Melhorias de segurança do SMB

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Azure Stack HCI, versão 21H2

Este tópico explica os aprimoramentos de segurança do SMB no Windows Server.

Criptografia SMB

A Criptografia SMB fornece criptografia de ponta a ponta dos dados do SMB e protege os dados contra ocorrências de interceptação em redes não confiáveis. Você pode implantar a Criptografia SMB com esforço mínimo, mas pode exigir pequenos custos adicionais para hardware ou software especializado. Não tem requisitos de IPsec (Internet Protocol Security) ou de aceleradores de WAN. A Criptografia SMB pode ser configurada a cada compartilhamento ou para todo o servidor de arquivos e pode ser habilitado para uma variedade de cenários em que os dados percorrem redes não confiáveis.

Observação

A criptografia SMB não abrange a segurança em repouso, que normalmente é manipulada pela Criptografia de Unidade de Disco BitLocker.

A Criptografia SMB deve ser considerada para qualquer cenário em que dados confidenciais precisem ser protegidos contra ataques de interceptação. Os cenários possíveis incluem:

  • Os dados confidenciais de um profissional da informação são movidos usando o protocolo SMB. A criptografia SMB oferece uma garantia de integridade e privacidade de ponta a ponta entre o servidor de arquivos e o cliente, independentemente das redes que são cruzadas, como conexões de WAN (rede de longa distância) mantidas por provedores que não são da Microsoft.
  • O SMB 3.0 permite que os servidores de arquivos forneçam armazenamento continuamente disponível para aplicativos de servidor, como o SQL Server ou o Hyper-V. A habilitação da criptografia SMB oferece uma oportunidade de proteger essas informações contra ataques de espionagem. A criptografia SMB é mais simples de usar do que as soluções de hardware dedicadas exigidas pela maioria das SANs (redes de área de armazenamento).

O Windows Server 2022 e o Windows 11 introduzem os pacotes criptográficos AES-256-GCM e AES-256-CCM para criptografia SMB 3.1.1. O Windows negociará automaticamente esse método de criptografia mais avançado ao se conectar com outro computador compatível com esse método, que também poderá ser exigido por meio da Política de Grupo. Windows ainda dá suporte a AES-128-GCM e AES-128-CCM. Por padrão, o AES-128-GCM é negociado com SMB 3.1.1, trazendo o melhor equilíbrio entre segurança e desempenho.

O Windows Server 2022 e o Windows 11 SMB Direct agora dão suporte a criptografia. Anteriormente, habilitar a criptografia SMB desabilitava o posicionamento direto de dados, tornando o desempenho RDMA tão lento quanto o TCP. Agora, os dados são criptografados antes do posicionamento, levando a uma degradação de desempenho relativamente pequena ao adicionar a privacidade de pacote protegido AES-128 e AES-256. Você pode habilitar a criptografia usando o Windows Admin Center, o comando Set-SmbServerConfiguration ou a política de grupo de proteção UNC. Além disso, os clusters de failover do Windows Server agora dão suporte ao controle granular da criptografia de comunicações de armazenamento dentro dos nós para CSV (Volumes Compartilhados Clusterizados) e a SBL (Camada de Barramento do Armazenamento). Isso significa que, ao usar o Espaços de Armazenamento Diretos e o SMB Direct, você pode optar por criptografar as comunicações leste-oeste dentro do próprio cluster para maior segurança.

Importante

Você deve observar que há um custo operacional de desempenho considerável com qualquer proteção de criptografia de ponta a ponta em comparação com a opção não criptografada.

