Megosztás a következőn keresztül:

SMB biztonsági fejlesztések

Ez a cikk a Windows Server és a Windows SMB biztonsági fejlesztéseit ismerteti.

SMB-titkosítás

Az SMB-titkosítás végpontok közötti SMB-titkosítást biztosít, és védelmet nyújt az adatoknak a nem megbízható hálózatokon történő lehallgatástól. Az SMB-titkosítást minimális erőfeszítéssel üzembe helyezheti, de a speciális hardverek vagy szoftverek esetében más költségekre is szükség lehet. Nincsenek követelményei az internetes protokoll biztonságra (IPsec) vagy WAN-gyorsítókra. Az SMB-titkosítás konfigurálható megosztásonként, a teljes fájlkiszolgálón vagy a meghajtók leképezésekor.

Jegyzet

Az SMB-titkosítás nem terjed ki az inaktív biztonságra, amelyet általában a BitLocker meghajtótitkosítás kezel.

Az SMB-titkosítást minden olyan forgatókönyv esetében megfontolhatja, amelyben a bizalmas adatokat védeni kell az elfogási támadásoktól. A lehetséges forgatókönyvek a következők:

  • Az adatfeldolgozó bizalmas adatait az SMB protokoll használatával helyezheti át. Az SMB Encryption teljes körű adatvédelmet és integritást biztosít a fájlkiszolgáló és az ügyfél között. Ezt a biztonságot a bejárt hálózatoktól függetlenül biztosítja, például a nem Microsoft-szolgáltatók által fenntartott nagy kiterjedésű hálózati (WAN-) kapcsolatokat.
  • Az SMB 3.0 lehetővé teszi, hogy a fájlkiszolgálók folyamatosan rendelkezésre álló tárolót biztosítsanak a kiszolgálóalkalmazásokhoz, például az SQL Serverhez vagy a Hyper-V-hez. Az SMB-titkosítás engedélyezése lehetővé teszi, hogy megvédje ezeket az információkat a támadásoktól. Az SMB-titkosítás használata egyszerűbb, mint a legtöbb tárolóhálózathoz (SAN-hez) szükséges dedikált hardvermegoldások.

A Windows Server 2022 és a Windows 11 AES-256-GCM és AES-256-CCM titkosítási csomagokat vezet be az SMB 3.1.1 titkosításhoz. A Windows automatikusan egyezteti ezt a fejlettebb titkosítási módszert, amikor egy másik, azt támogató számítógéphez csatlakozik. Ezt a módszert a csoportházirend segítségével is előírhatja. A Windows továbbra is támogatja az AES-128-GCM és az AES-128-CCM használatát. Alapértelmezés szerint az AES-128-GCM egyeztetése az SMB 3.1.1-es verziójával történik, így a biztonság és a teljesítmény legjobb egyensúlya érhető el.

A Windows Server 2022 és a Windows 11 SMB Direct mostantól támogatja a titkosítást. Korábban az SMB-titkosítás engedélyezése letiltotta a közvetlen adatelhelyezést, így az RDMA teljesítménye olyan lassú, mint a TCP. Most az adatok titkosítása az elhelyezés előtt történik, ami viszonylag kisebb teljesítménycsökkenéshez vezet az AES-128 és az AES-256 által védett csomagok védelme mellett. A titkosítást Windows Felügyeleti központ, Set-SmbServerConfigurationvagy UNC Hardening csoportházirendhasználatával engedélyezheti.

Emellett a Windows Server feladatátvételi fürtjei mostantól támogatják a csomópontok közötti tárolókommunikáció titkosításának finomhangolt irányítását a fürtmegosztott kötetek (CSV) és a tárolóbuszréteg (SBL) esetében. Ez a támogatás azt jelenti, hogy a Közvetlen tárolóhelyek és az SMB Direct használatakor a fürtben lévő kelet-nyugati kommunikációt titkosíthatja a nagyobb biztonság érdekében.

Fontos

A végpontok közötti titkosítás jelentős teljesítménybeli üzemeltetési költséggel jár a nem titkosított megoldásokkal összehasonlítva.

SMB-titkosítás engedélyezése

Engedélyezheti az SMB-titkosítást a teljes fájlkiszolgálón, vagy csak adott fájlmegosztásokhoz. Az SMB-titkosítás engedélyezéséhez használja az alábbi eljárások egyikét.

SMB-titkosítás engedélyezése a Windows Felügyeleti központtal

  1. Töltse le és telepítse Windows Felügyeleti központ.
  2. Csatlakozzon a fájlkiszolgálóhoz.
  3. Válassza Fájlok & fájlmegosztásilehetőséget.
  4. Válassza a Fájlmegosztások lapot.
  5. Ha titkosítást szeretne igényelni egy megosztáson, válassza ki a megosztás nevét, és válassza SMB-titkosítás engedélyezése.
  6. Ha titkosítást szeretne igényelni a kiszolgálón, válassza Fájlkiszolgáló beállításailehetőséget.
  7. Az SMB 3 titkosításibeállításnál válassza a Kötelező az összes ügyféltől (mások el lesznek utasítva), majd válassza a Mentéslehetőséget.

