SMB-Sicherheitsfunktionen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, Version 21H2, Windows 11, Windows 10

In diesem Artikel werden die SMB-Sicherheitsverbesserungen unter Windows Server und Windows erläutert.

SMB-Verschlüsselung

SMB-Verschlüsselung sorgt für End-to-End-Verschlüsselung von SMB-Daten und schützt Daten vor Lauschangriffen in nicht vertrauenswürdigen Netzwerken. Sie können SMB-Verschlüsselung mit minimalem Aufwand bereitstellen, für spezielle Hardware oder Software fallen jedoch möglicherweise weitere Kosten an. Sie erfordert weder IPsec (Internet Protocol Security) noch WAN-Beschleuniger. Die SMB-Verschlüsselung kann für jede einzelne Freigabe, für den gesamten Dateiserver oder beim Zuordnen von Laufwerken konfiguriert werden.

Hinweis

SMB-Verschlüsselung bezieht sich nicht auf Daten im Ruhezustand. Diese werden in der Regel von BitLocker-Laufwerkverschlüsselung verarbeitet.

Sie können die SMB-Verschlüsselung für jedes Szenario in Erwägung ziehen, in dem vertrauliche Daten vor Abfangangriffen geschützt werden müssen. Mögliche Szenarien:

• Sie verschieben die sensiblen Daten eines Information Workers mithilfe des SMB-Protokolls. SMB-Verschlüsselung bietet End-to-End-Datenschutz- und -Integritätszusicherung zwischen dem Dateiserver und dem Client. Sie bietet diese Sicherheit unabhängig von den durchquerten Netzwerken, wie z. B. WAN-Verbindungen (Wide Area Network), die von Nicht-Microsoft-Anbietern verwaltet werden.
• Mit SMB 3.0 können Dateiserver kontinuierlich verfügbaren Speicher für Serveranwendungen bereitstellen, z. B. für SQL Server oder Hyper-V. Das Aktivieren der SMB-Verschlüsselung bietet die Möglichkeit, diese Informationen vor Spionageangriffen zu schützen. SMB-Verschlüsselung ist einfacher zu verwenden als die dedizierten Hardwarelösungen, die für die meisten SANs (Storage Area Networks) erforderlich sind.

Mit Windows Server 2022 und Windows 11 werden die Kryptografiesammlungen AES-256-GCM und AES-256-CCM für SMB 3.1.1-Verschlüsselung eingeführt. Windows handelt diese fortschrittlichere Verschlüsselungsmethode automatisch aus, wenn eine Verbindung mit einem anderen Computer hergestellt wird, der sie unterstützt. Sie können diese Methode auch über die Gruppenrichtlinie erzwingen. Windows unterstützt weiterhin AES-128-GCM und AES-128-CCM. Standardmäßig wird AES-128-GCM mit SMB 3.1.1 ausgehandelt, um ein optimales Gleichgewicht zwischen Sicherheit und Leistung zu erzielen.

Windows Server 2022 und Windows 11 SMB Direct unterstützen jetzt die Verschlüsselung. Zuvor wurde durch Aktivieren der SMB-Verschlüsselung die direkte Datenplatzierung deaktiviert, sodass die RDMA-Leistung so langsam wie TCP wurde. Jetzt werden Daten vor der Platzierung verschlüsselt, was zu einer relativ geringfügigen Leistungsbeeinträchtigung führt, während Paketdatenschutz mit Schutz durch AES-128 und AES-256 hinzugefügt wird. Sie können die Verschlüsselung mithilfe von Windows Admin Center, Set-SmbServerConfiguration oder der UNC-Härtungsgruppenrichtlinieaktivieren.

Darüber hinaus unterstützen Windows Server-Failovercluster jetzt eine detaillierte Steuerung der Verschlüsselung der knoteninternen Speicherkommunikation für freigegebene Clustervolumes (Cluster Shared Volumes, CSV) und die Speicherbusebene (Storage Bus Layer, SBL). Diese Unterstützung bedeutet, dass Sie bei Verwendung von Direkte Speicherplätze und SMB Direct die Ost-West-Kommunikation innerhalb des Clusters selbst verschlüsseln können, um die Sicherheit zu erhöhen.

