Улучшения в безопасности SMB

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

В этой статье описаны улучшения системы безопасности SMB в Windows Server.

Шифрование SMB

Шифрование по протоколу SMB обеспечивает сквозное шифрование данных SMB и защищает их от перехвата в ненадежных сетях. Вы можете развернуть шифрование SMB с минимальными усилиями, но могут потребоваться незначительные дополнительные затраты на специализированное оборудование или программное обеспечение. Требования в отношении ускорителей IPsec или глобальной сети (WAN) отсутствуют. Шифрование SMB можно настроить для отдельных общих папок или всего файлового сервера и включить для ряда сценариев, при которых данные проходят через ненадежные сети.

Примечание

Шифрование SMB не охватывает безопасность неактивных данных, которые обычно обрабатываются с помощью шифрования диска BitLocker.

Шифрование SMB следует рассматривать для всех сценариев, в которых конфиденциальные данные необходимо защитить от атак типа "злоумышленник в середине". Вот возможные сценарии.

  • Конфиденциальные данные информационного работника перемещаются с использованием протокола SMB. Шифрование SMB обеспечивает комплексную конфиденциальность и целостность данных между файловым сервером и клиентом независимо от прохождения сетей, например, для подключений WAN, поддерживаемых сторонними поставщиками.
  • Протокол SMB 3.0 позволяет файловым серверам обеспечивать постоянное доступное хранилище для серверных приложений, таких как SQL Server или Hyper-V. Включение шифрования SMB позволяет защитить эту информацию от атак. Шифрование SMB проще использовать, чем выделяемые аппаратные решения, необходимые для большинства сетей хранения данных (SAN).

На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для шифрования SMB 3.1.1. Windows будет автоматически согласовывать этот более сложный метод шифрования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политики. Windows по-прежнему поддерживает AES-128-GCM и AES-128-CCM. По умолчанию AES-128-GCM согласовывается с SMB 3.1.1, что обеспечивает оптимальный баланс между безопасностью и производительностью.

Windows Server 2022 и Windows 11 SMB Direct теперь поддерживает шифрование. Раньше при включении шифрования SMB функция прямого размещения данных отключалась, что уменьшало производительность RDMA до уровня TCP. Теперь шифрование данных выполняется до размещения, благодаря чему происходит относительно небольшое снижение производительности при добавлении конфиденциальности пакетов, защищаемых с помощью AES-128 и AES-256. Чтобы включить шифрование, можно использовать Windows Admin Center, Set-SmbServerConfiguration или групповую политику усиления защиты UNC. Кроме того, отказоустойчивые кластеры Windows Server теперь поддерживают гибкий контроль над шифрованием обмена данными внутри узлов для общих томов кластера (CSV) и уровня шины хранилища (SBL). Это означает, что при использовании локальных дисковых пространств и SMB Direct вы можете шифровать обмен данными в направлении с востока на запад в самом кластере для повышения безопасности.

Важно!

Обратите внимание, что при любой сквозной защите шифрования существуют значительные эксплуатационные затраты в сравнении с использованием незашифрованных данных.

Включение шифрования SMB

Вы можете включить шифрование SMB для всего файлового сервера или только для определенных общих папок. Чтобы включить шифрование SMB, используйте одну из приведенных ниже процедур.

Включение шифрования SMB с помощью Windows Admin Center

  1. Скачайте и установите Windows Admin Center.
  2. Подключитесь к файловому серверу.
  3. Щелкните файлы общий доступ кфайлам.
  4. Перейдите на вкладку Общие папки.
  5. Чтобы затребовать шифрование в общей папке, щелкните имя общей папки и выберите Включить шифрование SMB.
  6. Чтобы затребовать шифрование на сервере, нажмите кнопку *Параметры файлового сервера, а затем в разделе "Шифрование SMB 3" установите флажок Требуется для всех клиентов (другие отклоняются) и нажмите кнопку Сохранить.

Включение шифрования SMB с помощью усиления защиты UNC

Усиление защиты UNC позволяет настроить клиенты SMB на обязательное шифрование, независимо от параметров шифрования сервера. Данная возможность используется для предотвращения атак методом перехвата. Чтобы настроить усиление защиты UNC, ознакомьтесь с документом MS15-011. Уязвимость в групповой политике делает возможным удаленное выполнение кода. Дополнительные сведения о защите от атак методом перехвата см. в статье Как защищать пользователей от атак методом перехвата с помощью защиты SMB-клиентов.

Включение шифрования SMB с помощью Windows PowerShell

  1. Чтобы включить шифрование SMB для отдельной общей папки, введите следующий скрипт на сервере:

    Set-SmbShare –Name <sharename> -EncryptData $true
    
  2. Чтобы включить шифрование SMB для всего файлового сервера, введите следующий скрипт на сервере:

    Set-SmbServerConfiguration –EncryptData $true
    
  3. Чтобы создать общую папку SMB с включенным шифрованием SMB, введите следующий скрипт:

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
    

Рекомендации по развертыванию шифрования SMB

По умолчанию, если для общей папки или сервера включено шифрование SMB, доступ к указанным общим папкам разрешен только клиентам SMB 3.0, 3.02 и 3.1.1. Это вынуждает администратора защитить данные для всех клиентов с доступом к общим папкам. Тем не менее при некоторых обстоятельствах администратору может потребоваться разрешить незашифрованный доступ для клиентов, не поддерживающих SMB 3.x (например, в течение периода перехода, когда в клиентах используются смешанные версии операционной системы). Чтобы разрешить незашифрованный доступ для клиентов, не поддерживающих SMB 3.x, введите следующий скрипт в Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Примечание

  • Разрешать незашифрованный доступ при развернутом шифровании не рекомендуется. Вместо этого рекомендуется обновить клиенты, чтобы они поддерживали шифрование.

