Peningkatan keamanan SMB

  • Artikel
  • 7 menit untuk membaca

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versi 21H2

Topik ini menjelaskan peningkatan keamanan SMB di Windows Server.

Enkripsi SMB

Enkripsi SMB menyediakan enkripsi data SMB end-to-end dan melindungi data dari kejadian penyadapan pada jaringan yang tidak tepercaya. Anda dapat menyebarkan Enkripsi SMB dengan upaya minimal, tetapi mungkin memerlukan biaya tambahan kecil untuk perangkat keras atau perangkat lunak khusus. Ini tidak memiliki persyaratan untuk keamanan Protokol Internet (IPsec) atau akselerator WAN. Enkripsi SMB dapat dikonfigurasi per berbagi atau untuk seluruh server file, dan dapat diaktifkan untuk berbagai skenario di mana data melintasi jaringan yang tidak tepercaya.

Catatan

Enkripsi SMB tidak mencakup keamanan saat tidak aktif, yang biasanya ditangani oleh Enkripsi Drive BitLocker.

Enkripsi SMB harus dipertimbangkan untuk skenario apa pun di mana data sensitif perlu dilindungi dari serangan intersepsi. Skenario yang mungkin meliputi:

  • Data sensitif pekerja informasi dipindahkan dengan menggunakan protokol SMB. Enkripsi SMB menawarkan jaminan privasi dan integritas end-to-end antara server file dan klien, terlepas dari jaringan yang dilalui, seperti koneksi jaringan area luas (WAN) yang dikelola oleh penyedia non-Microsoft.
  • SMB 3.0 memungkinkan server file menyediakan penyimpanan yang terus tersedia untuk aplikasi server, seperti SQL Server atau Hyper-V. Mengaktifkan Enkripsi SMB memberikan kesempatan untuk melindungi informasi tersebut dari serangan pengintaian. Enkripsi SMB lebih mudah digunakan daripada solusi perangkat keras khusus yang diperlukan untuk sebagian besar jaringan area penyimpanan (SAN).

Windows Server 2022 dan Windows 11 memperkenalkan suite kriptografi AES-256-GCM dan AES-256-CCM untuk enkripsi SMB 3.1.1. Windows akan secara otomatis menegosiasikan metode sandi yang lebih canggih ini ketika menyambungkan ke komputer lain yang mendukungnya, dan juga dapat diamanatkan melalui Kebijakan Grup. Windows masih mendukung AES-128-GCM dan AES-128-CCM. Secara default, AES-128-GCM dinegosiasikan dengan SMB 3.1.1, menghadirkan keseimbangan keamanan dan performa terbaik.

Windows Server 2022 dan Windows 11 SMB Direct sekarang mendukung enkripsi. Sebelumnya, mengaktifkan enkripsi SMB menonaktifkan penempatan data langsung, membuat performa RDMA selambat TCP. Sekarang data dienkripsi sebelum penempatan, yang menyebabkan penurunan performa yang relatif kecil sambil menambahkan privasi paket yang dilindungi AES-128 dan AES-256. Anda dapat mengaktifkan enkripsi menggunakan Windows Admin Center, Set-SmbServerConfiguration, atau kebijakan grup Penguatan UNC. Selain itu, kluster failover Windows Server sekarang mendukung kontrol terperinci untuk mengenkripsi komunikasi penyimpanan intra-node untuk Cluster Shared Volumes (CSV) dan lapisan bus penyimpanan (SBL). Ini berarti bahwa saat menggunakan Storage Spaces Direct dan SMB Direct, Anda dapat memutuskan untuk mengenkripsi komunikasi timur-barat dalam kluster itu sendiri untuk keamanan yang lebih tinggi.

Penting

Anda harus mencatat bahwa ada biaya pengoperasian performa penting dengan perlindungan enkripsi end-to-end jika dibandingkan dengan yang tidak dienkripsi.

