Peningkatan keamanan SMB

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI versi 21H2, Windows 11, Windows 10

Artikel ini menjelaskan peningkatan keamanan SMB di Windows Server dan Windows.

Enkripsi SMB

Enkripsi SMB menyediakan enkripsi end-to-end data SMB dan melindungi data dari kejadian penyadapan pada jaringan yang tidak tepercaya. Anda dapat menyebarkan Enkripsi SMB dengan upaya minimal, tetapi mungkin memerlukan biaya lain untuk perangkat keras atau perangkat lunak khusus. Ini tidak memiliki persyaratan untuk keamanan Protokol Internet (IPsec) atau akselerator WAN. Enkripsi SMB dapat dikonfigurasi per berbagi, untuk seluruh server file, atau saat memetakan drive.

Catatan

Enkripsi SMB tidak mencakup keamanan saat tidak aktif, yang biasanya ditangani oleh Enkripsi Drive BitLocker.

Anda dapat mempertimbangkan Enkripsi SMB untuk skenario apa pun di mana data sensitif perlu dilindungi dari serangan intersepsi. Skenario yang mungkin meliputi:

• Anda memindahkan data sensitif pekerja informasi dengan menggunakan protokol SMB. Enkripsi SMB menawarkan privasi end-to-end dan jaminan integritas antara server file dan klien. Ini memberikan keamanan ini terlepas dari jaringan yang dilalui, seperti koneksi jaringan area luas (WAN) yang dikelola oleh penyedia non-Microsoft.
• SMB 3.0 memungkinkan server file menyediakan penyimpanan yang terus tersedia untuk aplikasi server, seperti SQL Server atau Hyper-V. Mengaktifkan Enkripsi SMB memberikan kesempatan untuk melindungi informasi tersebut dari serangan pengintaian. Enkripsi SMB lebih mudah digunakan daripada solusi perangkat keras khusus yang diperlukan untuk sebagian besar jaringan area penyimpanan (SNS).

Windows Server 2022 dan Windows 11 memperkenalkan suite kriptografi AES-256-GCM dan AES-256-CCM untuk enkripsi SMB 3.1.1. Windows secara otomatis menegosiasikan metode sandi yang lebih canggih ini ketika menyambungkan ke komputer lain yang mendukungnya. Anda juga dapat mengamanatkan metode ini melalui Kebijakan Grup. Windows masih mendukung AES-128-GCM dan AES-128-CCM. Secara default, AES-128-GCM dinegosiasikan dengan SMB 3.1.1, menghadirkan keseimbangan keamanan dan performa terbaik.

Windows Server 2022 dan Windows 11 SMB Direct sekarang mendukung enkripsi. Sebelumnya, mengaktifkan penempatan data langsung yang dinonaktifkan enkripsi SMB, membuat performa RDMA selambat TCP. Sekarang data dienkripsi sebelum penempatan, yang menyebabkan penurunan performa yang relatif kecil sambil menambahkan privasi paket yang dilindungi AES-128 dan AES-256. Anda dapat mengaktifkan enkripsi menggunakan Pusat Admin Windows, Set-SmbServerConfiguration, atau kebijakan grup Penguatan UNC.

Selain itu, kluster failover Windows Server sekarang mendukung kontrol terperinci mengenkripsi komunikasi penyimpanan intra-node untuk Cluster Shared Volumes (CSV) dan lapisan bus penyimpanan (SBL). Dukungan ini berarti bahwa saat menggunakan Storage Spaces Direct dan SMB Direct, Anda dapat mengenkripsi komunikasi timur-barat dalam kluster itu sendiri untuk keamanan yang lebih tinggi.

Penting

Ada biaya operasi performa penting dengan perlindungan enkripsi end-to-end jika dibandingkan dengan yang tidak dienkripsi.

Aktifkan Enkripsi SMB

Anda dapat mengaktifkan Enkripsi SMB untuk seluruh server file atau hanya untuk berbagi file tertentu. Gunakan salah satu prosedur berikut untuk mengaktifkan Enkripsi SMB.

Mengaktifkan Enkripsi SMB dengan Pusat Admin Windows

1. Unduh dan instal Pusat Admin Windows.
2. Koneksi ke server file.
3. Pilih File & berbagi file.
4. Pilih tab Berbagi file.
5. Untuk memerlukan enkripsi pada berbagi, pilih nama berbagi dan pilih Aktifkan enkripsi SMB.
6. Untuk memerlukan enkripsi di server, pilih Pengaturan server file.
7. Di bawah Enkripsi SMB 3, pilih Diperlukan dari semua klien (yang lain ditolak), lalu pilih Simpan.

