Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het SMB-protocol (Server Message Block) is een belangrijk onderdeel voor het delen van bestanden en gegevenstoegang in Windows-omgevingen. Naarmate de beveiligingsrisico's zich blijven ontwikkelen, introduceren Windows Server en Windows verbeterde SMB-beveiligingsfuncties om gevoelige gegevens te beschermen tegen onderschepping en onbevoegde toegang. In dit artikel worden de nieuwste SMB-beveiligingsverbeteringen beschreven, waaronder SMB-versleuteling, nieuwe ondertekeningsalgoritmen en geavanceerde configuratieopties. Gebruik deze functies om de gegevensbescherming van uw organisatie te versterken en te voldoen aan moderne beveiligingsvereisten.
SMB-versleuteling
SMB-versleuteling biedt end-to-end-versleuteling van SMB-gegevens en beschermt gegevens tegen afluisterpogingen op onbetrouwbare netwerken. U kunt SMB-versleuteling met minimale inspanning implementeren, maar hiervoor zijn mogelijk andere kosten vereist voor gespecialiseerde hardware of software. Het heeft geen vereisten voor Internet Protocol-beveiliging (IPsec) of WAN-accelerators. SMB-versleuteling kan per gedeelde map worden geconfigureerd, voor de hele bestandsserver of bij het maken van stationskoppelingen.
Note
SMB-versleuteling heeft geen betrekking op beveiliging in rust. BitLocker stationsversleuteling verwerkt doorgaans de beveiliging wanneer inactief.
U kunt SMB-versleuteling overwegen voor elk scenario waarin gevoelige gegevens moeten worden beveiligd tegen onderscheppingsaanvallen. Mogelijke scenario's zijn:
- U verplaatst de gevoelige gegevens van een informatiemedewerker met behulp van het SMB-protocol. SMB-versleuteling biedt end-to-end privacy- en integriteitscontrole tussen de bestandsserver en de client. Het biedt deze beveiliging, ongeacht de netwerken die worden doorkruist, zoals WAN-verbindingen (Wide Area Network) die worden onderhouden door niet-Microsoft-providers.
- Met SMB 3.0 kunnen bestandsservers continu beschikbare opslag bieden voor servertoepassingen, zoals SQL Server of Hyper-V. Het inschakelen van SMB-versleuteling biedt de mogelijkheid om die informatie te beschermen tegen snooping-aanvallen. SMB-versleuteling is eenvoudiger te gebruiken dan de toegewezen hardwareoplossingen die vereist zijn voor de meeste SAN's (Storage Area Networks).
Windows Server 2022 en Windows 11 introduceren AES-256-GCM en AES-256-CCM cryptografische suites voor SMB 3.1.1-versleuteling. Windows onderhandelt automatisch over deze geavanceerdere coderingsmethode wanneer u verbinding maakt met een andere computer die dit ondersteunt. U kunt deze methode ook verplichten via Groepsbeleid. Windows ondersteunt nog steeds AES-128-GCM en AES-128-CCM. AES-128-GCM wordt standaard onderhandeld met SMB 3.1.1, waardoor de beste balans tussen beveiliging en prestaties wordt bereikt.
Windows Server 2022 en Windows 11 SMB Direct ondersteunen nu versleuteling. Voorheen heeft het inschakelen van SMB-versleuteling directe gegevensplaatsing uitgeschakeld, waardoor RDMA-prestaties net zo traag zijn als TCP. Gegevens worden nu versleuteld voordat ze worden geplaatst, wat leidt tot relatief kleine prestatievermindering tijdens het toevoegen van AES-128- en AES-256-beveiligde pakketprivacy. U kunt versleuteling inschakelen met behulp van Het Windows-beheercentrum, Set-SmbServerConfiguration of UNC Hardening-groepsbeleid.
Bovendien bieden Windows Server-failoverclusters nu ondersteuning voor gedetailleerde controle over het versleutelen van opslagcommunicatie tussen knooppunten voor gedeelde clustervolumes (CSV) en de opslagbuslaag (SBL). Deze ondersteuning betekent dat u bij het gebruik van Opslagruimten Direct en SMB Direct de communicatie in oost-west binnen het cluster zelf kunt versleutelen voor een hogere beveiliging.
Important
Er zijn aanzienlijke operationele kosten voor prestaties met end-to-end-versleutelingsbeveiliging wanneer u deze vergelijkt met niet-versleutelde beveiliging.
Prerequisites
Voordat u SMB-versleuteling inschakelt, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:
- Een ondersteunde versie van Windows of Windows Server.
- SMB 3.0 of hoger is ingeschakeld op zowel de client als de server.
- Beheerdersbevoegdheden of gelijkwaardige machtigingen voor de SMB-server en -client.
SMB-versleuteling inschakelen
U kunt SMB-versleuteling inschakelen voor de hele bestandsserver of alleen voor specifieke bestandsshares. Gebruik een van de volgende procedures om SMB-versleuteling in te schakelen.
