SMB-säkerhetsförbättringar

2025-07-14
Gäller för: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

SMB-protokollet (Server Message Block) är en kärnkomponent för fildelning och dataåtkomst i Windows-miljöer. Allt eftersom säkerhetshoten fortsätter att utvecklas introducerar Windows Server och Windows förbättrade SMB-säkerhetsfunktioner för att skydda känsliga data från avlyssning och obehörig åtkomst. Den här artikeln beskriver de senaste SMB-säkerhetsförbättringarna, inklusive SMB-kryptering, nya signeringsalgoritmer och avancerade konfigurationsalternativ. Använd dessa funktioner för att stärka organisationens dataskydd och uppfylla moderna säkerhetskrav.

SMB Encryption

SMB-kryptering tillhandahåller end-to-end-kryptering av SMB-data och skyddar data från avlyssning på osäkra nätverk. Du kan distribuera SMB-kryptering med minimal ansträngning, men det kan kräva andra kostnader för specialiserad maskinvara eller programvara. Den har inga krav på Internet Protocol Security (IPsec) eller WAN-acceleratorer. SMB-kryptering kan konfigureras per resurs, för hela filservern eller vid mappning av enheter.

Note

SMB-kryptering omfattar inte säkerhet i vila. BitLocker-diskkryptering hanterar vanligtvis skydd i vila.

Du kan överväga SMB-kryptering för alla scenarier där känsliga data måste skyddas från avlyssningsattacker. Möjliga scenarier är:

Du flyttar en informationsarbetares känsliga data med hjälp av SMB-protokollet. SMB Encryption erbjuder en sekretess- och integritetsgaranti från slutpunkt till slutpunkt mellan filservern och klienten. Den ger den här säkerheten oavsett vilka nätverk som passerar, till exempel WAN-anslutningar (Wide Area Network) som underhålls av icke-Microsoft-leverantörer.
Med SMB 3.0 kan filservrar tillhandahålla kontinuerligt tillgänglig lagring för serverprogram, till exempel SQL Server eller Hyper-V. Genom att aktivera SMB-kryptering kan du skydda informationen från snokande attacker. SMB-kryptering är enklare att använda än de dedikerade maskinvarulösningar som krävs för de flesta lagringsområdesnätverk (SAN).

Windows Server 2022 och Windows 11 introducerar krypteringssviterna AES-256-GCM och AES-256-CCM för SMB 3.1.1-kryptering. Windows förhandlar automatiskt om den här mer avancerade chiffermetoden när du ansluter till en annan dator som stöder den. Du kan också ge den här metoden mandat via grupprincip. Windows stöder fortfarande AES-128-GCM och AES-128-CCM. Som standard förhandlas AES-128-GCM med SMB 3.1.1, vilket ger den bästa balansen mellan säkerhet och prestanda.

Windows Server 2022 och Windows 11 SMB Direct stöder nu kryptering. Tidigare inaktiverade aktivering av SMB-kryptering direktdataplacering, vilket gjorde RDMA-prestanda så långsam som TCP. Nu krypteras data innan det lagras, vilket leder till relativt liten prestandaförsämring samtidigt som paketsekretessen skyddas med AES-128 och AES-256. Du kan aktivera kryptering med hjälp av Windows Admin Center, Set-SmbServerConfigurationeller UNC Hardening-grupprincip.

Dessutom har Windows Server-redundanskluster nu stöd för detaljerad kontroll av kryptering av lagringskommunikation inom noden för klusterdelade volymer (CSV) och lagringsbusslagret (SBL). Det här stödet innebär att när du använder Storage Spaces Direct och SMB Direct kan du kryptera intern kommunikation i själva klustret för högre säkerhet.

Important

Det finns en betydande prestandadriftskostnad med alla krypteringsskydd från slutpunkt till slutpunkt jämfört med icke-krypterade.

Prerequisites

Innan du aktiverar SMB-kryptering kontrollerar du att följande krav uppfylls:

En version av Windows eller Windows Server som stöds.
SMB 3.0 eller senare är aktiverat på både klienten och servern.
Administratörsbehörigheter eller motsvarande behörigheter till SMB-servern och -klienten.

