encryption, and then select Properties.
  4. Wählen Sie auf der Seite Einstellungen der Freigabe Datenzugriff verschlüsseln aus.On the Settings page of the share, select Encrypt data access. Remotedateizugriff auf diese Freigabe wird verschlüsselt.Remote file access to this share is encrypted.

Überlegungen zur Bereitstellung von SMB-VerschlüsselungConsiderations for deploying SMB Encryption

Wenn SMB-Verschlüsselung für eine Dateifreigabe oder einen Server aktiviert ist, dürfen standardmäßig nur SMB 3.0-Clients auf die angegebenen Dateifreigaben zugreifen.By default, when SMB Encryption is enabled for a file share or server, only SMB 3.0 clients are allowed to access the specified file shares. Dies setzt die Absicht des Administrators durch, die Daten für alle Clients zu schützen, die auf die Freigaben zugreifen.This enforces the administrator's intent of safeguarding the data for all clients that access the shares. In einigen Fällen möchte ein Administrator jedoch möglicherweise einen unverschlüsselten Zugriff für Clients zulassen, die SMB 3.0 nicht unterstützen (z. B. während eines Übergangszeitraums, wenn gemischte Clientbetriebssystemversionen verwendet werden).However, in some circumstances, an administrator may want to allow unencrypted access for clients that do not support SMB 3.0 (for example, during a transition period when mixed client operating system versions are being used). Geben Sie das folgende Skript in Windows PowerShell ein, um unverschlüsselten Zugriff für Clients zuzulassen, die SMB 3.0 nicht unterstützen:To allow unencrypted access for clients that do not support SMB 3.0, type the following script in Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Mit der im nächsten Abschnitt beschriebenen sicheren Dialektaushandlungsfunktion wird verhindert, dass ein Man-in-the-Middle-Angriff eine Verbindung von SMB 3.0 auf SMB 2.0 herabstuft (dann würde unverschlüsselter Zugriff verwendet).The secure dialect negotiation capability described in the next section prevents a man-in-the-middle attack from downgrading a connection from SMB 3.0 to SMB 2.0 (which would use unencrypted access). Es wird jedoch kein Downgrade auf SMB 1.0 verhindert, was ebenfalls zu unverschlüsseltem Zugriff führen würde.However, it does not prevent a downgrade to SMB 1.0, which would also result in unencrypted access. Um sicherzustellen, dass SMB 3.0-Clients immer SMB-Verschlüsselung für den Zugriff auf verschlüsselte Freigaben verwenden, müssen Sie den SMB 1.0-Server deaktivieren.To guarantee that SMB 3.0 clients always use SMB Encryption to access encrypted shares, you must disable the SMB 1.0 server. (Anweisungen dazu finden Sie im Abschnitt Deaktivieren von SMB 1.0.) Wenn für die Einstellung –RejectUnencryptedAccess die Standardeinstellung $true beibehalten wird, dürfen nur verschlüsselungsfähige SMB 3.0-Clients auf die Dateifreigaben zugreifen (SMB 1.0-Clients werden ebenfalls abgelehnt).(For instructions, see the section Disabling SMB 1.0.) If the –RejectUnencryptedAccess setting is left at its default setting of $true, only encryption-capable SMB 3.0 clients are allowed to access the file shares (SMB 1.0 clients will also be rejected).