Az SMB-titkosítás engedélyezése UNC-alapú megkeményítéssel

Az UNC hardening lehetővé teszi az SMB-ügyfelek konfigurálását úgy, hogy a kiszolgáló titkosítási beállításaitól függetlenül titkosítást igényeljenek. Ez a funkció segít megelőzni az adatelfogó támadásokat. Az UNC Hardening konfigurálásához tekintse meg MS15-011: A csoportházirend biztonsági rése lehetővé teheti a távoli kódfuttatást. Az elfogó támadások elleni védelemről további információt az Felhasználók védelme az SMB Client Defensekeresztüli elfogási támadások ellen című témakörben talál.

SMB-titkosítás engedélyezése a Windows PowerShell használatával

  1. Jelentkezzen be a kiszolgálóra, és futtassa a PowerShellt a számítógépen egy emelt szintű munkamenetben.

  2. Ha engedélyezni szeretné az SMB-titkosítást egy adott fájlmegosztáshoz, futtassa a következő parancsot.

    Set-SmbShare –Name <sharename> -EncryptData $true

  3. A teljes fájlkiszolgáló SMB-titkosításának engedélyezéséhez futtassa a következő parancsot.

    Set-SmbServerConfiguration –EncryptData $true

  4. Ha új SMB-fájlmegosztást szeretne létrehozni, amelyen engedélyezve van az SMB-titkosítás, futtassa a következő parancsot.

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Meghajtók leképezése titkosítással

  1. Ha engedélyezni szeretné az SMB-titkosítást egy meghajtó PowerShell-lel való leképezésekor, futtassa az alábbi parancsot.

    New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE

  2. Ha engedélyezni szeretné az SMB-titkosítást egy meghajtó CMD használatával történő leképezésekor, futtassa a következő parancsot.

    NET USE <drive letter> <UNC path> /REQUIREPRIVACY

Az SMB-titkosítás üzembe helyezésének szempontjai

Ha az SMB-titkosítás engedélyezve van egy fájlmegosztáshoz vagy -kiszolgálóhoz, alapértelmezés szerint csak az SMB 3.0, 3.02 és 3.1.1 ügyfelek férhetnek hozzá a megadott fájlmegosztásokhoz. Ez a korlát kikényszeríti a rendszergazda azon szándékát, hogy a megosztásokhoz hozzáférő összes ügyfél számára védje az adatokat.

Bizonyos körülmények között azonban előfordulhat, hogy a rendszergazda titkosítatlan hozzáférést szeretne engedélyezni az SMB 3.x-et nem támogató ügyfelek számára. Ez a helyzet egy átmeneti időszakban fordulhat elő, amikor vegyes ügyfél operációsrendszer-verziókat használnak. Ha nem titkosított hozzáférést szeretne engedélyezni az SMB 3.x-et nem támogató ügyfelek számára, írja be a következő szkriptet a Windows PowerShellben:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Jegyzet

A titkosítás telepítésekor nem javasoljuk a titkosítatlan hozzáférés engedélyezését. Frissítse az ügyfeleket a titkosítás támogatásához.

A következő szakaszban ismertetett előhitelesítési integritási képesség megakadályozza, hogy az elfogási támadás az SMB 3.1.1 és az SMB 2.x közötti kapcsolatot visszafejtse (amely titkosítatlan hozzáférést használna). Ez azonban nem akadályozza meg az SMB 1.0-ra való visszalépést, ami titkosítatlan hozzáférést is eredményezne.

Annak biztosítása érdekében, hogy az SMB 3.1.1-ügyfelek mindig SMB-titkosítással férhessenek hozzá a titkosított megosztásokhoz, le kell tiltania az SMB 1.0-kiszolgálót. Útmutatásért csatlakozzon a kiszolgálóhoz a Windows Felügyeleti központ használatával, és nyissa meg a Fájlok & Fájlmegosztás bővítményt, majd válassza ki a Fájlmegosztások lapot, hogy megjelenjen az eltávolítási folyamat. További információért lásd: Az SMBv1, SMBv2 és SMBv3 észlelése, engedélyezése és letiltása Windowsban.

Ha a –RejectUnencryptedAccess beállítás az alapértelmezett $truebeállításnál marad, csak a titkosításra képes SMB 3.x-ügyfelek férhetnek hozzá a fájlmegosztásokhoz (az SMB 1.0-ügyfeleket is elutasítja).