SMB-versleuteling inschakelen met windows-beheercentrum
- Download en installeer Windows Admin Center.
- Maak verbinding met de bestandsserver.
- Selecteer Bestanden & het delen van bestanden.
- Selecteer het tabblad Bestandsdeling.
- Als u versleuteling voor een share wilt vereisen, selecteert u de naam van de share en selecteert u SMB-versleuteling inschakelen.
- Als u versleuteling op de server wilt vereisen, selecteert u bestandsserverinstellingen.
- Selecteer onder SMB 3-versleutelingVereist van alle clients (anderen worden geweigerd) en selecteer Vervolgens Opslaan.
SMB-versleuteling inschakelen met UNC-versterking
Met UNC-beveiliging kunt u SMB-clients zo configureren dat versleuteling is vereist, ongeacht de instellingen voor serverversleuteling. Deze functie helpt onderscheppingsaanvallen te voorkomen. Zie MS15-011 voor informatie over het configureren van UNC-beveiliging : Beveiligingsproblemen in groepsbeleid kunnen externe code-uitvoering toestaan. Zie Hoe Gebruikers te Verdedigen tegen Onderschepping Aanvallen via SMB Client Defensevoor meer informatie over verdedigingen tegen onderschepping aanvallen.
SMB-versleuteling inschakelen met Windows PowerShell
Meld u aan bij uw server en voer PowerShell uit op uw computer in een sessie met verhoogde bevoegdheid.
Voer de volgende opdracht uit om SMB-versleuteling in te schakelen voor een afzonderlijke bestandsshare.
Set-SmbShare –Name <sharename> -EncryptData $trueVoer de volgende opdracht uit om SMB-versleuteling in te schakelen voor de hele bestandsserver.
Set-SmbServerConfiguration –EncryptData $trueVoer de volgende opdracht uit om een nieuwe SMB-bestandsshare te maken waarvoor SMB-versleuteling is ingeschakeld.
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
Netwerkstations toewijzen met versleuteling
Als u SMB-versleuteling wilt inschakelen bij het toewijzen van een station met behulp van PowerShell, voert u de volgende opdracht uit.
New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUEVoer de volgende opdracht uit om SMB-versleuteling in te schakelen bij het toewijzen van een station met behulp van CMD.
NET USE <drive letter> <UNC path> /REQUIREPRIVACY
Overwegingen voor het implementeren van SMB-versleuteling
Wanneer SMB-versleuteling is ingeschakeld voor een bestandsshare of server, hebben alleen SMB 3.0-, 3.02- en 3.1.1-clients toegang tot de opgegeven bestandsshares. Deze limiet dwingt de intentie van de beheerder af om de gegevens te beveiligen voor alle clients die toegang hebben tot de shares.
In sommige gevallen wil een beheerder echter niet-versleutelde toegang toestaan voor clients die SMB 3.x niet ondersteunen. Deze situatie kan optreden tijdens een overgangsperiode wanneer versies van gemengde clientbesturingssystemen worden gebruikt. Als u niet-versleutelde toegang wilt toestaan voor clients die geen ondersteuning bieden voor SMB 3.x, voert u het volgende script in Windows PowerShell in:
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
Note
We raden u niet aan niet-versleutelde toegang toe te staan wanneer u versleuteling implementeert. Werk de clients bij om in plaats daarvan versleuteling te ondersteunen.
Met de functie voor verificatie vooraf die in de volgende sectie wordt beschreven, voorkomt u dat een onderscheppingsaanval een verbinding van SMB 3.1.1 naar SMB 2.x downgradet (die gebruikmaakt van niet-versleutelde toegang). Het voorkomt echter geen downgrade naar SMB 1.0, wat ook zou leiden tot niet-versleutelde toegang.
Als u wilt garanderen dat SMB 3.1.1-clients altijd SMB-versleuteling gebruiken voor toegang tot versleutelde shares, moet u de SMB 1.0-server uitschakelen. Voor instructies maakt u verbinding met de server bij het Windows-beheercentrum en opent u de extensie Bestanden & Bestandsdeling. Vervolgens selecteert u het tabblad Bestandsdelen om te worden gevraagd om het te verwijderen. Zie SMBv1, SMBv2 en SMBv3 detecteren, inschakelen en uitschakelen in Windows voor meer informatie.
Als de instelling –RejectUnencryptedAccess op de standaardinstelling van $true blijft staan, hebben alleen SMB 3.x-clients die geschikt zijn voor versleuteling toegang tot de bestandsshares. (SMB 1.0-clients worden ook geweigerd.)