Aktifkan Enkripsi SMB dengan Penguatan UNC

UNC Hardening memungkinkan Anda mengonfigurasi klien SMB untuk memerlukan enkripsi terlepas dari pengaturan enkripsi server. Fitur ini membantu mencegah serangan intersepsi. Untuk mengonfigurasi UNC Hardening, lihat MS15-011: Kerentanan dalam Kebijakan Grup dapat memungkinkan eksekusi kode jarak jauh. Untuk informasi selengkapnya tentang pertahanan serangan intersepsi, lihat Cara Melindungi Pengguna dari Serangan Intersepsi melalui Pertahanan Klien SMB.

Mengaktifkan Enkripsi SMB dengan Windows PowerShell

1. Masuk ke server Anda dan jalankan PowerShell di komputer Anda dalam sesi yang ditingkatkan.

2. Untuk mengaktifkan Enkripsi SMB untuk berbagi file individual, jalankan perintah berikut.

   Set-SmbShare –Name <sharename> -EncryptData $true
   

3. Untuk mengaktifkan Enkripsi SMB untuk seluruh server file, jalankan perintah berikut.

   Set-SmbServerConfiguration –EncryptData $true
   

4. Untuk membuat berbagi file SMB baru dengan Enkripsi SMB diaktifkan, jalankan perintah berikut.

   New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
   

Memetakan drive dengan enkripsi

1. Untuk mengaktifkan Enkripsi SMB saat memetakan drive menggunakan PowerShell, jalankan perintah berikut.

   New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE
   

2. Untuk mengaktifkan Enkripsi SMB saat memetakan drive menggunakan CMD, jalankan perintah berikut.

   NET USE <drive letter> <UNC path> /REQUIREPRIVACY
   

Pertimbangan untuk menyebarkan Enkripsi SMB

Secara default, ketika Enkripsi SMB diaktifkan untuk berbagi file atau server, hanya klien SMB 3.0, 3.02, dan 3.1.1 yang diizinkan untuk mengakses berbagi file yang ditentukan. Batas ini memberlakukan niat administrator untuk melindungi data untuk semua klien yang mengakses berbagi.

Namun, dalam beberapa keadaan, administrator mungkin ingin mengizinkan akses tidak terenkripsi untuk klien yang tidak mendukung SMB 3.x. Situasi ini dapat terjadi selama periode transisi ketika versi sistem operasi klien campuran sedang digunakan. Untuk mengizinkan akses tidak terenkripsi untuk klien yang tidak mendukung SMB 3.x, masukkan skrip berikut di Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Catatan

Kami tidak menyarankan untuk mengizinkan akses yang tidak terenkripsi ketika Anda telah menyebarkan enkripsi. Perbarui klien untuk mendukung enkripsi sebagai gantinya.

Kemampuan integritas pra-autentikasi yang dijelaskan di bagian berikutnya mencegah serangan intersepsi menurunkan koneksi dari SMB 3.1.1 ke SMB 2.x (yang akan menggunakan akses yang tidak terenkripsi). Namun, itu tidak mencegah penurunan ke SMB 1.0, yang juga akan mengakibatkan akses yang tidak terenkripsi.

Untuk menjamin bahwa klien SMB 3.1.1 selalu menggunakan Enkripsi SMB untuk mengakses berbagi terenkripsi, Anda harus menonaktifkan server SMB 1.0. Untuk instruksi, sambungkan ke server dengan Pusat Admin Windows dan buka ekstensi File & Berbagi File, lalu pilih tab Berbagi file untuk diminta untuk menghapus instalasi. Untuk informasi selengkapnya, lihat Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Jika pengaturan –RejectUnencryptedAccess dibiarkan pada pengaturan default $true, hanya klien SMB 3.x berkemampuan enkripsi yang diizinkan untuk mengakses berbagi file (klien SMB 1.0 yang juga ditolak).

