SMB biztonsági fejlesztések

A Kiszolgálói üzenetblokk (SMB) protokoll a Windows-környezetekben a fájlmegosztás és az adathozzáférés alapvető összetevője. A biztonsági fenyegetések folyamatos fejlődésével a Windows Server és a Windows továbbfejlesztett SMB biztonsági funkciókat vezet be, amelyek segítenek megvédeni a bizalmas adatokat a lehallgatástól és a jogosulatlan hozzáféréstől. Ez a cikk az SMB legújabb biztonsági fejlesztéseit ismerteti, beleértve az SMB-titkosítást, az új aláíró algoritmusokat és a speciális konfigurációs beállításokat. Ezekkel a funkciókkal megerősítheti a szervezet adatvédelmét, és megfelelhet a modern biztonsági követelményeknek.

SMB-titkosítás

Az SMB-titkosítás végpontok közötti SMB-titkosítást biztosít, és védelmet nyújt az adatoknak a nem megbízható hálózatokon történő lehallgatástól. Az SMB-titkosítást minimális erőfeszítéssel üzembe helyezheti, de a speciális hardverek vagy szoftverek esetében más költségekre is szükség lehet. Nincsenek követelményei az internetes protokoll biztonságra (IPsec) vagy WAN-gyorsítókra. Az SMB-titkosítás konfigurálható megosztásonként, a teljes fájlkiszolgálón vagy a meghajtók leképezésekor.

Note

Az SMB-titkosítás nem terjed ki a nyugalmi állapotban lévő adatbiztonságra. A BitLocker meghajtótitkosítás általában az inaktív állapotban lévő védelmet kezeli.

Az SMB-titkosítást minden olyan forgatókönyv esetében megfontolhatja, amelyben a bizalmas adatokat védeni kell az elfogási támadásoktól. A lehetséges forgatókönyvek a következők:

• Az adatfeldolgozó bizalmas adatait az SMB protokoll használatával helyezheti át. Az SMB Encryption teljes körű adatvédelmet és integritást biztosít a fájlkiszolgáló és az ügyfél között. Ezt a biztonságot a bejárt hálózatoktól függetlenül biztosítja, például a nem Microsoft-szolgáltatók által fenntartott nagy kiterjedésű hálózati (WAN-) kapcsolatokat.
• Az SMB 3.0 lehetővé teszi, hogy a fájlkiszolgálók folyamatosan rendelkezésre álló tárolót biztosítsanak a kiszolgálóalkalmazásokhoz, például az SQL Serverhez vagy a Hyper-V-hez. Az SMB-titkosítás engedélyezése lehetővé teszi, hogy megvédje ezeket az információkat a támadásoktól. Az SMB-titkosítás használata egyszerűbb, mint a legtöbb tárolóhálózathoz (SAN-hez) szükséges dedikált hardvermegoldások.

A Windows Server 2022 és a Windows 11 AES-256-GCM és AES-256-CCM titkosítási csomagokat vezet be az SMB 3.1.1 titkosításhoz. A Windows automatikusan egyezteti ezt a fejlettebb titkosítási módszert, amikor egy másik, azt támogató számítógéphez csatlakozik. Ezt a módszert a csoportházirend segítségével is előírhatja. A Windows továbbra is támogatja az AES-128-GCM és az AES-128-CCM használatát. Alapértelmezés szerint az AES-128-GCM egyeztetése az SMB 3.1.1-es verziójával történik, így a biztonság és a teljesítmény legjobb egyensúlya érhető el.

A Windows Server 2022 és a Windows 11 SMB Direct mostantól támogatja a titkosítást. Korábban az SMB-titkosítás engedélyezése letiltotta a közvetlen adatelhelyezést, így az RDMA teljesítménye olyan lassú, mint a TCP. Most az adatok titkosítása az elhelyezés előtt történik, ami viszonylag kisebb teljesítménycsökkenéshez vezet az AES-128 és az AES-256 által védett csomagok védelme mellett. A titkosítást a Windows Felügyeleti központ, a Set-SmbServerConfiguration vagy az UNC hardening csoportházirend használatával engedélyezheti.