Aktivera SMB-kryptering

Du kan aktivera SMB-kryptering för hela filservern eller bara för specifika filresurser. Använd någon av följande procedurer för att aktivera SMB-kryptering.

Aktivera SMB-kryptering med Windows Admin Center

Ladda ned och installera Windows Admin Center.
Anslut till filservern.
Välj filer & fildelning.
Select the File shares tab.
Om du vill kräva kryptering på en resurs väljer du resursnamnet och väljer Aktivera SMB-kryptering.
Om du vill kräva kryptering på servern väljer du Filserverinställningar.
Under SMB 3-krypteringväljer du Krävs från alla klienter (andra avvisas)och väljer sedan Spara.

Aktivera SMB-kryptering med UNC Hardening

MED UNC Hardening kan du konfigurera SMB-klienter så att de kräver kryptering oavsett inställningar för serverkryptering. Den här funktionen hjälper till att förhindra avlyssningsattacker. Information om hur du konfigurerar UNC-härdning finns i MS15-011: Sårbarhet i gruppolicy kan möjliggöra fjärrkörning av kod. Mer information om skydd mot avlyssningsattacker finns i Så här försvarar du användare från avlyssningsattacker via SMB Client Defense.

Aktivera SMB-kryptering med Windows PowerShell

Logga in på servern och kör PowerShell på datorn i en upphöjd session.
Om du vill aktivera SMB-kryptering för en enskild filresurs kör du följande kommando.
```
Set-SmbShare –Name <sharename> -EncryptData $true
```
Om du vill aktivera SMB-kryptering för hela filservern kör du följande kommando.
```
Set-SmbServerConfiguration –EncryptData $true
```
Kör följande kommando för att skapa en ny SMB-filresurs med SMB-kryptering aktiverat.
```
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $true
```

Mappa enheter med kryptering

Om du vill aktivera SMB-kryptering när du mappar en enhet med PowerShell kör du följande kommando.
```
New-SMBMapping -LocalPath <drive letter> -RemotePath <UNC path> -RequirePrivacy $TRUE
```
Om du vill aktivera SMB-kryptering vid mappning av en enhet med hjälp av CMD kör du följande kommando.
```
NET USE <drive letter> <UNC path> /REQUIREPRIVACY
```

Överväganden för att distribuera SMB-kryptering

När SMB-kryptering är aktiverat för en filresurs eller server tillåts som standard endast SMB 3.0-, 3.02- och 3.1.1-klienter att komma åt de angivna filresurserna. Den här gränsen tillämpar administratörens avsikt att skydda data för alla klienter som har åtkomst till resurserna.

I vissa fall kanske en administratör dock vill tillåta okrypterad åtkomst för klienter som inte stöder SMB 3.x. Den här situationen kan inträffa under en övergångsperiod när blandade klientoperativsystemversioner används. Om du vill tillåta okrypterad åtkomst för klienter som inte stöder SMB 3.x anger du följande skript i Windows PowerShell:

Set-SmbServerConfiguration –RejectUnencryptedAccess $false

Note

Vi rekommenderar inte att du tillåter okrypterad åtkomst när du distribuerar kryptering. Uppdatera klienterna så att de stöder kryptering i stället.

Funktionen för förautentiseringsintegritet som beskrivs i nästa avsnitt förhindrar att en avlyssningsattack nedgraderar en anslutning från SMB 3.1.1 till SMB 2.x (som skulle använda okrypterad åtkomst). Det förhindrar dock inte en nedgradering till SMB 1.0, vilket också skulle resultera i okrypterad åtkomst.

För att garantera att SMB 3.1.1-klienter alltid använder SMB-kryptering för att komma åt krypterade resurser måste du inaktivera SMB 1.0-servern. För instruktioner, anslut till servern med Windows Admin Center och öppna Filer & filresurser-tillägget, och välj sedan fliken Filresurser för att guidas till avinstallation. Mer information finns i Så här identifierar, aktiverar och inaktiverar du SMBv1, SMBv2 och SMBv3 i Windows.

If the –RejectUnencryptedAccess setting is left at its default setting of $true, only encryption-capable SMB 3.x clients are allowed to access the file shares (SMB 1.0 clients are also rejected).

