Aracılığıyla paylaş

SMB güvenlik geliştirmeleri

  • Makale

Bu makalede, Windows Server ve Windows'taki SMB güvenlik geliştirmeleri açıklanmaktadır.

SMB Şifrelemesi

SMB Şifrelemesi SMB verileri uçtan uca şifreleme sağlar ve güvenilmeyen ağlarda gizlice dinleme olaylarına karşı verileri korur. SMB Şifrelemesini en az çabayla dağıtabilirsiniz, ancak özel donanım veya yazılım için başka maliyetler gerekebilir. İnternet Protokolü güvenliği (IPsec) veya WAN hızlandırıcıları için hiçbir gereksinimi yoktur. SMB Şifrelemesi, paylaşım başına, tüm dosya sunucusu için veya sürücüleri eşlerken yapılandırılabilir.

Not

SMB Şifrelemesi, genellikle BitLocker Sürücü Şifrelemesi tarafından yönetilen durağan güvenliği kapsamaz.

Hassas verilerin kesme saldırılarına karşı korunması gereken tüm senaryolar için SMB Şifrelemesi'ni göz önünde bulundurabilirsiniz. Olası senaryolar şunlardır:

  • SMB protokolunu kullanarak bir bilgi çalışanının hassas verilerini taşırsınız. SMB Şifrelemesi, dosya sunucusu ile istemci arasında uçtan uca gizlilik ve bütünlük güvencesi sunar. Microsoft dışı sağlayıcılar tarafından tutulan geniş alan ağı (WAN) bağlantıları gibi, çapraz geçiş yapılan ağlardan bağımsız olarak bu güvenliği sağlar.
  • SMB 3.0, dosya sunucularının SQL Server veya Hyper-V gibi sunucu uygulamaları için sürekli kullanılabilir depolama sağlamasına olanak tanır. SMB Şifrelemesi'nin etkinleştirilmesi, bu bilgileri gözetleme saldırılarına karşı koruma fırsatı sağlar. SMB Şifrelemesi, çoğu depolama alanı ağı (SAN) için gereken ayrılmış donanım çözümlerinden daha basittir.

Windows Server 2022 ve Windows 11, SMB 3.1.1 şifrelemesi için AES-256-GCM ve AES-256-CCM şifreleme paketlerini tanıtır. Windows, bu daha gelişmiş şifreleme yöntemini destekleyen başka bir bilgisayara bağlanırken otomatik olarak anlaşmaya varır. Bu yöntemi Grup İlkesi aracılığıyla da zorunlu olarak kullanabilirsiniz. Windows hala AES-128-GCM ve AES-128-CCM'yi destekler. Varsayılan olarak AES-128-GCM, SMB 3.1.1 ile görüşülür ve en iyi güvenlik ve performans dengesini getirir.

Windows Server 2022 ve Windows 11 SMB Direct artık şifrelemeyi destekliyor. Daha önce SMB şifrelemesi etkinleştirildiğinde doğrudan veri yerleştirme devre dışı bırakılarak RDMA performansı TCP kadar yavaş hale getirilmiştir. Artık veriler yerleştirmeden önce şifrelenir ve AES-128 ve AES-256 korumalı paket gizliliği eklenirken nispeten küçük performans düşüşlerine yol açar. Windows Yönetim Merkezi, Set-SmbServerConfigurationveya UNC Sağlamlaştırma grup ilkesikullanarak şifrelemeyi etkinleştirebilirsiniz.

Ayrıca, Windows Server yük devretme kümeleri artık Küme Paylaşılan Birimleri (CSV) ve depolama veri yolu katmanı (SBL) için düğüm içi depolama iletişimlerinin şifrelenmesi için ayrıntılı denetimi destekliyor. Bu destek, Depolama Alanları Doğrudan ve Doğrudan Erişimli SMB kullanırken daha yüksek güvenlik için küme içindeki doğu-batı iletişimlerini şifreleyebileceğiniz anlamına gelir.

Önemli

Uçtan uca şifrelemenin, şifrelenmemiş verilerle karşılaştırıldığında, önemli bir performans işletim maliyeti vardır.

SMB Şifrelemesini Etkinleştirme

SMB Şifrelemesini tüm dosya sunucusu için veya yalnızca belirli dosya paylaşımları için etkinleştirebilirsiniz. SMB Şifrelemesi'ni etkinleştirmek için aşağıdaki yordamlardan birini kullanın.

Windows Yönetim Merkezi ile SMB Şifrelemesini Etkinleştirme

  1. Windows Admin Centerindirin ve yükleyin.
  2. Dosya sunucusuna bağlanın.
  3. Dosyaları & dosya paylaşımıseçin.
  4. Dosya paylaşımları sekmesini seçin.
  5. Paylaşımda şifreleme gerektirmek için paylaşım adını seçin ve SMB şifrelemesini etkinleştirseçin.
  6. Sunucuda şifreleme gerektirmek için Dosya sunucusu ayarlarınıseçin.
  7. SMB 3 şifrelemealtında,tüm istemcilerden gerekli (diğerleri reddedilir) öğesini seçin ve ardındankaydet'i seçin.