Aktifkan Enkripsi SMB

Anda dapat mengaktifkan Enkripsi SMB untuk seluruh server file atau hanya untuk berbagi file tertentu. Gunakan salah satu prosedur berikut untuk mengaktifkan Enkripsi SMB:

Mengaktifkan Enkripsi SMB dengan Pusat Admin Windows

  1. Unduh dan instal Pusat Admin Windows.
  2. Koneksi ke server file.
  3. Klik Berbagi file file&.
  4. Klik tab Berbagi file .
  5. Untuk memerlukan enkripsi pada berbagi, klik nama berbagi dan pilih Aktifkan enkripsi SMB.
  6. Untuk memerlukan enkripsi di server, klik tombol *Pengaturan server file , lalu di bawah "Enkripsi SMB 3" pilih Diperlukan dari semua klien (yang lain ditolak) dan klik Simpan.

Aktifkan Enkripsi SMB dengan Pengerasan UNC

Penguatan UNC memungkinkan Anda mengonfigurasi klien SMB untuk memerlukan enkripsi terlepas dari pengaturan enkripsi server. Ini berguna untuk mencegah serangan intersepsi. Untuk mengonfigurasi Penguatan UNC, tinjau MS15-011: Kerentanan dalam Kebijakan Grup dapat memungkinkan eksekusi kode jarak jauh. Untuk informasi selengkapnya tentang pertahanan serangan intersepsi, tinjau Cara Mempertahankan Pengguna dari Serangan Intersepsi melalui Pertahanan Klien SMB.

Aktifkan Enkripsi SMB dengan Windows PowerShell

  1. Untuk mengaktifkan Enkripsi SMB untuk berbagi file individual, ketik skrip berikut ini di server:

    Set-SmbShare –Name <sharename> -EncryptData $true

  2. Untuk mengaktifkan Enkripsi SMB untuk seluruh server file, ketik skrip berikut di server:

    Set-SmbServerConfiguration –EncryptData $true

  3. Untuk membuat berbagi file SMB baru dengan Enkripsi SMB diaktifkan, ketik skrip berikut:

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Pertimbangan untuk menyebarkan Enkripsi SMB

Secara default, ketika Enkripsi SMB diaktifkan untuk berbagi file atau server, hanya klien SMB 3.0, 3.02, dan 3.1.1 yang diizinkan untuk mengakses berbagi file yang ditentukan. Ini memberlakukan niat administrator untuk melindungi data untuk semua klien yang mengakses berbagi. Namun, dalam beberapa keadaan, administrator mungkin ingin mengizinkan akses tidak terenkripsi untuk klien yang tidak mendukung SMB 3.x (misalnya, selama periode transisi ketika versi sistem operasi klien campuran sedang digunakan). Untuk mengizinkan akses tidak terenkripsi untuk klien yang tidak mendukung SMB 3.x, ketik skrip berikut di Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Catatan

  • Kami tidak menyarankan untuk mengizinkan akses tidak terenkripsi ketika Anda telah menyebarkan enkripsi. Perbarui klien untuk mendukung enkripsi sebagai gantinya.

Kemampuan integritas pra-autentikasi yang dijelaskan di bagian berikutnya mencegah serangan intersepsi menurunkan koneksi dari SMB 3.1.1 ke SMB 2.x (yang akan menggunakan akses tidak terenkripsi). Namun, itu tidak mencegah penurunan ke SMB 1.0, yang juga akan mengakibatkan akses yang tidak terenkripsi. Untuk menjamin bahwa klien SMB 3.1.1 selalu menggunakan Enkripsi SMB untuk mengakses berbagi terenkripsi, Anda harus menonaktifkan server SMB 1.0. Untuk instruksi, sambungkan ke server dengan pusat admin Windows dan buka ekstensi Berbagi File, & lalu klik tab Berbagi file untuk diminta untuk menghapus instalasi atau lihat Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows. Jika pengaturan –RejectUnencryptedAccess dibiarkan pada pengaturan default $true, hanya klien SMB 3.x berkemampuan enkripsi yang diizinkan untuk mengakses berbagi file (klien SMB 1.0 yang juga akan ditolak).