Överväg följande problem när du distribuerar SMB-kryptering:

SMB Encryption använder AES(Advanced Encryption Standard)-GCM- och CCM-algoritmen för att kryptera och dekryptera data. AES-CMAC och AES-GMAC tillhandahåller även verifiering av dataintegritet (signering) för krypterade fildelningar, oavsett inställningarna för SMB-signering. Om du vill aktivera SMB-signering utan kryptering kan du fortsätta att göra det. Mer information finns i Konfigurera SMB-signering med säkerhet.
Du kan stöta på problem när du försöker komma åt filresursen eller servern om din organisation använder WAN-accelerationsenheter (Wide Area Network).
With a default configuration (where there's no unencrypted access allowed to encrypted file shares), if clients that don't support SMB 3.x attempt to access an encrypted file share, Event ID 1003 is logged to the Microsoft-Windows-SmbServer/Operational event log, and the client receives an Access denied error message.
SMB-kryptering och EFS (Encrypting File System) i NTFS-filsystemet är orelaterade och SMB-kryptering kräver inte eller är beroende av att använda EFS.
SMB-kryptering och BitLocker-diskkryptering är orelaterade och SMB-kryptering kräver inte eller är beroende av att använda BitLocker-diskkryptering.

Preauthentication integrity

SMB 3.1.1 kan identifiera avlyssningsattacker som försöker nedgradera protokollet eller de funktioner som klienten och servern förhandlar om med hjälp av förautentiseringsintegritet. Förautentiseringsintegritet är en obligatorisk funktion i SMB 3.1.1. Den skyddar mot all manipulering av förhandlings- och sessionsinstallationsmeddelanden med hjälp av kryptografisk hashning. Den resulterande hashen används som indata för att härleda sessionens kryptografiska nycklar, inklusive dess signeringsnyckel. Den här processen gör det möjligt för klienten och servern att ömsesidigt lita på anslutnings- och sessionsegenskaperna. När klienten eller servern upptäcker en sådan attack kopplas anslutningen från och händelse-ID 1005 loggas i händelseloggen Microsoft-Windows-SmbServer/Operational.

På grund av det här skyddet och för att dra nytta av de fullständiga funktionerna i SMB-kryptering rekommenderar vi starkt att du inaktiverar SMB 1.0-servern. För instruktioner, anslut till servern med Windows Admin Center och öppna Filer & filresurser-tillägget, och välj sedan fliken Filresurser för att guidas till avinstallation. Mer information finns i Så här identifierar, aktiverar och inaktiverar du SMBv1, SMBv2 och SMBv3 i Windows.

Ny signeringsalgoritm

SMB 3.0 och 3.02 använder en nyare krypteringsalgoritm för signering: Advanced Encryption Standard (AES)-chifferbaserad kod för meddelandeautentisering (CMAC). SMB 2.0 använde den äldre HMAC-SHA256 krypteringsalgoritmen. AES-CMAC och AES-CCM kan avsevärt påskynda datakryptering på de flesta moderna processorer som har stöd för AES-instruktioner.

Windows Server 2022 och Windows 11 introducerar AES-128-GMAC för SMB 3.1.1-signering. Windows förhandlar automatiskt om den här bättre presterande chiffermetoden när du ansluter till en annan dator som stöder den. Windows stöder fortfarande AES-128-CMAC. Mer information finns i Konfigurera SMB-signering med säkerhet.

Inaktivera SMB 1.0

SMB 1.0 installeras inte som standard med start i Windows Server version 1709 och Windows 10 version 1709. Följ anvisningar för att ta bort SMB1 genom att ansluta till servern med Windows Admin Center, öppna tillägget Files & File Sharing och välj sedan fliken Filresurser för att bli uppmanad att avinstallera. Mer information finns i Så här identifierar, aktiverar och inaktiverar du SMBv1, SMBv2 och SMBv3 i Windows.

Om den fortfarande är installerad bör du inaktivera SMB1 omedelbart. Mer information om hur du identifierar och inaktiverar SMB 1.0-användning finns i Sluta använda SMB1. En clearinghouse för programvara som tidigare eller för närvarande kräver SMB 1.0 kan hittas i SMB1 Product Clearinghouse.