Emellett a Windows Server feladatátvételi fürtjei mostantól támogatják a csomópontok közötti tárolókommunikáció titkosításának finomhangolt irányítását a fürtmegosztott kötetek (CSV) és a tárolóbuszréteg (SBL) esetében. Ez a támogatás azt jelenti, hogy a Közvetlen tárolóhelyek és az SMB Direct használatakor a fürtben lévő kelet-nyugati kommunikációt titkosíthatja a nagyobb biztonság érdekében.

Important

Jelentős teljesítménybeli üzemeltetési költségek járnak a végpontok közötti titkosítási védelemmel, ha nem titkosított védelemmel hasonlítja össze.

Prerequisites

Az SMB-titkosítás engedélyezése előtt győződjön meg arról, hogy a következő előfeltételek teljesülnek:

• A Windows vagy a Windows Server támogatott verziója.
• Az SMB 3.0 vagy újabb verziója az ügyfélen és a kiszolgálón is engedélyezve van.
• Rendszergazdai jogosultságok vagy azzal egyenértékű engedélyek az SMB-kiszolgálóhoz és az ügyfélhez.

SMB-titkosítás engedélyezése

Engedélyezheti az SMB-titkosítást a teljes fájlkiszolgálón, vagy csak adott fájlmegosztásokhoz. Az SMB-titkosítás engedélyezéséhez használja az alábbi eljárások egyikét.

SMB-titkosítás engedélyezése a Windows Felügyeleti központ használatával

1. Töltse le és telepítse Windows Felügyeleti központ.
2. Csatlakozzon a fájlkiszolgálóhoz.
3. Válassza Fájlok & fájlmegosztásilehetőséget.
4. Válassza a Fájlmegosztások lapot.
5. Ha titkosítást szeretne igényelni egy megosztáson, válassza ki a megosztás nevét, és válassza az SMB-titkosítás engedélyezése lehetőséget.
6. Ha titkosítást szeretne igényelni a kiszolgálón, válassza Fájlkiszolgáló beállításailehetőséget.
7. Az SMB 3 titkosítás alatt válassza a Kötelező elemet az összes ügyfélből (a többit elutasítja), majd válassza a Mentés lehetőséget.

Az SMB-titkosítás engedélyezése UNC-alapú megkeményítéssel

Az UNC hardening lehetővé teszi az SMB-ügyfelek konfigurálását úgy, hogy a kiszolgáló titkosítási beállításaitól függetlenül titkosítást igényeljenek. Ez a funkció segít megelőzni az adatelfogó támadásokat. Az UNC Hardening konfigurálásáról szóló információkért lásd: MS15-011: A csoportházirend biztonsági rése távoli kódfuttatást tehet lehetővé. Az elfogó támadások elleni védelemről további információt az Felhasználók védelme az SMB Client Defensekeresztüli elfogási támadások ellen című témakörben talál.

SMB-titkosítás engedélyezése a Windows PowerShell használatával

1. Jelentkezzen be a kiszolgálóra, és futtassa a PowerShellt a számítógépen egy emelt szintű munkamenetben.

2. Ha engedélyezni szeretné az SMB-titkosítást egy adott fájlmegosztáshoz, futtassa a következő parancsot.

   Set-SmbShare –Name <sharename> -EncryptData $true
   

3. A teljes fájlkiszolgáló SMB-titkosításának engedélyezéséhez futtassa a következő parancsot.

   Set-SmbServerConfiguration –EncryptData $true
   

4. Ha új SMB-fájlmegosztást szeretne létrehozni, amelyen engedélyezve van az SMB-titkosítás, futtassa a következő parancsot.

   New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
   

Meghajtók leképezése titkosítással

1. Ha engedélyezni szeretné az SMB-titkosítást egy meghajtó PowerShell-lel való leképezésekor, futtassa a következő parancsot.

   New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE
   

2. Ha engedélyezni szeretné az SMB-titkosítást egy meghajtó CMD használatával történő leképezésekor, futtassa a következő parancsot.