Habilitar Criptografia SMB

Você pode habilitar a Criptografia SMB para todo o servidor de arquivos ou apenas para compartilhamentos de arquivos específicos. Use um dos seguintes procedimentos para habilitar a Criptografia SMB:

Habilitar a criptografia SMB com o Windows Admin Center

  1. Baixe e instale o Windows Admin Center.
  2. Conecte-se ao servidor de arquivos.
  3. Clique em Compartilhamento de arquivos.
  4. Clique na guia Compartilhamentos de arquivos.
  5. Para exigir criptografia em um compartilhamento, clique no nome do compartilhamento e selecione Habilitar criptografia SMB.
  6. Para exigir criptografia no servidor, clique no botão *Configurações do servidor de arquivos e, em seguida, em "Criptografia SMB 3", selecione Exigido de todos os clientes (outros são rejeitados) e clique em Salvar.

Habilitar Criptografia SMB com Proteção UNC

A proteção UNC permite que você configure clientes SMB para exigir criptografia, independentemente das configurações de criptografia do servidor. Isso é útil para evitar ataques de interceptação. Para configurar a Proteção UNC, veja MS15-011: vulnerabilidade na Política de Grupo pode permitir a execução remota de código. Para obter mais informações sobre defesas contra ataques de interceptação, veja Como defender os usuários contra ataques de interceptação por meio da defesa do cliente SMB.

Habilitar a criptografia SMB com o Windows PowerShell

  1. Para habilitar a Criptografia SMB para um compartilhamento de arquivo individual, digite o seguinte script no servidor:

    Set-SmbShare –Name <sharename> -EncryptData $true
    
  2. Para habilitar a Criptografia SMB para todo o servidor de arquivos, digite o seguinte script no servidor:

    Set-SmbServerConfiguration –EncryptData $true
    
  3. Para criar um compartilhamento de arquivo SMB com a Criptografia SMB habilitada, digite o seguinte script:

    New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
    

Considerações para implantar a Criptografia SMB

Por padrão, quando a Criptografia SMB está habilitada para um compartilhamento de arquivo ou servidor, somente clientes SMB 3.0, 3.02 e 3.1.1 podem acessar os compartilhamentos de arquivos especificados. Isso impõe a intenção do administrador de proteger os dados para todos os clientes que acessam os compartilhamentos. No entanto, em algumas circunstâncias, um administrador pode querer permitir o acesso não criptografado para clientes que não dão suporte ao SMB 3.x (por exemplo, durante um período de transição quando versões mistas do sistema operacional do cliente estão sendo usadas). Para permitir o acesso não criptografado para clientes que não dão suporte ao SMB 3.x, digite o seguinte script no Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Observação

  • Não é recomendável permitir acesso não criptografado quando você implantou a criptografia. Em vez disso, atualize os clientes para dar suporte a criptografia.

A funcionalidade de integridade da pré-autenticação descrita na seção a seguir impede que um ataque de interceptação faça o downgrade de uma conexão do SMB 3.1.1 para o SMB 2.x (que permitiria acesso não criptografado). No entanto, não impede o downgrade para SMB 1.0, o que também resultaria em acesso não criptografado. Para garantir que os clientes SMB 3.1.1 sempre usem a criptografia SMB para acessar compartilhamentos criptografados, você deve desabilitar o servidor SMB 1.0. Para obter instruções, conecte-se ao servidor com o Centro de Administração do Windows e abra a extensão Compartilhamento de Arquivos e clique na guia Compartilhamentos de arquivos a ser solicitado a desinstalar ou consulte Como detectar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows. Se a configuração –RejectUnencryptedAccess for deixada com o valor padrão $true, somente os clientes SMB 3.x com capacidade de criptografia terão permissão para acessar os compartilhamentos de arquivos (os clientes SMB 1.0 também serão rejeitados).

