SMB-Sicherheitsfunktionen

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, Version 21H2

In diesem Thema werden die SMB-Sicherheitsfunktionen in Windows Server erläutert.

SMB-Verschlüsselung

SMB-Verschlüsselung sorgt für End-to-End-Verschlüsselung von SMB-Daten und schützt Daten vor Lauschangriffen in nicht vertrauenswürdigen Netzwerken. Sie können SMB-Verschlüsselung mit minimalem Aufwand bereitstellen, für spezielle Hardware oder Software fallen jedoch möglicherweise geringfügige zusätzliche Kosten an. Sie erfordert weder IPsec (Internet Protocol Security) noch WAN-Beschleuniger. SMB-Verschlüsselung kann auf Freigabebasis oder für den gesamten Dateiserver konfiguriert und für eine Vielzahl von Szenarien aktiviert werden, bei denen Daten über nicht vertrauenswürdige Netzwerke übertragen werden.

Hinweis

SMB-Verschlüsselung bezieht sich nicht auf Daten im Ruhezustand. Diese werden in der Regel von BitLocker-Laufwerkverschlüsselung verarbeitet.

Die SMB-Verschlüsselung sollte für jedes Szenario in Betracht gezogen werden, in dem vertrauliche Daten vor Abfangangriffen geschützt werden müssen. Mögliche Szenarien:

  • Die sensiblen Daten eines Information Workers werden mithilfe des SMB-Protokolls verschoben. SMB-Verschlüsselung bietet eine End-to-End-Datenschutz- und -Integritätssicherung zwischen dem Dateiserver und dem Client, unabhängig von den durchlaufenen Netzwerken, z. B. WAN-Verbindungen (Wide Area Network), die von Nicht-Microsoft-Anbietern verwaltet werden.
  • Mit SMB 3.0 können Dateiserver kontinuierlich verfügbaren Speicher für Serveranwendungen bereitstellen, z. B. für SQL Server oder Hyper-V. Das Aktivieren der SMB-Verschlüsselung bietet die Möglichkeit, diese Informationen vor Spionageangriffen zu schützen. SMB-Verschlüsselung ist einfacher zu verwenden als die dedizierten Hardwarelösungen, die für die meisten SANs (Storage Area Networks) erforderlich sind.

Mit Windows Server 2022 und Windows 11 werden die Kryptografiesammlungen AES-256-GCM und AES-256-CCM für SMB 3.1.1-Verschlüsselung eingeführt. Windows handelt diese erweiterte Verschlüsselungsmethode automatisch aus, wenn eine Verbindung mit einem anderen Computer hergestellt wird, der sie unterstützt. Sie kann auch über die Gruppenrichtlinie erzwungen werden. Windows unterstützt weiterhin AES-128-GCM und AES-128-CCM. Standardmäßig wird AES-128-GCM mit SMB 3.1.1 ausgehandelt, um ein optimales Gleichgewicht zwischen Sicherheit und Leistung zu erzielen.

Windows Server 2022 und Windows 11 SMB Direct unterstützen jetzt die Verschlüsselung. Zuvor wurde durch Aktivieren der SMB-Verschlüsselung die direkte Datenplatzierung deaktiviert, sodass die RDMA-Leistung so langsam wie TCP wurde. Jetzt werden Daten vor der Platzierung verschlüsselt, was zu einer relativ geringfügigen Leistungsbeeinträchtigung führt, während Paketdatenschutz mit Schutz durch AES-128 und AES-256 hinzugefügt wird. Sie können die Verschlüsselung mithilfe von Windows Admin Center, Set-SmbServerConfiguration oder der UNC-Härtungsgruppenrichtlinieaktivieren. Darüber hinaus unterstützen Windows Server-Failovercluster jetzt eine detaillierte Steuerung der Verschlüsselung der knoteninternen Speicherkommunikation für freigegebene Clustervolumes (Cluster Shared Volumes, CSV) und die Speicherbusebene (Storage Bus Layer, SBL). Dies bedeutet, dass Sie sich bei Verwendung von Direkte Speicherplätze und SMB Direct dafür entscheiden können, die Ost-West-Kommunikation innerhalb des Clusters selbst zu verschlüsseln, um die Sicherheit zu erhöhen.

Wichtig

Beachten Sie, dass im Vergleich zu nicht verschlüsseltem Schutz für die End-to-End-Verschlüsselung beachtliche Leistungsbetriebskosten anfallen.

Aktivieren von SMB-Verschlüsselung

Sie können SMB-Verschlüsselung für den gesamten Dateiserver oder nur für bestimmte Dateifreigaben aktivieren. Verwenden Sie zum Aktivieren von SMB-Verschlüsselung eines der folgenden Verfahren:

Aktivieren von SMB-Verschlüsselung mit Windows Admin Center

  1. Laden Sie Windows Admin Center herunter, und installieren Sie das Programm.
  2. Stellen Sie eine Verbindung mit dem Dateiserver her.
  3. Klicken Sie auf Dateifreigabedateien.
  4. Klicken Sie auf die Registerkarte Dateifreigaben.
  5. Zum Anfordern von Verschlüsselung für eine Freigabe klicken Sie auf den Freigabenamen, und wählen Sie Enable SMB encryption (SMB-Verschlüsselung aktivieren) aus.
  6. Wenn Sie Verschlüsselung auf dem Server als obligatorisch festlegen möchten, klicken Sie auf die Schaltfläche *Dateiservereinstellungen, wählen Sie dann unter „SMB 3-Verschlüsselung“ die Option Für alle Clients erforderlich (andere werden abgelehnt) aus, und klicken Sie auf Speichern.