Hinweis

  • SMB-Verschlüsselung verwendet den AES-CCM-Algorithmus (Advanced Encryption Standard), um die Daten zu verschlüsseln und zu entschlüsseln.SMB Encryption uses the Advanced Encryption Standard (AES)-CCM algorithm to encrypt and decrypt the data. AES-CCM bietet auch eine Überprüfung der Datenintegrität (Signierung) für verschlüsselte Dateifreigaben, unabhängig von den SMB-Signierungseinstellungen.AES-CCM also provides data integrity validation (signing) for encrypted file shares, regardless of the SMB signing settings. Wenn Sie SMB-Signaturen ohne Verschlüsselung aktivieren möchten, können Sie diese weiterhin verwenden.If you want to enable SMB signing without encryption, you can continue to do this. Weitere Informationen finden Sie unter Grundlagen von SMB-Signaturen.For more information, see The Basics of SMB Signing.
  • Wenn Sie versuchen, auf die Dateifreigabe oder den Server zuzugreifen, treten möglicherweise Probleme auf, wenn in Ihrer Organisation WAN-Beschleuniger (Wide Area Network) verwendet werden.You may encounter issues when you attempt to access the file share or server if your organization uses wide area network (WAN) acceleration appliances.
  • Mit einer Standardkonfiguration (bei der kein unverschlüsselter Zugriff auf verschlüsselte Dateifreigaben zulässig ist), wird Ereignis-ID 1003 im Ereignisprotokoll „Microsoft-Windows-SmbServer/Operational“ protokolliert, und der Client empfängt eine Fehlermeldung des Typs Zugriff verweigert, wenn Clients, die SMB 3.0 nicht unterstützen, versuchen, auf eine verschlüsselte Dateifreigabe zuzugreifen.With a default configuration (where there is no unencrypted access allowed to encrypted file shares), if clients that do not support SMB 3.0 attempt to access an encrypted file share, Event ID 1003 is logged to the Microsoft-Windows-SmbServer/Operational event log, and the client will receive an Access denied error message.
  • SMB-Verschlüsselung und das verschlüsselnde Dateisystem (EFS) im NTFS-Dateisystem stehen nicht miteinander in Beziehung, und SMB-Verschlüsselung erfordert nicht die Verwendung von EFS oder hängt davon ab.SMB Encryption and the Encrypting File System (EFS) in the NTFS file system are unrelated, and SMB Encryption does not require or depend on using EFS.
  • SMB-Verschlüsselung und die BitLocker-Laufwerkverschlüsselung stehen nicht miteinander in Beziehung, und SMB-Verschlüsselung erfordert nicht die Verwendung von Bitlocker-Laufwerkverschlüsselung oder hängt davon ab.SMB Encryption and the BitLocker Drive Encryption are unrelated, and SMB Encryption does not require or depend on using BitLocker Drive Encryption.

Sichere DialektaushandlungSecure dialect negotiation

SMB 3.0 ist in der Lage, Man-in-the-Middle-Angriffe zu erkennen, die versuchen, ein Downgrade des SMB 2.0- oder SMB 3.0-Protokolls oder der Funktionen durchzuführen, die der Client und der Server aushandeln.SMB 3.0 is capable of detecting man-in-the-middle attacks that attempt to downgrade the SMB 2.0 or SMB 3.0 protocol or the capabilities that the client and server negotiate. Wenn ein solcher Angriff vom Client oder Server erkannt wird, wird die Verbindung getrennt, und die Ereignis-ID 1005 wird im Ereignisprotokoll „Microsoft-Windows-SmbServer/Operational“ protokolliert.When such an attack is detected by the client or the server, the connection is disconnected and event ID 1005 is logged in the Microsoft-Windows-SmbServer/Operational event log. Die sichere Dialektaushandlung kann keine Herabstufungen von SMB 2.0 oder 3.0 auf SMB 1.0 erkennen oder verhindern.Secure dialect negotiation cannot detect or prevent downgrades from SMB 2.0 or 3.0 to SMB 1.0. Daher wird dringend empfohlen, den SMB 1.0-Server zu deaktivieren, um die vollständigen Funktionen von SMB-Verschlüsselung nutzen zu können.Because of this, and to take advantage of the full capabilities of SMB Encryption, we strongly recommend that you disable the SMB 1.0 server. Weitere Informationen finden Sie unter Deaktivieren von SMB 1.0.For more information, see Disabling SMB 1.0.

Mit der im nächsten Abschnitt beschriebenen sicheren Dialektaushandlungsfunktion wird verhindert, dass ein Man-in-the-Middle-Angriff eine Verbindung von SMB 3 auf SMB 2 herabstuft (dann würde unverschlüsselter Zugriff verwendet). Es jedoch nicht das Herabstufen auf SMB 1 verhindert, was ebenfalls zu unverschlüsseltem Zugriff führen würde.The secure dialect negotiation capability that is described in the next section prevents a man-in-the-middle attack from downgrading a connection from SMB 3 to SMB 2 (which would use unencrypted access); however, it does not prevent downgrades to SMB 1, which would also result in unencrypted access. Weitere Informationen zu möglichen Problemen mit früheren Nicht-Windows-Implementierungen von SMB finden Sie in der Microsoft Knowledge Base.For more information on potential issues with earlier non-Windows implementations of SMB, see the Microsoft Knowledge Base.