Observação

  • A Criptografia SMB usa o algoritmo de criptografia AES GCM e CCM para criptografar e descriptografar os dados. O AES-CMAC e o AES-GMAC também fornecem validação de integridade de dados (assinatura) para compartilhamentos de arquivos criptografados, independentemente das configurações de assinatura SMB. Se você quiser habilitar a assinatura SMB sem criptografia, poderá continuar fazendo isso. Para obter mais informações, confira Configurar a Assinatura SMB com Confiança.
  • Você poderá encontrar problemas ao tentar acessar o compartilhamento de arquivo ou o servidor se a sua organização usar dispositivos de aceleração de WAN (rede de longa distância).
  • Com uma configuração padrão (em que não se permite acesso não criptografado a compartilhamentos de arquivos criptografados), se os clientes que não dão suporte ao SMB 3.x tentarem acessar um compartilhamento de arquivo criptografado, a ID de Evento 1003 será registrada no log de eventos Microsoft-Windows-SmbServer/Operational e o cliente receberá a mensagem de erro Acesso negado.
  • A criptografia SMB e o EFS (Encrypting File System) no sistema de arquivos NTFS não estão relacionados e a criptografia SMB não exige nem depende do uso do EFS.
  • A criptografia SMB e a Criptografia de Unidade de Disco BitLocker não estão relacionadas e a criptografia SMB não exige nem depende do uso de Criptografia de Unidade de Disco BitLocker.

Integridade da pré-autenticação

O SMB 3.1.1 é capaz de detectar ataques de interceptação que tentam fazer o downgrade do protocolo ou das funcionalidades que o cliente e o servidor negociam usando a integridade da pré-autenticação. A integridade da pré-autenticação é um recurso obrigatório no SMB 3.1.1. Ela protege contra eventuais violações das mensagens de Configuração de Sessão e Negociação, aproveitando o hash criptográfico. O hash resultante é usado como entrada para derivar as chaves criptográficas da sessão, incluindo a chave de assinatura. Isso permite que o cliente e o servidor confiem mutuamente nas propriedades de conexão e sessão. Quando tal ataque é detectado pelo cliente ou pelo servidor, a conexão é desconectada e a ID de evento 1005 é registrada no log de eventos Microsoft-Windows-SmbServer/Operational. Por isso e para aproveitar os recursos completos da criptografia SMB, é altamente recomendável desabilitar o servidor SMB 1.0. Para obter instruções, conecte-se ao servidor com o Centro de Administração do Windows e abra a extensão Compartilhamento de Arquivos e clique na guia Compartilhamentos de arquivos a ser solicitado a desinstalar ou consulte Como detectar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows.

Novo algoritmo de assinatura

O SMB 3.0 e o SMB 3.02 usam um algoritmo de criptografia mais recente para assinatura: CMCA (Message Authentication Code baseado em criptografia AES). O SMB 2.0 usou o algoritmo de criptografia HMAC-SHA256 mais antigo. O AES-CMAC e o AES-CCM podem acelerar significativamente a criptografia de dados na maioria das CPUs modernas compatíveis com instruções AES.

O Windows Server 2022 e o Windows 11 introduzem o AES-128-GMAC para assinatura do SMB 3.1.1. O Windows negociará automaticamente esse método de criptografia com melhor desempenho ao se conectar a outro computador compatível com ele. O Windows ainda dá suporte a AES-128-CMAC. Para obter mais informações, confira Configurar a Assinatura SMB com Confiança.

Como desabilitar o SMB 1.0

O SMB 1.0 não é instalado por padrão desde o Windows Server versão 1709 e o Windows 10 versão 1709. Para obter instruções sobre como remover o SMB1, conecte-se ao servidor com o Centro de Administração do Windows e abra a extensão Compartilhamento de Arquivos e clique na guia Compartilhamentos de arquivos a ser solicitado a desinstalar ou confira Como detectar, habilitar e desabilitar SMBv1, SMBv2 e SMBv3 no Windows Você deve desabilitar O SMB1 imediatamente ainda está instalado. Para obter mais informações sobre como detectar e desabilitar o uso do SMB 1.0, confira Parar de usar o SMB1. Para uma câmara de compensação de software que exigia e ainda exige SMB 1.0, confira Ainda precisa do SMB1.

Mais informações

Aqui estão alguns recursos adicionais sobre SMB e tecnologias relacionadas no Windows Server 2012.