Aktivieren der SMB-Verschlüsselung mit UNC-Härtung

Mit der UNC-Härtung können Sie SMB-Clients so konfigurieren, dass eine Verschlüsselung unabhängig von den Einstellungen für die Serververschlüsselung erforderlich ist. Dies ist nützlich, um Abfangangriffe zu verhindern. Informationen zum Konfigurieren der UNC-Härtung finden Sie unter MS15-011: Vulnerability in Group Policy could allow remote code execution (Eine Schwachstelle in den Gruppenrichtlinien kann die Remoteausführung von Code ermöglichen). Weitere Informationen zu Abwehrmaßnahmen für Abfangangriffe erhalten Sie unter How to Defense Users from Interception Attacks via SMB Client Defense (Schützen von Benutzern vor Abfangangriffen mithilfe von SMB Client Defense).

Aktivieren von SMB-Verschlüsselung mit Windows PowerShell

  1. Geben Sie das folgende Skript auf dem Server ein, um SMB-Verschlüsselung für eine einzelne Dateifreigabe zu aktivieren:

    Set-SmbShare –Name <sharename> -EncryptData $true
    
  2. Geben Sie das folgende Skript auf dem Server ein, um SMB-Verschlüsselung für den gesamten Dateiserver zu aktivieren:

    Set-SmbServerConfiguration –EncryptData $true
    
  3. Geben Sie das folgende Skript ein, um eine neue SMB-Dateifreigabe mit aktivierter SMB-Verschlüsselung zu erstellen:

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
    

Überlegungen zur Bereitstellung von SMB-Verschlüsselung

Wenn SMB-Verschlüsselung für eine Dateifreigabe oder einen Server aktiviert ist, dürfen standardmäßig nur SMB 3.0, 3.02 und 3.1.1-Clients auf die angegebenen Dateifreigaben zugreifen. Dies setzt die Absicht des Administrators durch, die Daten für alle Clients zu schützen, die auf die Freigaben zugreifen. In einigen Fällen möchte ein Administrator jedoch möglicherweise einen unverschlüsselten Zugriff für Clients zulassen, die SMB 3.x nicht unterstützen (z. B. während eines Übergangszeitraums, wenn gemischte Clientbetriebssystemversionen verwendet werden). Geben Sie das folgende Skript in Windows PowerShell ein, um unverschlüsselten Zugriff für Clients zuzulassen, die SMB 3.x nicht unterstützen:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Hinweis

  • Es wird nicht empfohlen, unverschlüsselten Zugriff zuzulassen, wenn Sie Verschlüsselung bereitgestellt haben. Aktualisieren Sie stattdessen die Clients, um Verschlüsselung zu unterstützen.

Mit der im nächsten Abschnitt beschriebenen vor der Authentifizierung angewendeten Integritätsfunktion wird verhindert, dass ein Abfangangriff eine Verbindung von SMB 3.1.1 auf SMB 2 herabstuft (dann würde unverschlüsselter Zugriff verwendet). Es wird jedoch kein Downgrade auf SMB 1.0 verhindert, was ebenfalls zu unverschlüsseltem Zugriff führen würde. Damit sichergestellt ist, dass SMB 3.1.1-Clients immer SMB-Verschlüsselung für den Zugriff auf verschlüsselte Freigaben verwenden, müssen Sie den SMB 1.0-Server deaktivieren. Eine Anleitung finden Sie unter Herstellen einer Verbindung mit dem Server mit Windows Admin Center, öffnen Sie die Dateidateifreigabeerweiterung, und klicken Sie dann auf die Registerkarte Dateifreigaben, um zur Deinstallation aufgefordert zu werden. Weitere Informationen finden Sie unter How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows (Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows). Wenn für die Einstellung –RejectUnencryptedAccess die Standardeinstellung $true beibehalten wird, dürfen nur verschlüsselungsfähige SMB 3.x-Clients auf die Dateifreigaben zugreifen (SMB 1.0-Clients werden ebenfalls abgelehnt).