   NET USE <drive letter> <UNC path> /REQUIREPRIVACY
   

Az SMB-titkosítás üzembe helyezésének szempontjai

Ha az SMB-titkosítás engedélyezve van egy fájlmegosztáshoz vagy -kiszolgálóhoz, alapértelmezés szerint csak az SMB 3.0, 3.02 és 3.1.1 ügyfelek férhetnek hozzá a megadott fájlmegosztásokhoz. Ez a korlát kikényszeríti a rendszergazda azon szándékát, hogy a megosztásokhoz hozzáférő összes ügyfél számára védje az adatokat.

Bizonyos körülmények között azonban előfordulhat, hogy a rendszergazda titkosítatlan hozzáférést szeretne engedélyezni az SMB 3.x-et nem támogató ügyfelek számára. Ez a helyzet egy átmeneti időszakban fordulhat elő, amikor vegyes ügyfél operációsrendszer-verziókat használnak. Ha nem titkosított hozzáférést szeretne engedélyezni az SMB 3.x-et nem támogató ügyfelek számára, írja be a következő szkriptet a Windows PowerShellben:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Note

Titkosítás telepítésekor nem javasoljuk a titkosítatlan hozzáférés engedélyezését. Frissítse az ügyfeleket a titkosítás támogatásához.

A következő szakaszban ismertetett előhitelesítési integritási képesség megakadályozza, hogy az elfogási támadás az SMB 3.1.1 és az SMB 2.x közötti kapcsolatot visszafejtse (amely titkosítatlan hozzáférést használna). Ez azonban nem akadályozza meg az SMB 1.0-ra való visszalépést, ami titkosítatlan hozzáférést is eredményezne.

Annak biztosítása érdekében, hogy az SMB 3.1.1-ügyfelek mindig SMB-titkosítással férhessenek hozzá a titkosított megosztásokhoz, le kell tiltania az SMB 1.0-kiszolgálót. Útmutatásért csatlakozzon a kiszolgálóhoz a Windows Felügyeleti központ használatával, és nyissa meg a Fájlok & Fájlmegosztás bővítményt, majd válassza ki a Fájlmegosztások lapot, hogy megjelenjen az eltávolítási folyamat. További információ : Az SMBv1, az SMBv2 és az SMBv3 észlelése, engedélyezése és letiltása Windows rendszerben.

Ha a –RejectUnencryptedAccess beállítás az alapértelmezett $true beállításnál marad, csak a titkosításra képes SMB 3.x-ügyfelek férhetnek hozzá a fájlmegosztásokhoz. (Az SMB 1.0-ügyfelek szintén elutasítva.)

Az SMB-titkosítás telepítésekor vegye figyelembe a következő problémákat:

• Az SMB Encryption az Advanced Encryption Standard (AES)-GCM és CCM algoritmust használja az adatok titkosításához és visszafejtéséhez. AES-CMAC és AES-GMAC az SMB aláírási beállításaitól függetlenül adatintegritási ellenőrzést (aláírást) is biztosít a titkosított fájlmegosztásokhoz. Ha titkosítás nélkül szeretné engedélyezni az SMB-aláírást, ezt továbbra is megteheti. További információért lásd: Az SMB-aláírás magabiztos konfigurálása.
• Problémákat tapasztalhat a fájlmegosztás vagy a kiszolgáló elérésekor, ha a szervezet WAN gyorsító berendezéseket használ.
• Ha az SMB 3.x nem támogatja a titkosított fájlmegosztások elérését, az alapértelmezett konfiguráció (ahol nincs titkosítatlan hozzáférés a titkosított fájlmegosztásokhoz) esetén a rendszer naplózza az 1003-as eseményazonosítót a Microsoft-Windows-SmbServer/Operational eseménynaplóba, és az ügyfél egy Hozzáférés megtagadva hibaüzenetet kap.
• Az SMB-titkosítás és az NTFS fájlrendszer titkosítási fájlrendszere (EFS) nem kapcsolódik egymáshoz, és az SMB-titkosítás nem igényel vagy függ az EFS-használattól.
• Az SMB-titkosítás és a BitLocker meghajtótitkosítás nem kapcsolódik egymáshoz, és az SMB-titkosítás nem igényel vagy függ a BitLocker meghajtótitkosításától.