Az SMB-titkosítás üzembe helyezése során vegye figyelembe a következő problémákat:

  • Az SMB Encryption az Advanced Encryption Standard (AES)-GCM és CCM algoritmust használja az adatok titkosításához és visszafejtéséhez. AES-CMAC és AES-GMAC az SMB aláírási beállításaitól függetlenül adatintegritási ellenőrzést (aláírást) is biztosít a titkosított fájlmegosztásokhoz. Ha titkosítás nélkül szeretné engedélyezni az SMB-aláírást, ezt továbbra is megteheti. További információért lásd: Az SMB-aláírás magabiztos konfigurálása.
  • Problémákat tapasztalhat a fájlmegosztás vagy a kiszolgáló elérésekor, ha a szervezet nagy kiterjedésű hálózati (WAN) gyorsító berendezéseket használ.
  • Ha az SMB 3.x nem támogatja a titkosított fájlmegosztások elérését, az alapértelmezett konfiguráció (ahol nincs titkosítatlan hozzáférés a titkosított fájlmegosztásokhoz) esetén a rendszer naplózza az 1003-as eseményazonosítót a Microsoft-Windows-SmbServer/Operational eseménynaplóba, és az ügyfél egy Hozzáférés megtagadva hibaüzenetet kap.
  • Az SMB-titkosítás és az NTFS fájlrendszer titkosítási fájlrendszere (EFS) nem kapcsolódik egymáshoz, és az SMB-titkosítás nem igényel vagy függ az EFS-használattól.
  • Az SMB-titkosítás és a BitLocker meghajtótitkosítás nem kapcsolódik egymáshoz, és az SMB-titkosítás nem igényel vagy függ a BitLocker meghajtótitkosításától.

Előhitelesítés integritása

Az SMB 3.1.1 képes észlelni azokat az elfogási támadásokat, amelyek megpróbálják leminősíteni a protokollt vagy azokat a képességeket, amelyeket az ügyfél és a kiszolgáló az előhitelesítési integritás használatával tárgyal. Az előhitelesítés integritása az SMB 3.1.1 kötelező funkciója. Titkosítási kivonatolással véd az egyeztetési és munkamenet-beállítási üzenetek illetéktelen módosításától. Az eredményként kapott kivonatot a rendszer bemenetként használja a munkamenet titkosítási kulcsainak kinyeréséhez, beleértve annak aláírókulcsát is. Ez a folyamat lehetővé teszi, hogy az ügyfél és a kiszolgáló kölcsönösen megbízzanak a kapcsolat és a munkamenet tulajdonságaiban. Amikor az ügyfél vagy a kiszolgáló észlel egy ilyen támadást, a kapcsolat megszakad, és az 1005-ös eseményazonosító a Microsoft-Windows-SmbServer/Operational eseménynaplóban lesz naplózva.

A védelem miatt és az SMB-titkosítás teljes képességeinek kihasználásához határozottan javasoljuk, hogy tiltsa le az SMB 1.0-kiszolgálót. Útmutatásért csatlakozzon a kiszolgálóhoz a Windows Felügyeleti központ használatával, és nyissa meg a Fájlok & Fájlmegosztás bővítményt, majd válassza ki a Fájlmegosztások lapot, hogy megjelenjen az eltávolítási folyamat. További információért lásd: Az SMBv1, SMBv2 és SMBv3 észlelése, engedélyezése és letiltása Windowsban.

Új aláíró algoritmus

Az SMB 3.0 és 3.02 egy újabb titkosítási algoritmust használ az aláíráshoz: Advanced Encryption Standard (AES)-cipher-alapú üzenethitelesítési kód (CMAC). Az SMB 2.0 a régebbi HMAC-SHA256 titkosítási algoritmust használta. AES-CMAC és AES-CCM jelentősen felgyorsíthatják az adattitkosítást az AES-utasítástámogatással rendelkező legtöbb modern processzoron.

A Windows Server 2022 és a Windows 11 az SMB 3.1.1 aláíráshoz készült AES-128-GMAC-t mutatja be. A Windows automatikusan egyezteti ezt a jobb teljesítményű titkosítási módszert, amikor egy másik, azt támogató számítógéphez csatlakozik. A Windows továbbra is támogatja az AES-128-CMAC-t. További információért lásd: Az SMB-aláírás magabiztos konfigurálása.

Az SMB 1.0 letiltása

Az SMB 1.0 alapértelmezés szerint nincs telepítve a Windows Server 1709-es és a Windows 10 1709-es verziójától kezdve. Az SMB1 eltávolításával kapcsolatos utasításokért csatlakozzon a kiszolgálóhoz a Windows Felügyeleti központtal, nyissa meg a Fájlok & fájlmegosztás bővítményt, majd válassza ki a Fájlmegosztások lapot, amely az eltávolításra kéri. További információért lásd: Az SMBv1, SMBv2 és SMBv3 észlelése, engedélyezése és letiltása Windowsban.

Ha még telepítve van, azonnal tiltsa le az SMB1-et. További információ az SMB 1.0-s használatának észleléséről és letiltásáról: Az SMB1 használatának leállítása. Jelenleg vagy korábban SMB 1.0-t igénylő szoftverek gyűjteményét az SMB1 termékgyűjtő témakörben találja.