Шифрирање саобраћаја у СМБ 3.0

У верзији протокола Сервер Порука Блокирај (СМБ) 3.0, уведен у Виндовс Сервер 2012 / Виндовс 8, постало је могуће шифрирање података који се преносе преко мреже између СМБ сервера датотека и клијента. Шифровање СМБ саобраћаја омогућава вам да заштитите податке који се преносе преко непоуздане или отворене мреже од пресретања и модификација. Шифрирање података је транспарентно са становишта клијента и не захтева значајне трошкове организације и ресурса, као што је случај са имплементацијом ВПН, ИПСец и ПКИ инфраструктуре. У последњој верзији протокола СМБ 3.1.1 (уведен у Виндовс 10 и Виндовс Сервер 2016) користи се шифровање АЕС 128 ГЦМ, а перформансе алгоритма за шифровање су знатно повећане. Поред тога врши се аутоматско потписивање и провера интегритета података..

Испитаћемо карактеристике имплементације СМБ енкрипције у Виндовс Сервер 2012. Пре свега, морате да схватите да ако клијент и сервер подржавају различите верзије СМБ протокола, онда када се успоставља веза између сервера и клијента, за интеракцију се бира највиша подржана верзија СМБ-а. и клијент и сервер. То значи да сви клијенти са ОС испод Виндовс 8 / Сервер 2012 неће моћи да комуницирају са мрежним имеником за који је омогућено СМБ шифрирање..

На датотечном серверу можете добити верзију СМБ протокола који користи један или други клијент (верзија протокола који је кориштен изабрана у оквиру везе наведена је у колони Диалецт):

Гет-смбцоннецтион

Шифрирање за пренос СМБ саобраћаја је подразумевано онемогућено на Виндовс Сервер 2012 датотечном серверу. Можете омогућити шифровање појединачно за сваку СМБ лоптицу и за цео сервер.

Ако морате да омогућите шифровање у одређеном директоријуму, отворите конзолу на серверу Сервер манагер и идите на одељак Услуге датотека и складиштења -> Дељење. Изаберите жељену јавну фасциклу и отворите њене особине. Затим идите на картицу Подешавања, где је опција омогућена Шифрујте приступ подацима. Сачувај промене.

Такође можете да омогућите СМБ шифрирање из ПоверСхелл конзоле. Омогући шифровање за једну мапу:

Сет-СмбСхаре -Наме Инсталација -ЕнцриптДата $ труе

Или за све СМБ везе са сервером (било да се ради о дељеним мапама или административним ресурсима):

Сет-СмбСерверЦонфигуратион -ЕнцриптДата $ труе

Након омогућавања шифрирања СМБ-а за дељену мрежну фасциклу, сви наслеђени клијенти (пре Виндовса 8) се неће моћи повезати са овом директоријом, као не подржавају верзију протокола СМБ 3.0. Да бисте омогућили приступ таквим Виндовс клијентима (у правилу је такав приступ привремено организован, иначе нема смисла омогућити шифрирање), можете дозволити повезивање са сервером без шифрирања:

Сет-СмбСерверЦонфигуратион -РејецтУненцриптедАццесс $ фалсе

Савет. Након омогућавања овог режима, повезујући клијент ће моћи да пређе на потпуно застарелу верзију СМБ 1.0 током преговарања о подржаној верзији протокола, што није сигурно (у Виндовс Сервер 2012 Р2, СМБ 1.0 протокол је већ подразумевано онемогућен). У овом случају, да бисте бар делимично осигурали сервер, препоручљиво је онемогућити подршку за СМБ 1.0:
Сет-СмбСерверЦонфигуратион -ЕнаблеСМБ1Протоцол $ фалсе