Pertimbangkan masalah berikut saat Anda menyebarkan Enkripsi SMB:

• Enkripsi SMB menggunakan algoritma Advanced Encryption Standard (AES)-GCM dan CCM untuk mengenkripsi dan mendekripsi data. AES-CMAC dan AES-GMAC juga menyediakan validasi integritas data (penandatanganan) untuk berbagi file terenkripsi, terlepas dari pengaturan penandatanganan SMB. Jika Anda ingin mengaktifkan penandatanganan SMB tanpa enkripsi, Anda dapat terus melakukannya. Untuk informasi selengkapnya, lihat Mengonfigurasi Penandatanganan SMB dengan Keyakinan.
• Anda mungkin mengalami masalah saat mencoba mengakses berbagi file atau server jika organisasi Anda menggunakan appliance akselerasi wide area network (WAN).
• Dengan konfigurasi default (di mana tidak ada akses yang tidak terenkripsi yang diizinkan untuk berbagi file terenkripsi), jika klien yang tidak mendukung SMB 3.x mencoba mengakses berbagi file terenkripsi, EVENT ID 1003 dicatat ke log peristiwa Microsoft-Windows-SmbServer/Operational, dan klien menerima pesan kesalahan Akses ditolak .
• Enkripsi SMB dan Sistem File Enkripsi (EFS) dalam sistem file NTFS tidak terkait, dan Enkripsi SMB tidak memerlukan atau bergantung pada penggunaan EFS.
• Enkripsi SMB dan Enkripsi Drive BitLocker tidak terkait, dan Enkripsi SMB tidak memerlukan atau bergantung pada penggunaan Enkripsi Drive BitLocker.

Integritas pra-autentikasi

SMB 3.1.1 mampu mendeteksi serangan intersepsi yang mencoba menurunkan tingkat protokol atau kemampuan yang dinegosiasikan klien dan server dengan menggunakan integritas pra-autentikasi. Integritas pra-autentikasi adalah fitur wajib di SMB 3.1.1. Ini melindungi dari perusakan pesan Negosiasi dan Penyiapan Sesi dengan menggunakan hashing kriptografi. Hash yang dihasilkan digunakan sebagai input untuk mendapatkan kunci kriptografi sesi, termasuk kunci penandatanganannya. Proses ini memungkinkan klien dan server untuk saling mempercayai properti koneksi dan sesi. Ketika klien atau server mendeteksi serangan seperti itu, koneksi terputus, dan ID peristiwa 1005 dicatat di log peristiwa Microsoft-Windows-SmbServer/Operasional.

Karena perlindungan ini, dan untuk memanfaatkan kemampuan penuh Enkripsi SMB, kami sangat menyarankan Agar Anda menonaktifkan server SMB 1.0. Untuk instruksi, sambungkan ke server dengan Pusat Admin Windows dan buka ekstensi File & Berbagi File, lalu pilih tab Berbagi file untuk diminta untuk menghapus instalasi. Untuk informasi selengkapnya, lihat Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Algoritma penandatanganan baru

SMB 3.0 dan 3.02 menggunakan algoritma enkripsi yang lebih baru untuk penandatanganan: Advanced Encryption Standard (AES)-kode autentikasi pesan berbasis sandi (CMAC). SMB 2.0 menggunakan algoritma enkripsi HMAC-SHA256 yang lebih lama. AES-CMAC dan AES-CCM dapat secara signifikan mempercepat enkripsi data pada sebagian besar CPU modern yang memiliki dukungan instruksi AES.

Windows Server 2022 dan Windows 11 memperkenalkan AES-128-GMAC untuk penandatanganan SMB 3.1.1. Windows secara otomatis menegosiasikan metode sandi berkinerja lebih baik ini ketika menyambungkan ke komputer lain yang mendukungnya. Windows masih mendukung AES-128-CMAC. Untuk informasi selengkapnya, lihat Mengonfigurasi Penandatanganan SMB dengan Keyakinan.

Menonaktifkan SMB 1.0

SMB 1.0 tidak diinstal secara default mulai windows Server versi 1709 dan Windows 10 versi 1709. Untuk instruksi tentang menghapus SMB1, sambungkan ke server dengan Pusat Admin Windows, buka ekstensi File & Berbagi File, lalu pilih tab Berbagi file untuk diminta untuk menghapus instalasi. Untuk informasi selengkapnya, lihat Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Jika masih terinstal, Anda harus segera menonaktifkan SMB1. Untuk informasi selengkapnya tentang mendeteksi dan menonaktifkan penggunaan SMB 1.0, lihat Berhenti menggunakan SMB1. Untuk clearinghouse perangkat lunak yang sebelumnya atau saat ini memerlukan SMB 1.0, lihat SMB1 Product Clearinghouse.

Tautan terkait

• Ikhtisar berbagi file menggunakan protokol SMB 3 di Windows Server
• Dokumentasi Penyimpanan Windows Server
• Server File Perluasan Skala untuk gambaran umum data aplikasi