UNC Sağlamlaştırma ile SMB Şifrelemesini Etkinleştirme

UNC Sağlamlaştırma, sunucu şifreleme ayarlarından bağımsız olarak SMB istemcilerini şifreleme gerektirecek şekilde yapılandırmanıza olanak tanır. Bu özellik, araya girme saldırılarını önlemeye yardımcı olur. UNC Sağlamlaştırma'yı yapılandırmak için bkz. MS15-011: Grup İlkesi'ndeki güvenlik açığıuzaktan kod yürütülmesine izin verebilir. Ara kesme saldırısı savunmaları hakkında daha fazla bilgi için bkz. Ara Kesme Saldırılarından SMB İstemci Savunması ile Kullanıcıları Nasıl Korumalı.

Windows PowerShell ile SMB Şifrelemesini Etkinleştirme

  1. Sunucunuzda oturum açın ve yükseltilmiş bir oturumda bilgisayarınızda PowerShell'i çalıştırın.

  2. Tek bir dosya paylaşımında SMB Şifrelemesini etkinleştirmek için aşağıdaki komutu çalıştırın.

    Set-SmbShare –Name <sharename> -EncryptData $true

  3. SMB Şifrelemesi'ni tüm dosya sunucusu için etkinleştirmek için aşağıdaki komutu çalıştırın.

    Set-SmbServerConfiguration –EncryptData $true

  4. SMB Şifrelemesi etkinleştirilmiş yeni bir SMB dosya paylaşımı oluşturmak için aşağıdaki komutu çalıştırın.

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true

Şifreleme ile sürücüleri eşleme

  1. PowerShell kullanarak bir sürücüyü eşlerken SMB Şifrelemesini etkinleştirmek için aşağıdaki komutu çalıştırın.

    New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE

  2. CMD kullanarak bir sürücüyü eşlerken SMB Şifrelemesini etkinleştirmek için aşağıdaki komutu çalıştırın.

    NET USE <drive letter> <UNC path> /REQUIREPRIVACY

SMB Şifrelemesi dağıtımıyla ilgili dikkat edilmesi gerekenler

Varsayılan olarak, bir dosya paylaşımı veya sunucu için SMB Şifrelemesi etkinleştirildiğinde, yalnızca SMB 3.0, 3.02 ve 3.1.1 istemcilerinin belirtilen dosya paylaşımlarına erişmesine izin verilir. Bu sınır, yöneticinin paylaşımlara erişen tüm istemciler için verileri koruma amacını zorunlu kılar.

Ancak bazı durumlarda, bir yönetici SMB 3.x'i desteklemeyen istemciler için şifrelenmemiş erişime izin vermek isteyebilir. Bu durum, karma istemci işletim sistemi sürümlerinin kullanıldığı bir geçiş döneminde ortaya çıkabilir. SMB 3.x'i desteklemeyen istemciler için şifrelenmemiş erişime izin vermek için Windows PowerShell'de aşağıdaki betiği girin:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Not

Şifrelemeyi dağıttığınızda şifrelenmemiş erişime izin vermenizi önermeyiz. Bunun yerine istemcileri şifrelemeyi destekleyecek şekilde güncelleştirin.

Sonraki bölümde açıklanan ön kimlik doğrulama bütünlüğü özelliği, kesme saldırısının bir bağlantıyı SMB 3.1.1'den SMB 2.x'e (şifresiz erişim kullanacak şekilde) düşürmesini engeller. Ancak SMB 1.0'a düşürmeyi engellemez ve bu da şifrelenmemiş erişime neden olur.

SMB 3.1.1 istemcilerinin şifrelenmiş paylaşımlara erişmek için her zaman SMB Şifrelemesi kullanmasını sağlamak için SMB 1.0 sunucusunu devre dışı bırakmanız gerekir. Yönergeler için Windows Yönetim Merkezi ile sunucuya bağlanın ve Dosya Paylaşımı uzantısını Dosyalar & açın ve ardından kaldırmanın istenileceği Dosya paylaşımları sekmesini seçin. Daha fazla bilgi için bkz. Windows'da SMBv1, SMBv2 ve SMBv3'i algılama, etkinleştirme ve devre dışı bırakma .

–RejectUnencryptedAccess ayarı varsayılan $trueayarında bırakılırsa, dosya paylaşımlarına yalnızca şifreleme özellikli SMB 3.x istemcilerinin erişmesine izin verilir (SMB 1.0 istemcileri de reddedilir).

