Lalu lintas SMB yang aman
Protokol Server Message Block (SMB) adalah protokol jaringan yang utamanya digunakan untuk berbagi file. Dengan penggunaan berbagi file yang umum, protokol ini juga sering digunakan oleh printer, pemindai, dan server email. Versi asli SMB, SMB 1.0, tidak mendukung enkripsi. Enkripsi SMB diperkenalkan pada versi 3.0.
Enkripsi diperlukan setiap kali data sensitif dipindahkan dengan menggunakan protokol SMB. Enkripsi SMB juga memungkinkan layanan file menyediakan penyimpanan yang aman untuk aplikasi server seperti Microsoft SQL Server dan umumnya lebih mudah digunakan daripada enkripsi berbasis perangkat keras khusus.
Apa itu keamanan protokol SMB 3.1.1?
SMB 3.0 memperkenalkan enkripsi ujung ke ujung ke protokol SMB (Server Message Block). Enkripsi SMB memberikan kerahasiaan paket data dan membantu mencegah peretas jahat mengubah atau mengintai paket data apa pun.
SMB 3.1.1, diperkenalkan di Windows Server 2016, memberikan beberapa peningkatan keamanan SMB 3.0, termasuk pemeriksaan integritas pra-autentikasi dan peningkatan enkripsi. Versi SMB yang disertakan dengan Windows Server 2019 adalah SMB 3.1.1.c.
Integritas pra-autentikasi
Dengan integritas pra-autentikasi, saat sesi sedang dibuat, pesan "negosiasi" dan "pengaturan sesi" dilindungi dengan menggunakan hash (SHA-512) yang kuat. Ini membantu mencegah serangan man-in-the-middle yang merusak koneksi. Hash yang dihasilkan digunakan sebagai input untuk mendapatkan kunci kriptografi sesi, termasuk kunci penandatanganannya. Respons penyiapan sesi akhir ditandatangani dengan kunci ini. Jika ada gangguan yang terjadi pada paket awal, validasi tanda tangan akan gagal, dan koneksi tidak akan ditetapkan. Hal ini memungkinkan klien dan server untuk saling mempercayai properti koneksi dan sesi.
Peningkatan enkripsi SMB
SMB 3.1.1 memberikan peningkatan pada fitur keamanan berikut:
Enkripsi SMB. Memperkenalkan dukungan untuk enkripsi Standar Enkripsi Lanjutan (AES) Mode Galois/Counter (GCM) 128-bit, beserta dengan dukungan berkelanjutan untuk enkripsi AES 128-bit.
Pembuatan Cache Direktori. Memungkinkan Windows untuk membuat cache direktori yang lebih besar, hingga 500.000 entri, dan percobaan pada kueri direktori dengan buffer 1-megabyte (MB) untuk meningkatkan performa.
Dukungan peningkatan kluster bergulir. Memungkinkan pemunculan SMB untuk mendukung versi maksimal SMB yang berbeda untuk kluster selama pembaruan.
Dukungan untuk panggilan API FileNormalizedNameInformation. Menambahkan dukungan asli untuk mengkueri nama file yang dinormalisasi. Nama yang dinormalisasi adalah nama yang persis, termasuk kapitalisasi huruf file sebagaimana yang tersimpan pada disk.
SMB 3.1.1.c memberikan peningkatan berikut pada enkripsi SMB 3.0:
Write-through ke disk. Fitur ini memungkinkan operasi tulis untuk memastikan bahwa penulisan ke file bersama dilakukan pada disk fisik. Ini adalah fitur baru dari SMB 3.1.1.c.
Akses tamu ke file bersama. Klien SMB tidak lagi mengizinkan akun Tamu untuk mengakses server jarak jauh atau Fallback ke akun Tamu saat kredensial tidak valid disediakan.
Pemetaan global SMB. Petakan file bersama SMB jarak jauh ke huruf kandar yang dapat diakses oleh semua pengguna di host lokal, termasuk kontainer. Hal ini memungkinkan kontainer untuk menulis ke file bersama jarak jauh.
Kontrol dialek SMB. Memungkinkan administrator untuk mengatur versi SMB minimum dan maksimum (juga dikenal sebagai dialek), yang digunakan pada sistem.
Persyaratan enkripsi SMB 3.1.1
Sistem Windows Server mendukung beberapa versi SMB (Server Message Block). Hal ini memungkinkan sistem berkomunikasi dengan server dan klien yang menjalankan sistem operasi lain dan versi Windows yang lain. Untuk menggunakan SMB 3.1.1, server host dan sistem yang berkomunikasi dengannya harus mendukung SMB 3.1.1.
Pra-autentikasi dengan SMB 3.1.1 tidak kompatibel dengan perangkat yang memodifikasi paket SMB, seperti beberapa akselerator jaringan area lebar (WAN). Oleh karena itu, Anda mungkin perlu mengganti beberapa peralatan jaringan agar menggunakan SMB 3.1.1.
Saat berkomunikasi dengan sistem operasi lain yang didukung, Windows Server akan menegosiasikan versi SMB berikut:
Windows 10 dan Windows Server 2016 atau yang lebih baru – SMB 3.1.1
Windows 8.1 dan Windows Server 2012 R2 -SMB 3.02
Windows 8 dan Windows Server 2012 – SMB 3.0
Catatan
Enkripsi SMB tidak terkait dengan Sistem File Terenkripsi (EFS) atau Enkripsi Kandar BitLocker.
Mengonfigurasi enkripsi SMB pada file bersama SMB
Verify.is Enkripsi SMB (Server Message Block) tidak diaktifkan secara default, karena enkripsi menambahkan beberapa overhead ke komunikasi jaringan. Jika Anda ingin menggunakan enkripsi SMB, Anda dapat mengonfigurasinya menurut file bersama atau untuk keseluruhan server file. Tempat Anda mengaktifkan enkripsi SMB bergantung pada kebutuhan keamanan Anda. Mengaktifkannya akan membatasi file bersama atau server file hanya untuk klien SMB 3.x untuk file bersama yang dilindungi.
Untuk menggunakan Windows PowerShell guna mengaktifkan enkripsi SMB pada file bersama yang ada, gunakan perintah berikut dari server yang menghosting file bersama:
Set-SmbShare –Name <sharename> -EncryptData $true
Untuk mengenkripsi semua file bersama di server file, gunakan perintah berikut yang terdapat di server:
Set-SmbServerConfiguration –EncryptData $true
Untuk membuat file bersama SMB baru di server dan mengaktifkan enkripsi SMB secara bersamaan, gunakan perintah berikut:
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
Untuk memungkinkan koneksi yang tidak menggunakan enkripsi SMB 3, seperti ketika server dan klien yang lebih lama masih ada di jaringan Anda, gunakan perintah berikut:
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
Catatan
Anda juga dapat mengonfigurasi enkripsi SMB menggunakan Pusat Admin Windows seperti yang ditunjukkan pada contoh.
