Configurar o protocolo SMB
O Windows Server negociará e usará a versão SMB mais alta suportada por um cliente. Nesse sentido, o cliente pode ser outro servidor, um dispositivo Windows 10 ou até mesmo um cliente herdado mais antigo ou um dispositivo de armazenamento conectado à rede (NAS). Isso pode resultar em downgrade de protocolo para SMB 2.0. As versões mais antigas do Windows Server também incluem suporte para SMB 1.0, que é conhecido por suas vulnerabilidades. Portanto, o uso do SMB 1.0 deve ser bloqueado por razões de segurança.
Nota
A partir do Windows Server versão 1709 e do Windows 10 versão 1709, o suporte para SMB 1.0 não é instalado por padrão.
Demonstração
O vídeo a seguir demonstra como:
- Desative o SMB 1.0.
- Configure a criptografia SMB.
As principais etapas do processo são:
- Crie um ambiente do AD DS. Crie uma floresta do AD DS de domínio único com um membro do domínio configurado como um servidor de arquivos.
- Habilite o SMB 1.0 no servidor membro. Habilite explicitamente o SMB 1.0 usando o cmdlet do
Enable-WindowsOptionalFeature
Windows PowerShell. - Detete se o SMB 1.0 está habilitado. Habilite a auditoria de conexões SMB 1.0.
- Auditar o uso do SMB 1.0. Use as ferramentas de linha de comando para transferir as funções de mestre de operações de volta para o primeiro controlador de domínio.
- Desative o SMB 1.0. Desabilite o SMB 1.0 usando o cmdlet do
Disable-WindowsOptionalFeature
Windows PowerShell. - Configure a criptografia SMB. Impor o uso de criptografia SMB.