Возможность обеспечения целостности предварительной проверки подлинности, описанная в следующем разделе, предотвращает атаки методом перехвата, которые могут понизить уровень подключения с SMB 3.1.1 до SMB 2.x (где используется незашифрованный доступ). Тем не менее она не предотвращает понижение на уровень более ранней версии SMB 1.0, что также приводит к незашифрованному доступу. Чтобы клиенты SMB 3.1.1 всегда использовали шифрование SMB для доступа к зашифрованным общим папкам, необходимо отключить сервер SMB 1.0. чтобы получить инструкции, подключитесь к серверу с помощью Windows центра администрирования и откройте расширение общего доступа к файлам файлов, а затем перейдите на вкладку общие папки , чтобы получить запрос на удаление или обнаружение, включение и отключение SMBv1, smb и SMBv3 в Windows. Если для параметра –RejectUnencryptedAccess оставить значение по умолчанию $true, доступ к общим папкам будет разрешен только клиентам SMB 3.x с поддержкой шифрования (а клиенты SMB 1.0 также будут отклоняться).

Примечание

  • Для шифрования и дешифрования данных функция шифрования SMB использует алгоритм AES-GCM и CCM. AES-CMAC и AES-GMAC также обеспечивают проверку целостности данных (подписывание) для зашифрованных общих папок, независимо от параметров подписывания SMB. Если вы хотите включить подписывание SMB без шифрования, можно выполнить эту задачу. Дополнительные сведения см. в статье Надежная настройка подписывания SMB.
  • При попытке доступа к общей папке или серверу могут возникнуть проблемы, если в вашей организации используются устройства ускорения WAN.
  • Если клиенты, не поддерживающие SMB 3.x, при использовании конфигурации по умолчанию (где незашифрованный доступ к зашифрованным общим папкам не разрешен) будут пытаться получить доступ к зашифрованной общей папке, событие с идентификатором 1003 будет занесено в журнал событий Microsoft-Windows-SmbServer/Operational, а клиент получит сообщение об ошибке Доступ запрещен.
  • Шифрование SMB и шифрованная файловая система (EFS) в файловой системе NTFS не связаны друг с другом, при этом шифрование SMB не требует использования EFS или не зависит от этой системы.
  • Шифрование SMB и шифрование диска BitLocker не связаны, а это значит, что шифрование SMB не требует использования шифрования диска BitLocker и не зависит от него.

Целостность предварительной проверки подлинности

SMB 3.1.1 может обнаруживать атаки методом перехвата, которые пытаются понизить уровень протокола или возможности, согласованные клиентом и сервером, с помощью обеспечения целостности предварительной проверки подлинности. Целостность предварительной проверки подлинности является обязательной функцией в SMB 3.1.1. Она защищает от любых изменений в сообщениях о согласовании и настройке сеанса благодаря применению криптографического хэширования. Результирующий хэш используется в качестве входных данных для получения криптографических ключей сеанса, включая его ключ подписывания. Это позволяет клиенту и серверу взаимно доверять свойствам подключения и сеанса. Когда клиент или сервер обнаруживает такую атаку, подключение отключается и событие с идентификатором 1005 заносится в журнал событий Microsoft-Windows-SmbServer/Operational. Поэтому мы настоятельно рекомендуем отключить сервер SMB 1.0, чтобы пользоваться всеми возможностями шифрования SMB. чтобы получить инструкции, подключитесь к серверу с помощью Windows центра администрирования и откройте расширение общего доступа к файлам файлов, а затем перейдите на вкладку общие папки , чтобы получить запрос на удаление или обнаружение, включение и отключение SMBv1, smb и SMBv3 в Windows.

Новый алгоритм подписывания

SMB 3.0 и 3.02 используют более новый алгоритм шифрования для подписывания: AES — код проверки подлинности сообщений на основе шифров (CMAC). В SMB 2.0 использовался старый алгоритм шифрования HMAC-SHA256. AES-CMAC и AES-CCM могут значительно ускорить шифрование данных на самых современных процессорах с поддержкой инструкций AES.

В Windows Server 2022 и Windows 11 применяется AES-128-GMAC для подписывания SMB 3.1.1. Windows будет автоматически согласовывать этот более качественный метод шифрования при подключении к другому компьютеру, который его поддерживает. Windows по-прежнему поддерживает AES-128-CMAC. Дополнительные сведения см. в статье Надежная настройка подписывания SMB.

Отключение SMB 1.0

SMB 1.0 не устанавливается по умолчанию, начиная с Windows Server, версия 1709, и Windows 10, версия 1709. чтобы получить инструкции по удалению протокола smb1, подключитесь к серверу с помощью Windows центра администрирования и откройте расширение общего доступа к файлам файлов, а затем перейдите на вкладку общие папки , чтобы получить запрос на удаление , включение и отключение SMBv1, smb и SMBv3 в Windows необходимо немедленно отключить SMB1. Дополнительные сведения об обнаружении SMB 1.0 и его отключении см. в статье Прекращение использования SMB1. Дополнительные сведения о программном обеспечении, для которого раньше или сейчас требуется SMB 1.0, см. в статье По-прежнему требуется SMB1.

Дополнительные сведения

Ниже приведены некоторые дополнительные ресурсы по SMB и связанным технологиям в Windows Server 2012.