Neuer SignaturalgorithmusNew signing algorithm

SMB 3.0 verwendet einen neueren Verschlüsselungsalgorithmus zum Signieren: AES-CMAC (Advanced Encryption Standard, Cipher-based Message Authentication Code).SMB 3.0 uses a more recent encryption algorithm for signing: Advanced Encryption Standard (AES)-cipher-based message authentication code (CMAC). SMB 2.0 hat den älteren HMAC-SHA256-Verschlüsselungsalgorithmus verwendet.SMB 2.0 used the older HMAC-SHA256 encryption algorithm. AES-CMAC und AES-CCM können die Datenverschlüsselung mit den meisten modernen CPUs mit AES-Anweisungsunterstützung erheblich beschleunigen.AES-CMAC and AES-CCM can significantly accelerate data encryption on most modern CPUs that have AES instruction support. Weitere Informationen finden Sie unter Grundlagen von SMB-Signaturen.For more information, see The Basics of SMB Signing.

Deaktivieren von SMB 1.0Disabling SMB 1.0

Die Features des älteren Computerbrowserdiensts und des Remoteverwaltungsprotokolls in SMB 1.0 wurden nun getrennt und können entfernt werden.The legacy computer browser service and Remote Administration Protocol features in SMB 1.0 are now separate, and they can be eliminated. Die Features sind immer noch standardmäßig aktiviert. Wenn Sie jedoch keine älteren SMB-Clients wie Computer mit Windows XP oder Windows Server 2003 besitzen, können Sie die SMB 1.0-Features entfernen, um die Sicherheit zu erhöhen und das Patchen möglicherweise zu reduzieren.These features are still enabled by default, but if you do not have older SMB clients, such as computers running Windows Server 2003 or Windows XP, you can remove the SMB 1.0 features to increase security and potentially reduce patching.

Hinweis

SMB 2.0 wurde in Windows Server 2008 und Windows Vista eingeführt.SMB 2.0 was introduced in Windows Server 2008 and Windows Vista. Ältere Clients, z. B. Computer, auf denen Windows Server 2003 oder Windows XP ausgeführt wird, unterstützen SMB 2.0 nicht. Daher können sie nicht auf Dateifreigaben oder Druckfreigaben zugreifen, wenn der SMB 1.0-Server deaktiviert ist.Older clients, such as computers running Windows Server 2003 or Windows XP, do not support SMB 2.0; and therefore, they will not be able to access file shares or print shares if the SMB 1.0 server is disabled. Darüber hinaus können einige Nicht-Microsoft-SMB-Clients möglicherweise nicht auf SMB 2.0-Dateifreigaben oder -Druckfreigaben zugreifen (z. B. Drucker mit „Scan-to-Share“-Funktionalität).In addition, some non-Microsoft SMB clients may not be able to access SMB 2.0 file shares or print shares (for example, printers with “scan-to-share” functionality).

Bevor Sie mit der Deaktivierung von SMB 1.0 beginnen, müssen Sie herausfinden, ob Ihre SMB-Clients derzeit mit dem Server verbunden sind, auf dem SMB 1.0 ausgeführt wird.Before you start disabling SMB 1.0, you'll need to find out if your SMB clients are currently connected to the server running SMB 1.0. Geben Sie zu diesem Zweck das folgende Cmdlet in Windows PowerShell ein:To do this, enter the following cmdlet in Windows PowerShell:

Get-SmbSession | Select Dialect,ClientComputerName,ClientUserName | ? Dialect -lt 2

Hinweis

Sie sollten dieses Skript im Verlauf einer Woche wiederholt (mehrmals täglich) ausführen, um einen Überwachungspfad zu erstellen.You should run this script repeatedly over the course of a week (multiple times each day) to build an audit trail. Sie können dieses Skript auch als geplante Aufgabe ausführen.You could also run this as a scheduled task.

Geben Sie zum Deaktivieren von SMB 1.0 das folgende Skript in Windows PowerShell ein:To disable SMB 1.0, enter the following script in Windows PowerShell:

Set-SmbServerConfiguration –EnableSMB1Protocol $false

Hinweis

Wenn eine SMB-Clientverbindung verweigert wird, weil der Server, auf dem SMB 1.0 ausgeführt wird, deaktiviert wurde, wird Ereignis-ID 1001 im Ereignisprotokoll „Microsoft-Windows-SmbServer/Operational“ protokolliert.If an SMB client connection is denied because the server running SMB 1.0 has been disabled, event ID 1001 will be logged in the Microsoft-Windows-SmbServer/Operational event log.

Weitere InformationenMore information

Dies sind einige zusätzliche Ressourcen zu SMB und verwandten Technologien in Windows Server 2012.Here are some additional resources about SMB and related technologies in Windows Server 2012.