Wichtig

Im Vergleich zu nicht verschlüsseltem Schutz fallen für die End-to-End-Verschlüsselung beachtliche Leistungsbetriebskosten an.

Aktivieren von SMB-Verschlüsselung

Sie können SMB-Verschlüsselung für den gesamten Dateiserver oder nur für bestimmte Dateifreigaben aktivieren. Verwenden Sie zum Aktivieren von SMB-Verschlüsselung eines der folgenden Verfahren.

Aktivieren von SMB-Verschlüsselung mit Windows Admin Center

1. Laden Sie Windows Admin Center herunter, und installieren Sie das Programm.
2. Stellen Sie eine Verbindung mit dem Dateiserver her.
3. Select Dateien & Dateifreigabe aus.
4. Wählen Sie die Registerkarte Dateifreigaben aus.
5. Zum Anfordern von Verschlüsselung für eine Freigabe wählen Sie den Freigabenamen und dann SMB-Verschlüsselung aktivieren aus.
6. Wenn die Verschlüsselung auf dem Server obligatorisch sein soll, wählen Sie Dateiservereinstellungen aus.
7. Wählen Sie unter SMB 3-Verschlüsselung die Option für alle Clients erforderlich (andere ablehnen) und dann Speichern aus.

Aktivieren der SMB-Verschlüsselung mit UNC-Härtung

Mit der UNC-Härtung können Sie SMB-Clients so konfigurieren, dass eine Verschlüsselung unabhängig von den Einstellungen für die Serververschlüsselung erforderlich ist. Dieses Feature hilft dabei, Abfangangriffe zu verhindern. Informationen zum Konfigurieren der UNC-Härtung finden Sie unter MS15-011: Vulnerability in Group Policy could allow remote code execution (Eine Schwachstelle in den Gruppenrichtlinien kann die Remoteausführung von Code ermöglichen). Weitere Informationen zu Abwehrmaßnahmen für Abfangangriffe erhalten Sie unter How to Defense Users from Interception Attacks via SMB Client Defense (Schützen von Benutzern vor Abfangangriffen mithilfe von SMB Client Defense).

Aktivieren von SMB-Verschlüsselung mit Windows PowerShell

1. Melden Sie sich bei Ihrem Server an, und führen Sie PowerShell auf Ihrem Computer in einer Sitzung mit erhöhten Rechten aus.

2. Führen Sie den folgenden Befehl aus, um SMB-Verschlüsselung für eine einzelne Dateifreigabe zu aktivieren:

   Set-SmbShare –Name <sharename> -EncryptData $true
   

3. Führen Sie den folgenden Befehl aus, um SMB-Verschlüsselung für den gesamten Dateiserver zu aktivieren:

   Set-SmbServerConfiguration –EncryptData $true
   

4. Führen Sie den folgenden Befehl aus, um eine neue SMB-Dateifreigabe mit aktivierter SMB-Verschlüsselung zu erstellen:

   New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
   

Zuordnen von Laufwerken mit Verschlüsselung

1. Führen Sie den folgenden Befehl aus, um SMB-Verschlüsselung beim Zuordnen eines Laufwerks mithilfe von PowerShell zu aktivieren:

   New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE
   

2. Führen Sie den folgenden Befehl aus, um SMB-Verschlüsselung beim Zuordnen eines Laufwerks über die Befehlszeile zu aktivieren:

   NET USE <drive letter> <UNC path> /REQUIREPRIVACY
   

Überlegungen zur Bereitstellung von SMB-Verschlüsselung

Wenn SMB-Verschlüsselung für eine Dateifreigabe oder einen Server aktiviert ist, dürfen standardmäßig nur SMB 3.0, 3.02 und 3.1.1-Clients auf die angegebenen Dateifreigaben zugreifen. Dieser Grenzwert setzt die Absicht des Administrators durch, die Daten für alle Clients zu schützen, die auf die Freigaben zugreifen.