Catatan

  • Enkripsi SMB menggunakan algoritma Advanced Encryption Standard (AES)-GCM dan CCM untuk mengenkripsi dan mendekripsi data. AES-CMAC dan AES-GMAC juga menyediakan validasi integritas data (penandatanganan) untuk berbagi file terenkripsi, terlepas dari pengaturan penandatanganan SMB. Jika Anda ingin mengaktifkan penandatanganan SMB tanpa enkripsi, Anda dapat terus melakukan ini. Untuk informasi selengkapnya, lihat Mengonfigurasi Penandatanganan SMB dengan Percaya Diri.
  • Anda mungkin mengalami masalah saat mencoba mengakses berbagi file atau server jika organisasi Anda menggunakan appliance akselerasi wide area network (WAN).
  • Dengan konfigurasi default (di mana tidak ada akses tidak terenkripsi yang diizinkan untuk berbagi file terenkripsi), jika klien yang tidak mendukung SMB 3.x mencoba mengakses berbagi file terenkripsi, ID Peristiwa 1003 dicatat ke log peristiwa Microsoft-Windows-SmbServer/Operasional, dan klien akan menerima pesan kesalahan Akses ditolak.
  • Enkripsi SMB dan Sistem File Enkripsi (EFS) dalam sistem file NTFS tidak terkait, dan Enkripsi SMB tidak memerlukan atau bergantung pada penggunaan EFS.
  • Enkripsi SMB dan Enkripsi Drive BitLocker tidak terkait, dan Enkripsi SMB tidak memerlukan atau bergantung pada penggunaan Enkripsi Drive BitLocker.

Integritas Pra-autentikasi

SMB 3.1.1 mampu mendeteksi serangan intersepsi yang mencoba menurunkan protokol atau kemampuan yang dinegosiasikan klien dan server dengan menggunakan integritas pra-autentikasi. Integritas pra-autentikasi adalah fitur wajib di SMB 3.1.1. Ini melindungi dari setiap perusakan pesan Negosiasi dan Penyiapan Sesi dengan memanfaatkan hash kriptografi. Hash yang dihasilkan digunakan sebagai input untuk mendapatkan kunci kriptografi sesi, termasuk kunci penandatanganannya. Ini memungkinkan klien dan server untuk saling mempercayai properti koneksi dan sesi. Ketika serangan seperti itu terdeteksi oleh klien atau server, koneksi terputus dan ID peristiwa 1005 dicatat dalam log peristiwa Microsoft-Windows-SmbServer/Operasional. Karena itu, dan untuk memanfaatkan kemampuan penuh Enkripsi SMB, kami sangat menyarankan Agar Anda menonaktifkan server SMB 1.0. Untuk instruksi, sambungkan ke server dengan pusat admin Windows dan buka ekstensi Berbagi File, & lalu klik tab Berbagi file untuk diminta untuk menghapus instalasi atau lihat Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows.

Algoritma penandatanganan baru

SMB 3.0 dan 3.02 menggunakan algoritma enkripsi yang lebih baru untuk penandatanganan: Advanced Encryption Standard (AES)-kode autentikasi pesan berbasis sandi (CMAC). SMB 2.0 menggunakan algoritma enkripsi HMAC-SHA256 yang lebih lama. AES-CMAC dan AES-CCM dapat secara signifikan mempercepat enkripsi data pada sebagian besar CPU modern yang memiliki dukungan instruksi AES.

Windows Server 2022 dan Windows 11 memperkenalkan AES-128-GMAC untuk penandatanganan SMB 3.1.1. Windows akan secara otomatis menegosiasikan metode sandi berkinerja lebih baik ini saat menyambungkan ke komputer lain yang mendukungnya. Windows masih mendukung AES-128-CMAC. Untuk informasi selengkapnya, lihat Mengonfigurasi Penandatanganan SMB dengan Percaya Diri.

Menonaktifkan SMB 1.0

SMB 1.0 tidak diinstal secara default mulai dari Windows Server versi 1709 dan Windows 10 versi 1709. Untuk instruksi tentang menghapus SMB1, sambungkan ke server dengan Pusat Admin Windows dan buka & ekstensi Berbagi File lalu klik tab Berbagi file untuk diminta untuk menghapus instalasi atau lihat Cara mendeteksi, mengaktifkan, dan menonaktifkan SMBv1, SMBv2, dan SMBv3 di Windows Anda harus segera menonaktifkan SMB1 masih diinstal. Untuk informasi selengkapnya tentang mendeteksi dan menonaktifkan penggunaan SMB 1.0, tinjau Berhenti menggunakan SMB1. Untuk clearinghouse perangkat lunak yang sebelumnya atau saat ini memerlukan SMB 1.0, tinjau Still Needs SMB1.

Informasi selengkapnya

Berikut adalah beberapa sumber daya tambahan tentang SMB dan teknologi terkait di Windows Server 2012.