Hinweis

  • SMB-Verschlüsselung verwendet den AES-GCM und -CCM-Algorithmus (Advanced Encryption Standard), um die Daten zu verschlüsseln und zu entschlüsseln. AES-CMAC und AES-GMAC bieten außerdem eine Überprüfung der Datenintegrität (Signierung) für verschlüsselte Dateifreigaben, unabhängig von den SMB-Signierungseinstellungen. Wenn Sie SMB-Signaturen ohne Verschlüsselung aktivieren möchten, können Sie diese weiterhin verwenden. Weitere Informationen finden Sie unter Konfigurieren der SMB-Signierung mit Zuverlässigkeit.
  • Wenn Sie versuchen, auf die Dateifreigabe oder den Server zuzugreifen, treten möglicherweise Probleme auf, wenn in Ihrer Organisation WAN-Beschleuniger (Wide Area Network) verwendet werden.
  • Mit einer Standardkonfiguration (bei der kein unverschlüsselter Zugriff auf verschlüsselte Dateifreigaben zulässig ist), wird Ereignis-ID 1003 im Ereignisprotokoll „Microsoft-Windows-SmbServer/Operational“ protokolliert, und der Client empfängt eine Fehlermeldung des Typs Zugriff verweigert, wenn Clients, die SMB 3.x nicht unterstützen, versuchen, auf eine verschlüsselte Dateifreigabe zuzugreifen.
  • SMB-Verschlüsselung und das verschlüsselnde Dateisystem (EFS) im NTFS-Dateisystem stehen nicht miteinander in Beziehung, und SMB-Verschlüsselung erfordert nicht die Verwendung von EFS oder hängt davon ab.
  • SMB-Verschlüsselung und die BitLocker-Laufwerkverschlüsselung stehen nicht miteinander in Beziehung, und SMB-Verschlüsselung erfordert nicht die Verwendung von Bitlocker-Laufwerkverschlüsselung oder hängt davon ab.

Integrität vor der Authentifizierung

SMB 3.1.1 ist mithilfe von Integrität vor der Authentifizierung in der Lage, Abfangangriffe zu erkennen, die versuchen, das Protokoll oder die Funktionen herabzustufen, die der Client und der Server aushandeln. Die Integrität vor der Authentifizierung ist ein obligatorisches Feature in SMB 3.1.1. Es schützt vor Manipulationen von Negotiate- und Session Setup-Nachrichten durch den Einsatz von kryptografischem Hashing. Der resultierende Hash wird als Eingabe verwendet, um die kryptografischen Schlüssel der Sitzung abzuleiten, einschließlich ihres Signaturschlüssels. Dadurch können Client und Server den Verbindungs- und Sitzungseigenschaften gegenseitig vertrauen. Wenn ein solcher Angriff vom Client oder Server erkannt wird, wird die Verbindung getrennt, und die Ereignis-ID 1005 wird im Ereignisprotokoll Microsoft-Windows-SmbServer/Operational protokolliert. Daher wird dringend empfohlen, den SMB 1.0-Server zu deaktivieren, um die vollständigen Funktionen von SMB-Verschlüsselung nutzen zu können. Eine Anleitung finden Sie unter Herstellen einer Verbindung mit dem Server mit Windows Admin Center, öffnen Sie die Dateidateifreigabeerweiterung, und klicken Sie dann auf die Registerkarte Dateifreigaben, um zur Deinstallation aufgefordert zu werden. Weitere Informationen finden Sie unter How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows (Erkennen, Aktivieren und Deaktivieren von SMBv1, SMBv2 und SMBv3 in Windows).

Neuer Signaturalgorithmus

SMB 3.0 und 3.02 verwenden einen neueren Verschlüsselungsalgorithmus zum Signieren: AES-CMAC (Advanced Encryption Standard, Cipher-based Message Authentication Code). SMB 2.0 hat den älteren HMAC-SHA256-Verschlüsselungsalgorithmus verwendet. AES-CMAC und AES-CCM können die Datenverschlüsselung mit den meisten modernen CPUs mit AES-Anweisungsunterstützung erheblich beschleunigen.

Mit Windows Server 2022 und Windows 11 wird AES-128-GMAC für SMB 3.1.1-Signierung eingeführt. Windows handelt diese leistungsstärkere Verschlüsselungsmethode automatisch aus, wenn eine Verbindung mit einem anderen Computer hergestellt wird, der sie unterstützt. Windows unterstützt weiterhin AES-128-CMAC. Weitere Informationen finden Sie unter Konfigurieren der SMB-Signierung mit Zuverlässigkeit.

Deaktivieren von SMB 1.0

SMB 1.0 wird ab Windows Server, Version 1709, und Windows 10, Version 1709, nicht standardmäßig installiert. Um Anweisungen zum Entfernen von SMB1 zu erhalten, stellen Sie mit Windows Admin Center eine Verbindung mit dem Server her, öffnen Sie die Dateidateifreigabeerweiterung, und klicken Sie dann auf die Registerkarte Dateifreigaben, um zur Deinstallation aufgefordert zu werden. Weitere Informationen finden Sie unter How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows You should disable SMB1 immediately is still installed. Weitere Informationen zum Erkennen und Deaktivieren der SMB 1.0-Nutzung finden Sie unter Beenden der Verwendung von SMB1. Informationen zu einem Software-Clearinghouse, das zuvor SMB 1.0 erforderte oder es noch aktuell erfordert, lesen Sie Still needs SMB1 (Benötigt noch SMB1).

Weitere Informationen

Dies sind einige zusätzliche Ressourcen zu SMB und verwandten Technologien in Windows Server 2012.