Előhitelesítés integritása

Az SMB 3.1.1 képes észlelni azokat az elfogási támadásokat, amelyek megpróbálják leminősíteni a protokollt vagy azokat a képességeket, amelyeket az ügyfél és a kiszolgáló az előhitelesítési integritás használatával tárgyal. Az előhitelesítés integritása az SMB 3.1.1 kötelező funkciója. Titkosítási kivonatolással véd az egyeztetési és munkamenet-beállítási üzenetek illetéktelen módosításától. Az eredményként kapott kivonatot a rendszer bemenetként használja a munkamenet titkosítási kulcsainak kinyeréséhez, beleértve annak aláírókulcsát is. Ez a folyamat lehetővé teszi, hogy az ügyfél és a kiszolgáló kölcsönösen megbízzanak a kapcsolat és a munkamenet tulajdonságaiban. Amikor az ügyfél vagy a kiszolgáló észlel egy ilyen támadást, a kapcsolat megszakad, és az 1005-ös eseményazonosító a Microsoft-Windows-SmbServer/Operational eseménynaplóban lesz naplózva.

A védelem miatt és az SMB-titkosítás teljes képességeinek kihasználásához határozottan javasoljuk, hogy tiltsa le az SMB 1.0-kiszolgálót. Útmutatásért csatlakozzon a kiszolgálóhoz a Windows Felügyeleti központ segítségével, és nyissa meg a Fájlok > Fájlmegosztás bővítményt, majd válassza ki a Fájlmegosztások lapot, amelyet a rendszer az eltávolításra kér. További információ : Az SMBv1, az SMBv2 és az SMBv3 észlelése, engedélyezése és letiltása Windows rendszerben.

Új aláíró algoritmus

Az SMB 3.0 és a 3.02 egy újabb titkosítási algoritmust használ az aláíráshoz: AES-titkosításon alapuló üzenethitelesítési kód (CMAC). Az SMB 2.0 a régebbi HMAC-SHA256 titkosítási algoritmust használta. AES-CMAC és AES-CCM jelentősen felgyorsíthatják az adattitkosítást az AES-utasítástámogatással rendelkező legtöbb modern processzoron.

A Windows Server 2022 és a Windows 11 az SMB 3.1.1 aláíráshoz készült AES-128-GMAC-t mutatja be. A Windows automatikusan egyezteti ezt a jobb teljesítményű titkosítási módszert, amikor egy másik, azt támogató számítógéphez csatlakozik. A Windows továbbra is támogatja az AES-128-CMAC-t. További információért lásd: Az SMB-aláírás magabiztos konfigurálása.

Az SMB 1.0 letiltása

Az SMB 1.0 alapértelmezés szerint nincs telepítve a Windows Server 1709-es és a Windows 10 1709-es verziójától kezdve. Az SMB 1.0 eltávolításával kapcsolatos utasításokért csatlakozzon a kiszolgálóhoz a Windows Felügyeleti központ használatával, nyissa meg a Fájlok > Fájlmegosztás bővítményt, majd válassza ki a fájlmegosztások lapot, amelyet a rendszer az eltávolításra kér. További információ : Az SMBv1, az SMBv2 és az SMBv3 észlelése, engedélyezése és letiltása Windows rendszerben.

Ha még telepítve van, azonnal tiltsa le az SMB 1.0-t. További információ az SMB 1.0-s használatának észleléséről és letiltásáról: Az SMB1 használatának leállítása. Jelenleg vagy korábban SMB 1.0-t igénylő szoftverek gyűjteményét az SMB1 termékgyűjtő témakörben találja.

Kapcsolódó tartalom

• Windows Server SMB 3 protokollt használó fájlmegosztás áttekintése
• Windows Server Storage dokumentációja
• Scale-Out fájlkiszolgáló az alkalmazásadatok áttekintéséhez