Houd rekening met de volgende problemen bij het implementeren van SMB-versleuteling:
- SMB Encryption maakt gebruik van het AES-algoritme (Advanced Encryption Standard) -GCM en CCM om de gegevens te versleutelen en ontsleutelen. AES-CMAC en AES-GMAC bieden ook validatie van gegevensintegriteit (ondertekening) voor versleutelde bestandsshares, ongeacht de SMB-ondertekeningsinstellingen. Als u SMB-ondertekening zonder versleuteling wilt inschakelen, kunt u dit blijven doen. Zie SMB-ondertekening configureren met betrouwbaarheidvoor meer informatie.
- Er kunnen problemen optreden wanneer u toegang probeert te krijgen tot de bestandsshare of server als uw organisatie WAN-versnellingsapparaten gebruikt.
- Met een standaardconfiguratie (waarbij er geen niet-versleutelde toegang is toegestaan voor versleutelde bestandsshares), als clients die geen ondersteuning bieden voor SMB 3.x toegang proberen te krijgen tot een versleutelde bestandsshare, wordt gebeurtenis-id 1003 vastgelegd in het Microsoft-Windows-SmbServer/Operationeel gebeurtenislogboek en ontvangt de client een Toegang geweigerd foutbericht.
- SMB Encryption en het Encrypting File System (EFS) in het NTFS-bestandssysteem zijn niet gerelateerd en SMB-versleuteling vereist of is niet afhankelijk van het gebruik van EFS.
- SMB-versleuteling en BitLocker-stationsversleuteling zijn niet gerelateerd en SMB-versleuteling is niet vereist of is afhankelijk van het gebruik van BitLocker-stationsversleuteling.
Integriteit van verificatie vooraf
SMB 3.1.1 kan onderscheppingsaanvallen detecteren die proberen het protocol te downgraden of de mogelijkheden die de client en server onderhandelen door gebruik te maken van preauthenticatie-integriteit. Integriteit van verificatie vooraf is een verplichte functie in SMB 3.1.1. Het beschermt tegen manipulatie van Negotiate- en Sessiestartberichten door gebruik te maken van cryptografische hashing. De resulterende hash wordt gebruikt als invoer om de cryptografische sleutels van de sessie af te leiden, inclusief de ondertekeningssleutel. Met dit proces kunnen de client en server de eigenschappen van de verbinding en sessie wederzijds vertrouwen. Wanneer de client of de server een dergelijke aanval detecteert, wordt de verbinding verbroken en wordt gebeurtenis-id 1005 geregistreerd in het Microsoft-Windows-SmbServer/Operational-gebeurtenislogboek.
Vanwege deze beveiliging en om te profiteren van de volledige mogelijkheden van SMB-versleuteling, raden we u ten zeerste aan de SMB 1.0-server uit te schakelen. Voor instructies maakt u verbinding met de server met behulp van Windows Admin Center en opent u de extensie Bestanden & Bestandsdeling, en selecteert u vervolgens het tabblad Bestandsshares om de deïnstallatieprompt te ontvangen. Zie SMBv1, SMBv2 en SMBv3 detecteren, inschakelen en uitschakelen in Windows voor meer informatie.
Nieuw handtekeningalgoritme
SMB 3.0 en 3.02 gebruiken een recentere versleutelingsalgoritme voor ondertekening: AES-coderingscode voor berichtverificatie (CMAC). SMB 2.0 gebruikte het oudere HMAC-SHA256-versleutelingsalgoritmen. AES-CMAC en AES-CCM kunnen gegevensversleuteling aanzienlijk versnellen op de meeste moderne CPU's met ondersteuning voor AES-instructies.
Windows Server 2022 en Windows 11 introduceren AES-128-GMAC voor SMB 3.1.1-ondertekening. Windows onderhandelt automatisch over deze beter presterende coderingsmethode wanneer u verbinding maakt met een andere computer die dit ondersteunt. Windows ondersteunt nog steeds AES-128-CMAC. Zie SMB-ondertekening configureren met betrouwbaarheidvoor meer informatie.
SMB 1.0 uitschakelen
SMB 1.0 is niet standaard geïnstalleerd vanaf Windows Server versie 1709 en Windows 10 versie 1709. Voor instructies voor het verwijderen van SMB 1.0 maakt u verbinding met de server via het Windows-beheercentrum, opent u de extensie Bestanden en delen en selecteert u vervolgens het tabblad Bestandsshares om te worden gevraagd om de installatie ongedaan te maken. Zie SMBv1, SMBv2 en SMBv3 detecteren, inschakelen en uitschakelen in Windows voor meer informatie.
Als deze nog steeds is geïnstalleerd, moet u SMB 1.0 onmiddellijk uitschakelen. Zie Stop using SMB1voor meer informatie over het detecteren en uitschakelen van SMB 1.0-gebruik. Zie SMB1 Product Clearinghousevoor een clearinghouse van software waarvoor eerder of momenteel SMB 1.0 is vereist.
Verwante inhoud
- Overzicht van het delen van bestanden met behulp van het SMB 3-protocol in Windows Server
- Windows Server Storage-documentatie
- overzicht van bestandsserver voor toepassingsgegevens Scale-Out