Unter bestimmten Umständen möchte ein Administrator jedoch den möglicherweise unverschlüsselten Zugriff für Clients zulassen, die SMB 3.x nicht unterstützen. Diese Situation könnte während einer Übergangsphase auftreten, wenn gemischte Clientbetriebssystem-Versionen verwendet werden. Geben Sie das folgende Skript in Windows PowerShell ein, um unverschlüsselten Zugriff für Clients zuzulassen, die SMB 3.x nicht unterstützen:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Hinweis

Es wird nicht empfohlen, unverschlüsselten Zugriff zuzulassen, wenn Sie Verschlüsselung bereitgestellt haben. Aktualisieren Sie stattdessen die Clients, um Verschlüsselung zu unterstützen.

Mit der im nächsten Abschnitt beschriebenen vor der Authentifizierung angewendeten Integritätsfunktion wird verhindert, dass ein Abfangangriff eine Verbindung von SMB 3.1.1 auf SMB 2 herabstuft (dann würde unverschlüsselter Zugriff verwendet). Es wird jedoch kein Downgrade auf SMB 1.0 verhindert, was ebenfalls zu unverschlüsseltem Zugriff führen würde.

Damit sichergestellt ist, dass SMB 3.1.1-Clients immer SMB-Verschlüsselung für den Zugriff auf verschlüsselte Freigaben verwenden, müssen Sie den SMB 1.0-Server deaktivieren. Anweisungen erhalten Sie, indem Sie mit Windows Admin Center eine Verbindung mit dem Server herstellen, die Erweiterung Dateien & Dateifreigabe auswählen, und dann die Registerkarte Dateifreigaben öffnen, um zur Deinstallation aufgefordert zu werden. Weitere Informationen finden Sie unter Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows.

Wenn für die Einstellung –RejectUnencryptedAccess die Standardeinstellung $true beibehalten wird, dürfen nur verschlüsselungsfähige SMB 3.x-Clients auf die Dateifreigaben zugreifen (SMB 1.0-Clients werden ebenfalls abgelehnt).

Berücksichtigen Sie beim Bereitstellen der SMB-Verschlüsselung die folgenden Aspekte:

• SMB-Verschlüsselung verwendet den AES-GCM und -CCM-Algorithmus (Advanced Encryption Standard), um die Daten zu verschlüsseln und zu entschlüsseln. AES-CMAC und AES-GMAC bieten außerdem eine Überprüfung der Datenintegrität (Signierung) für verschlüsselte Dateifreigaben, unabhängig von den SMB-Signierungseinstellungen. Wenn Sie SMB-Signaturen ohne Verschlüsselung aktivieren möchten, können Sie dies weiterhin tun. Weitere Informationen finden Sie unter Konfigurieren der SMB-Signierung mit Zuverlässigkeit.
• Wenn Sie versuchen, auf die Dateifreigabe oder den Server zuzugreifen, treten möglicherweise Probleme auf, wenn in Ihrer Organisation WAN-Beschleuniger (Wide Area Network) verwendet werden.
• Mit einer Standardkonfiguration (bei der kein unverschlüsselter Zugriff auf verschlüsselte Dateifreigaben zulässig ist), wird Ereignis-ID 1003 im Ereignisprotokoll „Microsoft-Windows-SmbServer/Operational“ protokolliert, und der Client empfängt eine Fehlermeldung des Typs Zugriff verweigert, wenn Clients, die SMB 3.x nicht unterstützen, versuchen, auf eine verschlüsselte Dateifreigabe zuzugreifen.
• SMB-Verschlüsselung und das verschlüsselnde Dateisystem (EFS) im NTFS-Dateisystem stehen nicht miteinander in Beziehung, und SMB-Verschlüsselung erfordert nicht die Verwendung von EFS oder hängt davon ab.
• SMB-Verschlüsselung und die BitLocker-Laufwerkverschlüsselung stehen nicht miteinander in Beziehung, und SMB-Verschlüsselung erfordert nicht die Verwendung von Bitlocker-Laufwerkverschlüsselung oder hängt davon ab.