SMB Şifrelemesi'ni dağıtırken aşağıdaki sorunları göz önünde bulundurun:

  • SMB Şifrelemesi, verileri şifrelemek ve şifresini çözmek için Gelişmiş Şifreleme Standardı (AES)-GCM ve CCM algoritmasını kullanır. AES-CMAC ve AES-GMAC, SMB imzalama ayarlarından bağımsız olarak şifrelenmiş dosya paylaşımları için veri bütünlüğü doğrulaması (imzalama) da sağlar. Şifreleme olmadan SMB imzalamayı etkinleştirmek istiyorsanız, bunu yapmaya devam edebilirsiniz. Daha fazla bilgi için bkz. SMB İmzalamayı Güvenle Yapılandırma.
  • Kuruluşunuz geniş alan ağı (WAN) hızlandırma gereçleri kullanıyorsa dosya paylaşımına veya sunucuya erişmeye çalıştığınızda sorunlarla karşılaşabilirsiniz.
  • SMB 3.x'i desteklemeyen istemciler şifrelenmiş bir dosya paylaşımına erişmeye çalışırsa, varsayılan yapılandırmayla (şifrelenmiş dosya paylaşımlarına şifrelenmemiş erişime izin verilmez), Olay Kimliği 1003 Microsoft-Windows-SmbServer/Operasyonel olay günlüğüne kaydedilir ve istemci Erişim reddedildi hata iletisi alır.
  • NTFS dosya sistemindeki SMB Şifrelemesi ve Şifreleme Dosya Sistemi (EFS) birbiriyle ilişkili değildir ve SMB Şifrelemesi EFS'yi gerektirmez veya buna bağlı değildir.
  • SMB Şifrelemesi ve BitLocker Sürücü Şifrelemesi ilişkisizdir ve SMB Şifrelemesi BitLocker Sürücü Şifrelemesi'ni gerektirmez veya bu şifrelemeye bağımlı değildir.

Ön kimlik doğrulama bütünlüğü

SMB 3.1.1, protokolü veya istemci ile sunucunun ön kimlik doğrulama bütünlüğünü kullanarak anlaşmaya vardığı özellikleri düşürmeye çalışan kesme saldırısı saldırılarını algılayabilir. Ön kimlik doğrulama bütünlüğü, SMB 3.1.1'de zorunlu bir özelliktir. Şifreleme karması kullanarak Anlaşma ve Oturum Kurulumu iletileriyle yapılan tüm kurcalamalara karşı koruma sağlar. Sonuçta elde edilen karma, oturumun kriptografik anahtarlarını (imzalama anahtarı dahil) türetmek için giriş olarak kullanılır. Bu işlem, istemci ve sunucunun bağlantı ve oturum özelliklerine karşılıklı olarak güvenmesini sağlar. İstemci veya sunucu böyle bir saldırı algıladığında bağlantı kesilir ve olay kimliği 1005 Microsoft-Windows-SmbServer/Operasyonel olay günlüğüne kaydedilir.

Bu koruma nedeniyle ve SMB Şifrelemesi'nin tüm özelliklerinden yararlanmak için SMB 1.0 sunucusunu devre dışı bırakmanızı kesinlikle öneririz. Yönergeler için Windows Yönetim Merkezi ile sunucuya bağlanın ve Dosyalar & Dosya Paylaşımı uzantısını açın, ardından kaldırmanın istenileceği Dosya paylaşımları sekmesini seçin. Daha fazla bilgi için bkz. Windows'da SMBv1, SMBv2 ve SMBv3'i algılama, etkinleştirme ve devre dışı bırakma .

Yeni imzalama algoritması

SMB 3.0 ve 3.02, imzalama için daha yeni bir şifreleme algoritması kullanır: Gelişmiş Şifreleme Standardı (AES)-şifreleme tabanlı ileti kimlik doğrulama kodu (CMAC). SMB 2.0, eski HMAC-SHA256 şifreleme algoritmasını kullandı. AES-CMAC ve AES-CCM, AES yönerge desteğine sahip çoğu modern CPU'da veri şifrelemeyi önemli ölçüde hızlandırabilir.

Windows Server 2022 ve Windows 11, SMB 3.1.1 imzalama için AES-128-GMAC'i tanıtır. Windows, bu daha iyi performans gösteren şifreleme yöntemini destekleyen başka bir bilgisayara bağlanırken otomatik olarak anlaşmaya varır. Windows yine de AES-128-CMAC'i destekler. Daha fazla bilgi için bkz. SMB İmzalamayı güvenli bir şekilde yapılandırma.

SMB 1.0'ın devre dışı bırakılması

SMB 1.0, Windows Server sürüm 1709 ve Windows 10 sürüm 1709'dan başlayarak varsayılan olarak yüklenmez. SMB1'i kaldırma yönergeleri için Windows Admin Center ile sunucuya bağlanın, Dosya & Dosya Paylaşımı uzantısını açın ve ardından kaldırmanın istenileceği Dosya Paylaşımları sekmesini seçin. Daha fazla bilgi için bkz. Windows'da SMBv1, SMBv2 ve SMBv3'i algılama, etkinleştirme ve devre dışı bırakma .

Hala yüklüyse SMB1'i hemen devre dışı bırakmanız gerekir. SMB 1.0 kullanımını algılama ve devre dışı bırakma hakkında daha fazla bilgi için bkz. SMB1'i kullanmayı durdurma. Daha önce veya şu anda SMB 1.0 gerektiren bir yazılım temizleme merkezi için bkz. SMB1 Product Clearinghouse.