Integrität der Vorauthentifizierung

SMB 3.1.1 ist mithilfe von Integrität vor der Authentifizierung in der Lage, Abfangangriffe zu erkennen, die versuchen, das Protokoll oder die Funktionen herabzustufen, die der Client und der Server aushandeln. Die Integrität vor der Authentifizierung ist ein obligatorisches Feature in SMB 3.1.1. Es schützt vor Manipulationen von Negotiate- und Session Setup-Nachrichten durch den Einsatz von kryptografischem Hashing. Der resultierende Hash wird als Eingabe verwendet, um die kryptografischen Schlüssel der Sitzung abzuleiten, einschließlich ihres Signaturschlüssels. Dadurch können Client und Server den Verbindungs- und Sitzungseigenschaften gegenseitig vertrauen. Wenn der Client oder Server einen solchen Angriff erkennt, wird die Verbindung getrennt, und die Ereignis-ID 1005 wird im Ereignisprotokoll „Microsoft-Windows-SmbServer/Operational“ protokolliert.

Aufgrund dieses Schutzes wird dringend empfohlen, den SMB 1.0-Server zu deaktivieren, um die vollständigen Funktionen von SMB-Verschlüsselung nutzen zu können. Anweisungen erhalten Sie, indem Sie mit Windows Admin Center eine Verbindung mit dem Server herstellen, die Erweiterung Dateien & Dateifreigabe auswählen, und dann die Registerkarte Dateifreigaben öffnen, um zur Deinstallation aufgefordert zu werden. Weitere Informationen finden Sie unter Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows.

Neuer Signaturalgorithmus

SMB 3.0 und 3.02 verwenden einen neueren Verschlüsselungsalgorithmus zum Signieren: AES-CMAC (Advanced Encryption Standard, Cipher-based Message Authentication Code). SMB 2.0 hat den älteren HMAC-SHA256-Verschlüsselungsalgorithmus verwendet. AES-CMAC und AES-CCM können die Datenverschlüsselung mit den meisten modernen CPUs mit AES-Anweisungsunterstützung erheblich beschleunigen.

Mit Windows Server 2022 und Windows 11 wird AES-128-GMAC für SMB 3.1.1-Signierung eingeführt. Windows handelt diese leistungsstärkere Verschlüsselungsmethode automatisch aus, wenn eine Verbindung mit einem anderen Computer hergestellt wird, der sie unterstützt. Windows unterstützt weiterhin AES-128-CMAC. Weitere Informationen finden Sie unter Konfigurieren der SMB-Signierung mit Zuverlässigkeit.

Deaktivieren von SMB 1.0

SMB 1.0 wird ab Windows Server, Version 1709, und Windows 10, Version 1709, nicht standardmäßig installiert. Anweisungen zum Entfernen von SMB1 erhalten Sie, indem Sie mit Windows Admin Center eine Verbindung mit dem Server herstellen, die Erweiterung Dateien & Dateifreigabe öffnen, und dann die Registerkarte Dateifreigaben auswählen, um zur Deinstallation aufgefordert zu werden. Weitere Informationen finden Sie unter Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows.

Wenn SMB1 noch installiert ist, sollten Sie es sofort deaktivieren. Weitere Informationen zum Erkennen und Deaktivieren der SMB 1.0-Nutzung finden Sie unter Beenden der Verwendung von SMB1. Informationen zu einem Software-Clearinghouse, das zuvor SMB 1.0 erforderte oder es noch aktuell erfordert, lesen Sie SMB1 Product Clearinghouse.

Verwandte Links

• Übersicht über die Dateifreigabe mithilfe des SMB 3-Protokolls in Windows Server
• Dokumentation zum Windows Server-Speicher
• Übersicht über Dateiserver mit horizontaler Skalierung für Anwendungsdaten